Fraude financeira cresce com spoofing de CEO e fornecedores

Microsoft alerta que grupos de phishing vêm explorando, em larga escala, erros de roteamento e de autenticação de e‑mail para forjar domínios corporativos e aplicar golpes de credenciais, fraude financeira e BEC, principalmente em ambientes com fluxos de e‑mail complexos e proteções de spoofing frouxas. A técnica ganhou tração desde meados de 2025 e é alimentada por plataformas de phishing‑as‑a‑service como Tycoon2FA, que sozinha teve mais de 13 milhões de mensagens maliciosas bloqueadas apenas em outubro de 2025.

Como o spoofing funciona nesse cenário

O vetor se apoia em cenários onde o domínio da organização aparece ao mesmo tempo nos campos “From” e “To”, fazendo o e‑mail parecer uma mensagem interna legítima, por exemplo com temas de RH, compartilhamento de documentos ou reset de senha. Em muitos casos, o tenant usa MX apontando para gateways terceiros ou infraestrutura on‑premises e não aplica de forma rigorosa SPF, DKIM e DMARC, o que permite que e‑mails falsos contornem a autenticação e cheguem à caixa de entrada como se fossem da própria empresa.

A Microsoft destaca que isso não é um bug no “Direct Send” do Exchange Online, mas resultado de configurações híbridas ou complexas em que as proteções de spoofing não são estendidas corretamente para todos os caminhos de roteamento. Tenants cujo MX aponta diretamente para o Office 365, com spoofing protection nativa habilitada, não ficam expostos a esse vetor específico, desde que mantenham políticas de autenticação bem configuradas.

Papel do Tycoon2FA e dos kits AiTM

Campanhas observadas usam massivamente Tycoon2FA e serviços similares de PhaaS, que fornecem kits de phishing adversary‑in‑the‑middle capazes de contornar MFA. Os atacantes hospedam páginas falsas de login em domínios sob seu controle, usando redirecionadores (como URLs do Google Maps) e loaders em JavaScript ofuscado, muitas vezes protegidos por CAPTCHAs e telas de engodo antes de exibir páginas que imitam o portal Microsoft 365.

Essas páginas são geradas dinamicamente, por exemplo a partir de endereços de e‑mail codificados em base64, e capturam tanto credenciais quanto tokens de sessão interceptados em tempo real pela infraestrutura AiTM. O resultado é que mesmo contas com MFA podem ser comprometidas e usadas para movimentações internas, inclusive em ataques de BEC que exploram a confiança em e‑mails aparentemente internos.

De spoofing para fraude financeira e BEC

Além de roubo de credenciais, a Microsoft observou campanhas em que o spoofing é usado para desviar transferências bancárias, simulando threads de cobrança ou instruções de pagamento supostamente vindas da diretoria ou de fornecedores. Esses e‑mails podem usar o endereço da vítima como remetente e destinatário, exibir o nome do CEO como “sender display name” e anexar documentos como faturas falsas, formulários W‑9 adulterados e cartas bancárias forjadas com identidades roubadas e branding convincente.

O sucesso desse tipo de fraude depende da aparência de legitimidade interna: quando o cabeçalho sugere “InternalOrgSender=True” mas o campo MessageDirectionality indica Incoming, há um sinal claro de spoofing, porém muitas equipes não verificam esses detalhes. Falhas adicionais incluem políticas DMARC em “none”, SPF com soft fail permissivo e ausência de validação sistemática de anexos de pagamento com equipes financeiras ou canais fora do e‑mail.

Sinais nos headers e falhas de configuração

Microsoft ressalta que os cabeçalhos de e‑mail trazem pistas cruciais, como SPF soft/hard fail, DMARC fail, DKIM ausente ou inválido e IPs de origem inesperados, indicando que a mensagem não passou pelos caminhos normais da organização. Em tenants mal configurados, é comum ver mensagens marcadas como internas em atributos de classificação, mas com campos de transporte que evidenciam entrada externa, criando uma dissonância que deveria disparar alertas.

Quando o MX aponta para provedores terceiros e o Exchange Online não está configurado para “honrar” DMARC/SPF/DKIM na borda correta, esses controles podem ser parcialmente ou totalmente ignorados, abrindo espaço para spoofing. Em ambientes híbridos ou com múltiplos hops (por exemplo, gateway + filtro antispam + EOP), qualquer quebra de cadeia de autenticação sem re‑assinatura adequada tende a gerar lacunas que atacantes experientes exploram para introduzir mensagens spoofadas.

Quem é mais afetado e por quê

As campanhas descritas são amplas e oportunistas, atingindo diversos setores, mas impactam de forma desproporcional organizações com fluxos de e‑mail complexos, múltiplos domínios e dependência de roteamento por terceiros. Tenants com pouca maturidade em autenticação de e‑mail, DMARC em modo apenas de monitoramento e ausência de revisões regulares de conectores, regras de fluxo e registros DNS tendem a ser os mais suscetíveis a esse tipo de spoofing interno.

Por outro lado, domínios com MX diretamente para Office 365, DMARC em p=reject, SPF rígido e DKIM consistentes, além de conectores configurados conforme recomendações da própria Microsoft, reduzem drasticamente a superfície desse ataque. Ainda assim, a combinação de PhaaS com kits AiTM e engenharia social bem trabalhada faz com que o fator humano continue sendo o elo fraco, exigindo monitoramento proativo de headers, detecção de anomalias em fluxos de pagamento e educação contínua de usuários sobre sinais de BEC e spoofing.