

Os ataques de CEO Fraud não são novidade no cenário de segurança, mas a forma como vêm sendo executados desde o segundo semestre de 2025 mostra uma operação cada vez mais paciente, mais bem informada e que busca ser mais difícil de detectar.
A essência do esquema continua a mesma: um criminoso se passa por um executivo de alto escalão, normalmente o CEO, um presidente ou um diretor, para convencer um funcionário a executar uma transferência, comprar gift cards, fornecer dados sensíveis da empresa ou, em casos menos comuns, rodar um arquivo malicioso. O que mudou é o nível de preparação por trás de cada abordagem e, principalmente, a escolha dos canais usados para chegar até a vítima. Entre eles, o Microsoft Teams tem emergido como o vetor mais preocupante.
O time da Resonant tem observado casos recentes que tiveram grandes empresas nacionais como alvo revelando uma tendência ativa e em evolução em 2026, com aumento expressivo na incidência das tentativas e refinamento contínuo das táticas. A seguir, um panorama de como o golpe é montado, da coleta inicial de informações até a execução, passando pelas falhas que tornam o Teams um terreno tão fértil para os fraudadores.
Nenhuma abordagem de CEO Fraud bem-sucedida começa no improviso. Antes de qualquer contato, o atacante investe na fase de reconhecimento e é nela que reside boa parte da eficácia do golpe. O objetivo é duplo: identificar quem terá a identidade falsificada e quem será o funcionário abordado.
A coleta se apoia fortemente em fontes abertas como redes sociais e sites corporativos. Plataformas como o LinkedIn e serviços de informação corporativa como o ZoomInfo permitem que o criminoso mapeie com precisão a estrutura da empresa-alvo, localizando os nomes que ocupam cargos elevados e que servirão de fachada para a fraude.
Como executivos costumam ser figuras públicas, reunir nome e fotografia para montar um perfil falso convincente é uma tarefa trivial. Muitas vezes, a própria foto de perfil do LinkedIn ou imagens veiculadas em matérias jornalísticas são reaproveitadas para dar verniz de legitimidade ao perfil fraudulento.
Definidos os executivos a serem imitados, o atacante volta sua atenção para as vítimas. Aqui há uma preferência clara por colaboradores do setor financeiro e, em especial, das áreas de contas a pagar. A lógica por trás disso é que são essas pessoas que possuem acesso aos sistemas de pagamento e às contas corporativas, ou seja, capacidade real de movimentar dinheiro em nome da empresa. Para chegar até elas, o criminoso recorre a vazamentos de dados e técnicas de OSINT, buscando telefones de contato, endereços de e-mail corporativo e qualquer outro dado que viabilize uma abordagem direta.
O resultado dessa etapa é um perfil falso construído sobre informações verdadeiras, abordando uma vítima cuidadosamente selecionada por sua posição na cadeia financeira da organização. É essa combinação de aparência legítima e alvo certo que dá início ao golpe.
A escolha do Microsoft Teams como canal de abordagem não decorre de uma vulnerabilidade técnica crítica na plataforma, e sim da exploração de falhas de configuração e de pontos cegos na percepção dos usuários. A investigação de casos recentes pela Resonant identificou dois cenários distintos de abuso.
O primeiro é o abuso do acesso externo, por meio das federações. Por padrão, o Teams permite que usuários de organizações diferentes ou com contas não corporativas (ex: [email protected]) troquem mensagens diretamente. Cada empresa opera dentro de um ambiente isolado, chamado “tenant”, e a federação funciona como uma ponte entre tenants distintos. O criminoso explora esse recurso legítimo criando o próprio tenant com um domínio fraudulento e configurando uma conta cujo nome de exibição é idêntico ao do executivo-alvo. A partir daí, basta usar a configuração permissiva da federação para contatar funcionários da empresa diretamente pelo Teams, aparentando ser um usuário legítimo.
O Teams insere, por padrão, a tag “Externo” nesse tipo de comunicação, o que deveria servir de alerta. No entanto, o bandido aposta que a vítima vai acabar focando no nome de exibição, na foto forjada e no discurso de autoridade presente nas mensagens, simplesmente ignorando o indicador de segurança. A falha de configuração que viabiliza o cenário é a manutenção da federação aberta para qualquer domínio, em vez de restringi-la a uma lista de parceiros previamente aprovados.
O segundo cenário é mais grave e envolve o comprometimento de contas de serviço, as chamadas “service accounts”. São contas do Microsoft 365 criadas para finalidades operacionais específicas, como caixas de correio compartilhadas, contas vinculadas a salas de reunião e equipamentos, ou contas usadas por sistemas e integrações automatizadas.
Por sua natureza, tais contas costumam sofrer de limitações que as tornam alvos fáceis: ausência de autenticação multifator, senhas fracas ou raramente trocadas e monitoramento reduzido em comparação a contas de usuários convencionais. Esses fatores abrem caminho para comprometimento da conta por meio de diversas técnicas conhecidas. Tais como credential stuffing, phishing direcionado ou exploração de mecanismos de redefinição de senha.
Uma vez de posse de uma dessas contas, o atacante já está infiltrado no ambiente da empresa. Ele então altera o nome de exibição da conta comprometida para o do executivo-alvo, insere a foto obtida via OSINT e passa a contatar funcionários de dentro do próprio tenant. É justamente esse o ponto que torna o vetor tão perigoso: nesse caso, a mensagem não exibe nenhum indicador de origem externa. Para quem a recebe, a comunicação parece completamente legítima, originada de dentro da própria organização, sem qualquer sinal visual de alerta.
O texto inicial costuma adotar uma linguagem formal, simulando uma comunicação corporativa. Em muitos casos, o falso executivo abre a conversa perguntando se o funcionário está no escritório e se tem alguma atividade importante a fazer em breve.
Obtidas as respostas, o criminoso solicita capturas de tela com informações sobre o capital de giro disponível nas contas da empresa e, em seguida, pede o envio de transações para contas sob seu controle.
Toda a sequência é desenhada para manter a vítima dentro de um fluxo de aparente normalidade, sem espaço para questionamentos.
O motor por trás do CEO Fraud geralmente é financeiro, e isso explica tanto a escolha das vítimas quanto os pedidos feitos. Nos casos mais frequentes, o criminoso solicita a compra de gift cards ou a transferência de valores das contas corporativas para contas que ele controla. Para reforçar a pressão, é comum que ele alegue tratar-se de um pagamento pendente, urgente ou sigiloso, combinação que aumenta a chance de a vítima agir por impulso e ignorar os procedimentos internos.
A sensação de intimidação por estar lidando com a alta gestão, somada à urgência fabricada é o que leva o funcionário a contornar controles que, em situação normal, seriam seguidos.
Em outros casos, o objetivo muda de figura: em vez de dinheiro, o golpista induz a vítima a executar arquivos maliciosos capazes de roubar credenciais ou conceder acesso remoto a sistemas internos. Essa variante está associada a grupos cibercriminosos mais avançados e vem sendo mapeada desde 2020.
O impacto potencial, portanto, vai além do prejuízo financeiro imediato. Um ataque bem-sucedido pode comprometer a integridade financeira e operacional da organização, especialmente quando a porta de entrada é uma conta interna legítima.
A boa notícia é que, por se apoiar em falhas de configuração e de conscientização, o CEO Fraud via Teams pode ser combatido com medidas concretas. No plano técnico, a recomendação é restringir a federação e qualquer comunicação com domínios externos, substituindo a configuração aberta por uma lista de domínios parceiros autorizados, ou desabilitar o acesso externo por completo caso este não seja necessário.
Reforçar a exibição da tag “Externo” em todas as comunicações vindas de fora do tenant e treinar os usuários para reconhecê-la é igualmente importante.
O cuidado com as contas de serviço merece atenção especial. Convém realizar um inventário completo, identificar responsáveis, eliminar contas obsoletas e revisar permissões.
Onde for viável, deve-se aplicar autenticação multifator e Conditional Access nas contas em que o MFA não puder ser implementado sem impacto operacional, além de restringir o acesso a IPs e dispositivos autorizados.
Monitorar alterações em nomes de exibição, sobretudo de service accounts, ajuda a detectar a preparação para um ataque desse tipo e remover licenças do Teams a contas não humanas ajuda a reduzir a superfície de ataque.
No plano de processos e conscientização, a defesa mais eficaz é estabelecer um protocolo de verificação fora de banda. Toda solicitação de pagamento, transferência ou ação sensível recebida por Teams, WhatsApp ou e-mail deve ser confirmada por um segundo canal antes de ser executada, independentemente da identidade aparente de quem solicita. A isso se somam treinamentos específicos sobre CEO Fraud com exemplos práticos de abordagens via Teams, uma política clara comunicando que solicitações legítimas da alta gestão jamais contornam procedimentos internos e o monitoramento contínuo da exposição de executivos e colaboradores em fontes abertas.
Diante do aumento na incidência e da evolução das táticas, o CEO Fraud deixou de ser uma ameaça pontual para se firmar como vetor prioritário. E, como o ponto fraco explorado é a confiança depositada em canais e pessoas, a defesa precisa começar exatamente onde o ataque mira, na capacidade do funcionário de reconhecer o sinal de alerta que o criminoso aposta que será ignorado.