Recebeu um e‑mail do Microsoft Teams com cara de “phishing”? Calma: a notificação costuma ser legítima, mas pode estar a alertar sobre uma mensagem fraudulenta dentro do próprio Teams. Veja como verificar a autenticidade, denunciar com segurança e blindar a sua organização.
Por que notificações legítimas do Teams podem parecer phishing
O Microsoft Teams envia notificações por e‑mail a partir de endereços autênticos (ex.: noreply@email.teams.microsoft.com). Essas notificações apenas espelham o que alguém escreveu numa conversa do Teams. O problema é que o interlocutor pode ser um impostor que criou um perfil enganoso (“Teams Survey”, “Microsoft Prizes”, “Suporte Azure Free” etc.).
Trata‑se de um caso clássico de engenharia social: o utilizador vê o logótipo da Microsoft e um e‑mail válido, assume que o contacto também é confiável e acaba clicando em Responder no Teams ou em outros links. Para agravar, hoje o Teams normalmente só permite bloquear ou denunciar após abrir a conversa, o que empurra o utilizador a interagir com um possível golpe.
Como reconhecer o problema em segundos (triagem rápida)
- Confirme a fonte da notificação: o domínio do remetente do e‑mail é de notificação do Teams? Ótimo, então o e‑mail provavelmente é legítimo — mas o conteúdo do chat pode não ser.
- Desconfie do nome exibido: perfis falsos usam nomes genéricos (“Prémios Microsoft”, “Suporte Licenças”) e, por vezes, não têm foto ou têm uma imagem padrão.
- Analise o texto do chat: promessas de prémios, cartões‑oferta, urgências injustificadas (“ação obrigatória em 15 minutos”) e pedidos de login fora do fluxo normal da Microsoft são sinais vermelhos.
- Nunca clique direto no botão do e‑mail: em caso de dúvida, abra o Teams por conta própria (aplicação ou versão web) e localize o chat manualmente.
Fluxo recomendado de resposta (utilizadores finais)
- Não clique em “Responder no Teams” a partir do e‑mail.
- Abra o Teams diretamente (app ou web) e, na caixa de pesquisa, procure pelo nome do contacto mencionado.
- Verifique o perfil: a pessoa pertence à sua organização (indicação de “Interno”, domínio da empresa) ou é externa (domínio público como
@gmail.com,@outlook.comou outra empresa)? - Confirme o contexto: o conteúdo faz sentido para a sua função? O tom é comercial/marketing sem ter solicitado? Há pedido de clicar em encurtadores de link?
- Se for suspeito, bloqueie/denuncie: passe o cursor sobre o nome do contacto → ⋯ Mais opções → Bloquear ou Reportar.
- Informe a equipa de TI (inclua capturas do e‑mail de notificação e do chat) para permitir bloqueios/regras na organização.
O que fazer se já clicou
- Feche a aba imediatamente se foi redirecionado para páginas de login duvidosas ou downloads inesperados.
- Altere a palavra‑passe da conta Microsoft e force sign‑out de todas as sessões.
- Ative/Confirme a MFA (autenticação multifator) e revisite os métodos cadastrados.
- Execute uma verificação antimalware no dispositivo.
- Reporte à TI a hora do clique e a URL para investigação e bloqueio.
Quando o e‑mail é legítimo, mas o risco está no chat
A notificação do Teams é autêntica e veio da Microsoft, porém o conteúdo que ela “espelha” pode ter sido publicado por uma conta externa falsa/fraudulenta. Em outras palavras: o mensageiro (e‑mail) é real, a mensagem pode ser armadilha. Tenha isso sempre em mente para quebrar o gatilho psicológico de confiança automática.
Tabela de recomendações práticas
| Objetivo | Ação sugerida | Observações úteis |
|---|---|---|
| Confirmar legitimidade | Abrir o app/web do Teams por conta própria e localizar o chat. Verificar se o interlocutor pertence à sua organização e se o domínio do e‑mail é confiável. | Evite clicar em Responder no Teams diretamente do e‑mail quando houver dúvida. |
| Inspecionar remetente | Passe o cursor sobre o nome → ⋯ Mais opções → Bloquear ou Reportar. | Perfis falsos costumam ter foto ausente, descrições genéricas e domínios externos (@gmail.com, @outlook.com). |
| Denunciar contas falsas | Se for administrador → Teams Admin Center › Users ou External access para bloquear domínios/utilizadores. Utilizadores finais: reportar à TI ou abrir ticket no suporte Microsoft via TI. | A Microsoft ainda não disponibiliza um botão de denúncia direto no e‑mail; é preciso fazê‑lo dentro do Teams ou via TI. |
| Evitar links maliciosos | Se precisar verificar uma URL, use um verificador de reputação (ex.: VirusTotal, NordVPN Link Checker) como camada adicional, jamais como garantia definitiva. | Mesmo links “limpos” podem redirecionar depois; mantenha a cautela. |
| Reduzir exposição | Em Configurações › Notificações › E‑mails no Teams, limite ou desative alertas. | Menos notificações por e‑mail = menos superfície de ataque. |
| Fortalecer segurança geral | Ativar MFA; realizar reciclagens de security awareness; participar de sorteios/promoções apenas em sites *.microsoft.com digitados por você. | Reduz danos mesmo se houver clique por engano. |
Comparativo: e‑mail de notificação legítimo vs. phishing clássico
| Característica | Notificação legítima do Teams | E‑mail de phishing clássico |
|---|---|---|
| Remetente | Domínio de notificação Microsoft (ex.: email.teams.microsoft.com). | Domínios parecidos (micros0ft‑mail.com) ou free mail disfarçado. |
| Conteúdo | Extrato de chat do Teams; botões de Responder. | Mensagem apelativa com falsos prazos, anexos suspeitos, “redefinir senha” fora do contexto. |
| Destino do clique | Abre o Teams (app/web) para continuar a conversa. | Leva a sites de coleta de credenciais ou downloads. |
| Risco real | O interlocutor do chat pode ser golpista; a armadilha está dentro do Teams. | O próprio e‑mail já é falso e tenta enganar diretamente. |
Sinais de alerta no chat do Teams
| Sinal | Exemplo | Por que é suspeito |
|---|---|---|
| Identidade vaga | “Suporte Microsoft Licenças” sem referência de contrato ou ticket | Impostores usam cargos genéricos e não citam detalhes verificáveis. |
| Pressão/urgência | “Preciso que confirme em 10 minutos ou perde o acesso.” | Urgência forçada para induzir cliques impulsivos. |
| Pedidos de login/validação | “Entre aqui para validar MFA e evitar bloqueio.” | Encaminha a páginas falsas de autenticação. |
| Promessas de prémios | “Ganhou um Gift Card, clique para resgatar.” | Isco clássico de engenharia social. |
| Links encurtados | bit.ly, tinyurl.com, goo.gl | Escondem o destino real e podem redirecionar várias vezes. |
Observações importantes
- “Caixa de correio não monitorada” apenas indica que respostas para aquele endereço não são lidas; não diz nada sobre a confiabilidade do contacto no chat.
- Perfis falsos são fáceis de criar com uma conta Microsoft gratuita; confie mais no domínio e na verificação interna do que no nome exibido.
- Se a sua organização permite comunicação externa, considere restringi‑la a domínios de parceiros confiáveis ou exigir aprovação prévia.
Passo a passo: denunciar e bloquear no Teams
No app desktop ou web
- Abrir o chat suspeito dentro do Teams.
- Clicar no nome do contacto no topo da conversa para ver o perfil.
- Selecionar ⋯ Mais opções → Reportar ou Bloquear.
- Se disponível, indicar o motivo (phishing, spam, assédio etc.).
- Informar a equipa de TI para providências adicionais (bloqueio de domínio, regras de segurança).
Dica: se você abriu o chat por engano, evite responder; bloqueie/denuncie de imediato.
Verificação segura de URLs (sem cair em armadilhas)
- Não valide links “no calor do momento”. Copie a URL (sem clicar) e utilize um verificador de reputação como camada adicional, não como garantia.
- Prefira navegar digitando o endereço (ex.: para redefinir senha, aceda manualmente ao portal oficial da Microsoft que você já utiliza).
- Desconfie de múltiplos redirecionamentos e de páginas que pedem MFA fora do fluxo padrão.
Reduzindo a superfície de ataque: menos e‑mails, menos risco
Se notificações por e‑mail do Teams estão a causar ruído ou risco:
- Abra o Teams → Configurações → Notificações.
- Em E‑mails, ajuste para “Somente menções/alertas importantes” ou desative, conforme a política da sua organização.
- Reforce alertas dentro do próprio Teams (bandeirinhas/atividades) e no dispositivo (sistema operativo) de forma equilibrada.
Para administradores: medidas estruturais que cortam o problema pela raiz
- External access sob controle: permitir apenas domínios parceiros aprovados; bloquear consumer accounts se não houver necessidade (ex.: contas @outlook.com, @gmail.com).
- Políticas de Safe Links e Safe Attachments (no ambiente Microsoft 365) para inspecionar URL/anexos em tempo real.
- DLP e regras de prevenção: impedir partilha de dados sensíveis em chats externos.
- Information Barriers (se aplicável) para segmentar comunicações e evitar contatos indevidos.
- Treino contínuo de consciencialização: simulações de phishing focadas em mensagens de chat, não só por e‑mail.
- Alertas e auditoria: monitorizar padrões (p. ex., picos de mensagens idênticas vindas de domínios recém‑vistos).
- Modelos de resposta para a equipa de suporte: orientações padronizadas para casos de denúncia/bloqueio.
Checklist de bolso (imprima e cole no monitor)
- Veio do Teams? Abra o Teams por conta própria, nunca pelo botão do e‑mail quando estiver em dúvida.
- Valide domínio e vínculo organizacional do contacto.
- Desconfie de urgência, prémios e links encurtados.
- Bloqueie/Denuncie perfis suspeitos sem dialogar.
- MFA sempre; palavras‑passe fortes e únicas.
FAQ — Perguntas frequentes
O endereço noreply@email.teams.microsoft.com é sempre seguro?
É um endereço legítimo de notificação do Teams. Porém, o e‑mail apenas replica o conteúdo do chat. Se o interlocutor for um impostor, o risco está na mensagem, não no endereço do remetente. Verifique o contacto dentro do Teams e a pertença organizacional antes de interagir.
Uma conta Microsoft gratuita pode falar comigo no Teams?
Sim, se a sua organização permitir comunicação externa. Por isso, validar o domínio e o vínculo do contacto é fundamental.
Posso responder ao suspeito para “testar”?
Não. Responder sinaliza que a conta está ativa e receptiva. Prefira bloquear/denunciar e notificar a TI.
Qual a diferença entre “Convidado” e “Externo” no Teams?
Convidado: foi adicionado ao seu inquilino (tenant) com acesso controlado. Externo (federado): permanece no tenant dele e comunica por federação; controlo mais limitado. Ambos exigem políticas claras.
Como revisar cabeçalhos do e‑mail para sinais técnicos?
Em clientes como Outlook/Gmail, use ver origem/mostrar original e procure por spf=pass, dkim=pass e dmarc=pass. Ainda assim, lembre‑se: cabeçalho “limpo” não “limpa” o conteúdo do chat.
Modelo de comunicado interno (copiar e colar)
Assunto: Notificações do Teams – como agir com segurança Se receber um e‑mail do Teams com mensagens inesperadas (sorteios, urgência, links), NÃO clique em “Responder no Teams” a partir do e‑mail. Em vez disso: 1. Abra o Teams por conta própria e localize o chat; 2. Verifique se o contacto pertence à nossa organização; 3. Se for suspeito, use ⋯ Mais opções → Reportar ou Bloquear; 4. Avise a TI anexando captura do e‑mail e do chat. Obrigado por seguir estas orientações.
Política mínima sugerida para organizações
- MFA obrigatória para todos os utilizadores, incluindo convidados.
- External access restrito a uma lista de domínios aprovados; rever trimestralmente.
- Bloqueio de contas consumer quando não houver requisito de negócio.
- Proteção de links e anexos ativada e monitorizada.
- DLP aplicada a chats e ficheiros partilhados em canais/1:1.
- Treino recorrente com cenários que simulam golpes via chat.
- Playbooks de resposta (bloqueio/denúncia, comunicação interna e externa, preservação de evidências).
Resumo executivo
Notificações do Teams que parecem phishing são, muitas vezes, e‑mails legítimos a exibir mensagens potencialmente fraudulentas dentro do Teams. Para reduzir o risco: verifique o contacto diretamente no aplicativo, bloqueie/denuncie suspeitos, fortaleça MFA e políticas de acesso externo e, se possível, reduza o número de alertas por e‑mail. Com processos claros e treino contínuo, a maioria destes ataques perde eficácia.
Exemplo de e‑mail legítimo com conteúdo duvidoso
De: Microsoft Teams <noreply@email.teams.microsoft.com> Assunto: [Nome do contacto] enviou uma mensagem no Teams "\[Mensagem copiada do chat] Parabéns! Você foi selecionado para um prêmio interno. Clique no botão abaixo para confirmar em 10 minutos." \[Responder no Teams] Como agir: não clique no botão. Abra o Teams por conta própria e valide o contacto.
Boa prática diária
Trate todo pedido inesperado como suspeito até conseguir verificar por um canal independente (Teams aberto manualmente, telefone corporativo, portal oficial). A regra de ouro é simples: confie no seu procedimento, não no botão do e‑mail.