Na última semana, um escritório contábil recebeu uma mensagem no Microsoft Teams. O remetente parecia ser alguém conhecido — o nome estava certo, o Teams abriu o chat normalmente. A mensagem dizia: “Verifique agora quanto capital de giro a empresa ainda possui e me envie a captura de tela.”

O colaborador estava prestes a obedecer.

O remetente não era quem parecia. Era uma conta externa — provavelmente criada em minutos — usando um nome que gerou confiança suficiente para que o colaborador não questionasse o pedido. O aviso de que se tratava de um usuário externo estava visível na tela. Mas passou despercebido.

Esse tipo de ataque está crescendo. E escritórios contábeis são alvos especialmente atrativos: têm acesso a dados financeiros de dezenas de clientes, trabalham com prazos que geram pressão e tomam decisões rápidas no dia a dia. Tudo isso facilita o trabalho do atacante.

Como o ataque funciona no Teams

O Microsoft Teams permite, por padrão, que usuários de outras organizações — ou com contas Microsoft pessoais — enviem mensagens para qualquer colaborador da sua empresa. Isso é chamado de acesso externo (external access ou federation).

O atacante cria uma conta Microsoft com o nome de alguém da diretoria ou de um sócio do escritório — “Altair Correa”, “Dr. Ricardo”, “Sócio Diretor” — e envia uma mensagem diretamente para um colaborador. O Teams mostra o badge “Externo” e um aviso de banner no topo da conversa. Mas esses indicadores são pequenos, discretos, e facilmente ignorados por quem não foi treinado para procurá-los.

Veja como esse ataque aparece na tela do colaborador:

Por que o colaborador cai no ataque

O problema não é falta de inteligência. É que o Teams foi projetado para facilitar a comunicação — e os indicadores de segurança (badge “Externo”, banner de aviso) são propositalmente discretos para não atrapalhar o fluxo de trabalho. O resultado é que qualquer pessoa que use o Teams com frequência passa a ignorar esses elementos automaticamente.

Some-se a isso a pressão que o atacante cria: pedidos urgentes, linguagem de autoridade, referência a tarefas que parecem legítimas. O colaborador está respondendo ao que acredita ser o sócio ou gestor, e cumprir a solicitação parece o comportamento correto.

No caso real que motivou este artigo, a conversa foi: “Verifique agora quanto capital de giro a empresa ainda possui e me envie a captura de tela, pois mais tarde preciso organizar algumas coisas.” O colaborador respondeu que iria verificar. A informação estava prestes a sair.

O que o atacante precisa para executar esse ataque

Surpreendentemente pouco:

• Uma conta Microsoft gratuita (Outlook.com ou Teams pessoal)
• O nome do sócio ou gestor do escritório — geralmente público no LinkedIn ou no site da empresa
• O email corporativo de qualquer colaborador do escritório

Com isso, o atacante cria uma conta com o nome do sócio e envia uma mensagem diretamente para o colaborador. Se o Teams do escritório estiver com as configurações padrão, a mensagem chega sem nenhum bloqueio.

Como configurar o Teams para reduzir esse risco

O Microsoft Teams tem controles específicos para acesso externo. A configuração é feita pelo administrador do Microsoft 365 no Teams Admin Center — não é algo que o usuário final consegue ajustar.

1. Restringir ou bloquear o acesso externo por domínio

Em vez de bloquear todo acesso externo (o que pode impactar comunicação legítima com clientes e parceiros), a abordagem mais equilibrada é configurar uma lista de permissões (allowlist): o Teams só aceita mensagens de domínios que você aprova explicitamente.

Caminho no Teams Admin Center: Usuários → Acesso externo → Adicionar domínios permitidos

Com essa configuração, uma conta criada em outlook.com ou em um domínio desconhecido não consegue iniciar conversa com seus colaboradores — mesmo que saiba o email deles.

2. Bloquear contas Microsoft pessoais (consumer accounts)

Por padrão, o Teams permite que usuários com contas Microsoft pessoais (Outlook.com, Hotmail, Live) se comuniquem com usuários corporativos. Esse é o vetor mais usado nos ataques de engenharia social, pois qualquer pessoa pode criar uma conta com qualquer nome em segundos.

Caminho: Teams Admin Center → Usuários → Acesso externo → desabilitar “Permitir que usuários do Teams se comuniquem com usuários do Teams de contas do consumidor”

3. Ativar a política de aviso de identidade externa mais visível

O banner de aviso padrão do Teams é passivo. Uma camada adicional é configurar políticas de mensagens que bloqueiem automaticamente mensagens de domínios não autorizados — em vez de apenas avisar o usuário. Assim, a mensagem nem chega: o Teams a bloqueia antes.

4. Treinamento de equipe: a camada mais importante

Configurações técnicas reduzem a superfície de ataque, mas não eliminam o risco de zero. Um atacante determinado pode criar uma conta em um domínio similar ao do escritório (altcom-ti.com em vez de altcom.com.br) e ainda assim enganar colaboradores não treinados.

A instrução mais importante que um escritório contábil pode dar à equipe é simples e memorizável:

Qualquer pedido de informação financeira, acesso a sistema ou transferência de valores recebido por Teams — não importa quem parece ter enviado — exige confirmação por ligação ou pessoalmente. Sem exceção.

Essa instrução, repetida em reunião e fixada no canal de comunicação interna, resolve a maioria dos casos que as configurações técnicas não conseguem bloquear.

Checklist de configurações Teams para escritórios contábeis

☐ Acesso externo configurado com allowlist de domínios aprovados
☐ Contas Microsoft pessoais (consumer) bloqueadas
☐ Política de mensagens revisada para bloquear domínios não autorizados
☐ Equipe treinada: qualquer pedido financeiro por Teams exige confirmação por voz
☐ Protocolo definido: o que fazer ao receber mensagem suspeita (não responder, reportar ao gestor ou TI, bloquear o contato)
☐ Revisão semestral das configurações de acesso externo

O que fazer se um colaborador já caiu no ataque

Se o colaborador já enviou informações para uma conta suspeita:

1. Não entrar em pânico — mas agir imediatamente
2. Bloquear o contato no Teams e registrar o nome e endereço de email mostrado na conversa
3. Acionar o gestor e a TI imediatamente — o tempo é crítico
4. Se dados financeiros foram expostos: acionar a diretoria e avaliar necessidade de comunicar clientes afetados (obrigação LGPD em caso de vazamento)
5. Se credenciais foram fornecidas: alterar senhas imediatamente e ativar MFA se ainda não estiver ativo
6. Registrar o incidente com data, horário e conteúdo da conversa — printando a tela antes de bloquear o contato

Perguntas frequentes

Qualquer pessoa de fora consegue me enviar mensagem pelo Teams?

Sim, nas configurações padrão do Microsoft 365. O Teams permite comunicação com usuários de outras organizações Microsoft e com contas Microsoft pessoais. A restrição precisa ser configurada pelo administrador do seu tenant.

O badge “Externo” não é suficiente para proteger os colaboradores?

Na teoria, sim. Na prática, não. Indicadores passivos são ignorados especialmente por usuários que trabalham com muitas mensagens e sob pressão de prazo. A proteção real é a combinação de restrição técnica (allowlist de domínios) + treinamento comportamental da equipe.

Esse tipo de ataque é crime no Brasil?

Sim. Configura estelionato (art. 171 do Código Penal) e pode ser enquadrado na Lei Carolina Dieckmann (Lei 12.737/2012) dependendo dos dados obtidos. Se dados de clientes forem expostos, há obrigação de notificação à ANPD conforme a LGPD. O boletim de ocorrência deve ser registrado imediatamente.

Esse ataque também funciona via WhatsApp?

Sim, e é ainda mais comum. A engenharia social via WhatsApp — onde o atacante se passa pelo sócio usando foto e nome idênticos — é o vetor mais frequente no Brasil. O protocolo de confirmação por voz se aplica igualmente: qualquer pedido financeiro via mensagem, independente do canal, exige confirmação verbal.