Sua empresa provavelmente treinou funcionários para desconfiar de emails suspeitos. Bom. O problema: os atacantes também sabem disso.
Nas últimas semanas, uma onda de ataques de phishing atingiu empresas brasileiras. O vetor não foi email. Foi o Microsoft Teams.
O padrão é idêntico em todos os casos que acompanhamos. Uma mensagem no chat do Teams, vinda de alguém de fora da empresa, se apresentando como diretor ou parceiro comercial. Pedido para criar um grupo com o departamento financeiro. Urgência fabricada. Nenhum link malicioso, nenhum anexo. Apenas engenharia social pura, numa plataforma que a maioria das empresas nunca configurou para bloquear.
O que o Teams tem a ver com segurança
O Microsoft Teams, por padrão, permite que qualquer pessoa de fora da sua empresa inicie uma conversa com seus funcionários. Qualquer pessoa. De qualquer lugar do mundo.
Isso não é um bug. É a configuração padrão que a Microsoft entrega. A maioria das empresas nunca mexeu nela.
Para um atacante, isso é ouro. Enquanto emails passam por filtros de spam, antivírus, e geram desconfiança natural, uma mensagem no Teams aparece como conversa normal de trabalho. Tem foto de perfil. Tem nome. Tem cargo. E aparece no mesmo lugar onde seu time conversa o dia todo.
A realidade da segurança no Microsoft 365 brasileiro
Esses ataques estão expondo um problema que já existia. A maioria das empresas brasileiras que usam Microsoft 365 nunca configurou os controles de segurança que a própria Microsoft oferece.
O cenário que encontramos repetidamente em auditorias de segurança Microsoft 365:
Menos de 30% dos usuários com MFA ativado é o padrão em empresas que nunca passaram por uma auditoria de segurança M365. Contas de administrador sem segundo fator são comuns. Uma única conta admin comprometida dá acesso total ao ambiente: emails de todos, permissões, dados financeiros.
A configuração padrão da Microsoft permite federação aberta e acesso externo no Teams. Isso significa que qualquer pessoa com uma conta Microsoft pode iniciar conversa com seus funcionários. A maioria das empresas não sabe que essa configuração existe, muito menos que pode ser restringida.
Muitas empresas mantêm caixas compartilhadas (financeiro@, rh@, nfe@) com senha ativa e login interativo habilitado. Essas caixas deveriam funcionar apenas por delegação. Com senha ativa, cada uma é uma superfície de ataque que não precisava existir.
O Microsoft Entra ID oferece controle granular sobre quem pode acessar o quê, de onde e como. A maioria das empresas não tem uma única política de acesso condicional configurada. O Teams, o Outlook e o SharePoint ficam abertos da mesma forma para um funcionário no escritório e para alguém tentando entrar de outro país.
O que pode ser feito
A boa notícia é que todos esses problemas têm solução. A Microsoft já oferece as ferramentas. O que falta, na maioria dos casos, é alguém configurar.
As três ações que mais reduzem risco imediato:
Configurar a federação do Teams para permitir apenas domínios aprovados. Na prática: seus funcionários continuam conversando entre si e com parceiros que você autoriza. Qualquer pessoa de fora é bloqueada automaticamente. É uma configuração que leva minutos e fecha o vetor principal desse ataque.
Não apenas para administradores. Para todos. O Microsoft 365 oferece Security Defaults gratuitamente, que força MFA para todos os usuários. Empresas com requisitos mais específicos podem usar Conditional Access. O importante é que nenhuma conta fique sem segundo fator.
Cada caixa compartilhada com login interativo é uma conta a mais que pode ser comprometida. Converter para tipo Shared real (sem login direto, apenas delegação) elimina a superfície de ataque sem afetar a operação.
O padrão que vai se repetir
Esse tipo de ataque via Teams não é novidade para quem acompanha segurança. A Microsoft documentou o padrão (Storm-1811). O CISA alertou sobre ele. Mas a maioria das empresas ainda não fez nada porque o Teams não entra na conversa de segurança.
Firewall, antivírus, filtro de email. Essas são as camadas que as empresas conhecem. O Teams fica de fora. E por padrão, aberto.
O que estamos vendo em 2026 vai se repetir. A cada semana, mais empresas são abordadas por esse vetor. E a janela de oportunidade para proteger antes de ser atacado está diminuindo.
5 perguntas que você deveria fazer ao seu TI hoje
- Quantos usuários da empresa têm autenticação em dois fatores? Se a resposta não for "todos", você tem um problema. Se for "não sei", o problema é maior.
- O Teams permite que pessoas de fora iniciem conversa com nossos funcionários? Provavelmente sim, a menos que alguém tenha configurado explicitamente para bloquear.
- Nossos administradores têm segundo fator? Se UM admin não tem, esse admin é o alvo. Atacantes sabem disso.
- Temos caixas de email compartilhadas com senha ativa? Cada uma é uma conta que pode ser comprometida sem que ninguém perceba.
- Quando foi a última vez que alguém auditou nosso Microsoft 365? Se a resposta é "nunca" ou "não sei", vale a pena descobrir antes que alguém de fora descubra por você.
Auditoria de Segurança Teams
Verificamos a configuração do seu Microsoft Teams e Microsoft 365 em busca das vulnerabilidades descritas neste artigo. Sem compromisso, sem jargão. Você recebe um relatório objetivo com o que precisa ser feito.
Solicitar auditoria gratuitaEste artigo é baseado em padrões de ataque documentados pela Microsoft (Storm-1811) e em observações de campo de junho de 2026. Nomes de empresas e detalhes identificáveis foram omitidos.