Um novo golpe circula por e‑mail e no Microsoft Teams: a falsa pesquisa “Teams Survey” anuncia “você é um dos vencedores” de um iPhone 15 Pro e tenta capturar cliques. Veja como reconhecer, responder e bloquear a fraude em ambientes pessoais e corporativos.
Alerta de golpe no ecossistema Microsoft
Se você recebeu um e‑mail ou uma mensagem no chat do Microsoft Teams alegando que “você é um dos vencedores” de um iPhone 15 Pro, desconfie imediatamente. Esta campanha utiliza o nome “Teams Survey” ou variações (“Pesquisa do Teams”, “Survey de usuários do Teams”) para dar aparência de pesquisa oficial. O texto costuma convidar a clicar em “mais informações”, “resgatar agora” ou “confirmar endereço”, levando a páginas que pedem credenciais, dados pessoais ou pagamento de taxas de envio. Trata‑se de phishing.
O ardil aparece em dois vetores principais: mensagens dentro do Teams (normalmente por comunicação externa ou contas pessoais) e e‑mails enviados para endereços corporativos ou pessoais (Outlook, Exchange Online ou outros provedores). Mesmo que o cabeçalho do e‑mail mostre sinais técnicos “positivos” — como autenticações de domínio válidas — isso não comprova legitimidade. Criminosos usam domínios comprados ou contas comprometidas para burlar filtros e dar uma falsa sensação de segurança.
Resumo executivo para ação imediata
- Para usuários: não clique, não responda, bloqueie o contato no Teams, denuncie como phishing no Outlook e informe o suporte.
- Para administradores: ajuste o acesso externo no Teams, restrinja apps e bots, reforce políticas de proteção no Exchange Online e no Defender para Office, e rode uma varredura dirigida por palavras‑chave e domínios suspeitos.
Por que é fraude
O golpe explora sinais comuns de engenharia social: promessa de prêmio inesperado, senso de urgência e uso de marcas reconhecidas em combinação atípica (por exemplo, um suposto canal “oficial” do Teams oferecendo produto de outra fabricante). Além disso:
- Mensagens no Teams podem chegar via external access entre organizações, contas pessoais do Teams, integração com Skype ou até aplicativos não autorizados que simulam chat.
- E‑mails podem exibir autenticação técnica como DKIM e DMARC “pass”, porque o invasor utiliza domínios legítimos porém comprometidos ou recém‑registrados parecidos com marcas verdadeiras.
- Links frequentemente usam encurtadores ou domínios com pequenas alterações de grafia, levando a páginas que coletam dados, instalam extensões ou forçam logins falsos.
Como identificar a mensagem suspeita
| Indício | O que observar | Ação recomendada |
|---|---|---|
| Promessa de prêmio | Texto dizendo que você “ganhou” um iPhone e precisa agir rápido | Não clique, bloqueie e denuncie |
| Nome do remetente | Contatos chamados “Teams Survey”, “Pesquisa do Teams” ou variações | Bloqueie no Teams, reporte phishing no e‑mail |
| Link encurtado | Endereços reduzidos sem clareza do destino | Nunca abra; reportar ao suporte |
| Solicitação de dados | Páginas pedindo senha, cartão ou taxa de envio | Feche a página e troque senha se tiver digitado |
| Assinaturas técnicas | DKIM/DMARC “pass” ou cabeçalhos aparentemente normais | Não confie só nisso; avalie o contexto |
O que fazer passo a passo para usuários
- Não clique em links, botões ou anexos. Não responda à mensagem.
- No Teams: abra o menu do chat, selecione Bloquear e utilize a opção de denunciar/relatar se disponível. Em seguida, exclua a conversa.
- No Outlook ou no Outlook na Web: use o suplemento Report Message para marcar como Phishing. Isso ajuda os filtros a aprender e a TI a investigar.
- Se você clicou:
- Troque a senha da conta Microsoft ou organizacional imediatamente.
- Ative ou reforce a autenticação multifator.
- Rode uma verificação antivírus completa no dispositivo.
- Revise a atividade de login recente da sua conta e encerre sessões suspeitas.
- Comunique o suporte ou a equipe de segurança da sua organização. Encaminhe a mensagem pelo canal interno indicado.
Boas práticas para evitar cair em golpes
- Desconfie de prêmios inesperados, especialmente quando marcas diferentes são misturadas (por exemplo, um suposto canal corporativo oferecendo produto de outra fabricante).
- Verifique com a equipe de TI se existe de fato alguma pesquisa de satisfação em andamento antes de interagir.
- Prefira abrir portais por caminho conhecido (favoritos ou acesso direto) em vez de clicar em links de e‑mail.
- Use senha forte, autenticador de senhas e mantenha a verificação em duas etapas ativa.
Medidas de mitigação para administradores
As ações a seguir reduzem a superfície de ataque no chat corporativo e no correio eletrônico, além de ampliar a capacidade de detecção e resposta.
Configurações no centro de administração do Teams
| Área | Configuração | Recomendação | Impacto esperado |
|---|---|---|---|
| Acesso externo | Comunicação com domínios de fora da organização | Bloquear por padrão e permitir apenas lista de domínios aprovados | Evita mensagens de golpistas por federação livre |
| Contas pessoais | Chat entre contas corporativas e pessoais | Desativar se não houver justificativa de negócio | Reduz entrada de contatos não verificados |
| Integração com Skype | Comunicação com usuários de Skype | Desabilitar quando não necessário | Diminui exposição a contatos externos |
| Políticas de apps | Permissões de aplicativos e bots do Teams | Bloquear terceiros por padrão e permitir somente apps aprovados | Evita bots maliciosos simulando pesquisas |
| Diretivas por grupo | Aplicar políticas distintas por unidade de negócio | Restringir mais em áreas sensíveis (finanças, jurídico) | Mitigação proporcional ao risco |
Correio e proteção no Exchange e no Defender
- Anti‑phishing: habilite a proteção contra impersonação de usuários internos e de marcas, usando listas de proteção a executivos e a domínios corporativos.
- Safe Links: reescrita e verificação de URLs em tempo de clique, bloqueando domínios encurtadores e páginas maliciosas recém‑criadas.
- Safe Attachments: análise dinâmica de anexos em ambiente isolado antes da entrega ao usuário.
- Políticas sintonizadas: crie regras com foco em padrões de prêmio, como termos “vencedor”, “resgate”, “pesquisa do Teams”, “iPhone”, com quarentena automática para revisão.
- Suplementos de denúncia: distribua amplamente o Report Message e treine usuários a utilizá‑lo sempre que suspeitarem.
Governança, educação e comunicação
- Treinamentos curtos e recorrentes: foque em gatilhos de engenharia social, verificação de endereço do remetente e identificação de domínios disfarçados.
- Campanhas de conscientização: simulações de phishing controladas, com feedback imediato e orientações claras.
- Processos de resposta: defina um runbook e um single point of contact para denúncias, com tempos de confirmação ao usuário.
Playbook de resposta para a equipe de segurança
- Confirmar a denúncia e etiquetar o incidente com um identificador padronizado (por exemplo, “Teams‑Survey”).
- Isolar o vetor: ajustar temporariamente políticas de acesso externo do Teams e endurecer filtros no correio.
- Caçar indicadores: buscar palavras‑chave, domínios e URLs associadas à campanha em histórico de e‑mails e mensagens do Teams.
- Remediar: redefinir credenciais de contas potencialmente impactadas e revogar sessões em aberto.
- Comunicar a organização com instruções objetivas e canal de suporte.
- Aprender: pós‑incidente com ajustes de políticas e melhoria de alertas.
Consultas de hunting como ponto de partida
Use as consultas abaixo como base em ambientes com logs e telemetrias integrados. Adapte aos seus esquemas e tabelas.
Correio eletrônico
// Mensagens com termos característicos nos últimos sete dias
EmailEvents
| where Timestamp > ago(7d)
| where Subject has_any ("Teams Survey","Pesquisa do Teams","Survey Teams","iPhone","vencedor","resgatar")
or SenderFromDomain contains "teams"
| project Timestamp, RecipientEmailAddress, SenderFromAddress, Subject, NetworkMessageId
Cliques em links reescritos
// Cliques potencialmente maliciosos observados pelo Safe Links
UrlClickEvents
| where Timestamp > ago(7d)
| where Url has_any ("survey","iphone","winner","resgate","premio","ganhador")
| summarize Clicks=count() by Url, Recipient
| order by Clicks desc
Mensagens no chat corporativo
// Chats recebidos de usuários externos com termos suspeitos
CloudAppEvents
| where Timestamp > ago(14d)
| where Application == "Microsoft Teams"
| where ActionType in ("MessageReceived","ChatMessageReceived")
| where ActorScope == "External"
| where RawEventData contains "survey" or RawEventData contains "winner" or RawEventData contains "iphone"
| project Timestamp, UserId, Actor, ActionType, RawEventData
Checklist de endurecimento
| Área | Item | Status esperado |
|---|---|---|
| Identidade | MFA obrigatório para todos, inclusive contas de serviço expostas | Ativado |
| Correio | Safe Links com cliques bloqueados para domínios não categorizados | Ativo e auditado |
| Correio | Política anti‑impersonação protegendo executivos e domínio | Ativo |
| Chat | Acesso externo restrito a lista aprovada | Habilitado com revisão mensal |
| Chat | Bloqueio de contas pessoais e de Skype quando não necessário | Desativado por padrão |
| Apps | Permitir somente aplicativos e bots aprovados | Lista de permissão centralizada |
| Usuários | Suplemento de denúncia instalado e treinado | Disponível a todos |
Erros comuns que favorecem o golpe
- Confiar apenas em cabeçalhos de e‑mail válidos para legitimar remetentes.
- Deixar comunicação externa do chat liberada sem necessidade de negócio.
- Permitir qualquer aplicativo do marketplace do Teams sem análise prévia.
- Não revisar relatórios do suplemento de denúncia e não retroalimentar as políticas.
- Ausência de MFA em contas com acesso sensível.
Como comunicar com usuários
Uma mensagem clara e curta reduz o pânico e aumenta a detecção precoce. Exemplo:
Recebeu mensagens por e‑mail ou chat prometendo um “prêmio” por uma “pesquisa do Teams”? Não clique. Bloqueie o contato, denuncie como phishing no Outlook e avise o suporte. Nunca informamos prêmios por chat. Em caso de dúvida, abra um chamado pelo portal interno.
Perguntas frequentes
Eu cliquei, mas não digitei nada. Preciso fazer algo?
Sim. Feche a guia, rode uma verificação antivírus e monitore avisos da sua conta. Troque a senha por precaução, especialmente se o dispositivo não tinha todas as atualizações.
O e‑mail parecia tecnicamente válido. Ainda assim pode ser golpe?
Sim. Sinais técnicos ajudam, mas não são prova de legitimidade. Criminosos usam contas ou domínios verdadeiros comprometidos para enviar mensagens convincentes.
Desativar convidados no Teams resolve?
Não necessariamente. Convidados são diferentes de acesso externo e de contas pessoais. Verifique cada controle de forma independente e alinhe‑os à sua política.
É seguro interagir com pesquisas internas?
Sim, desde que venham de canais e aplicativos oficiais. Em caso de dúvida, acesse o portal corporativo por meio de favoritos conhecidos e valide com o suporte.
Indicadores e sinais a observar
| Tipo | Exemplo | Risco |
|---|---|---|
| Assunto de e‑mail | “Você é um dos vencedores”, “Parabéns, resgate agora”, “Pesquisa de usuários do Teams” | Alto |
| Conteúdo do chat | Mensagem com link encurtado e promessa de prêmio | Alto |
| Domínios | Endereços muito parecidos com marcas conhecidas ou recém‑registrados | Alto |
| Exigência de pagamento | “Taxa de entrega” para liberar prêmio | Alto |
Procedimentos de contenção e recuperação
- Conter: aplicar políticas de quarentena mais agressivas temporariamente e restringir comunicações externas no chat.
- Revisar credenciais: redefinir senhas e revogar tokens de sessão de contas suspeitas.
- Notificar usuários afetados e orientar sobre monitoramento de atividades e golpes complementares.
- Reforçar políticas de proteção e treinar equipes que interagem com clientes e fornecedores.
- Documentar a lição aprendida e atualizar as matrizes de risco.
Como diferenciar comunicação oficial
- Canais internos conhecidos, anúncios em portais oficiais e convites formais com identificadores corporativos consistentes.
- Pesquisas legítimas não exigem login em páginas suspeitas e não pedem dados financeiros.
- Mensagens oficiais não utilizam pressa ou escassez artificial para forçar cliques.
Modelos de políticas e recomendações
Inclua nos padrões de segurança:
- Obrigatoriedade de MFA e gestão de senhas de acordo com práticas modernas.
- Revisão trimestral das listas de domínios permitidos para comunicação externa.
- Catálogo de aplicativos aprovados do Teams mantido por segurança e TI.
- Métricas de adoção do suplemento de denúncia e tempo de resposta a alertas.
Se acontecer em dispositivo pessoal
Mesmo fora do ambiente corporativo, o usuário deve seguir as mesmas medidas: não clicar, trocar senhas, habilitar fatores adicionais de autenticação e reportar à organização caso a conta corporativa esteja vinculada ao dispositivo.
Mensagem chave
Prêmios inesperados oferecidos por chat ou e‑mail são um sinal clássico de fraude. Trate todas as variações da campanha “Teams Survey” prometendo iPhone 15 Pro como golpe. Bloqueie e denuncie imediatamente, e aplique políticas de segurança no Teams e no correio para reduzir reincidências.
Conclusão
Golpistas evoluem constantemente e exploram qualquer brecha de confiança. O combo de educação do usuário, políticas de acesso externo mais restritivas no chat, catálogo de aplicativos controlado e defesas no correio com verificação em tempo de clique forma uma barreira robusta. A detecção colaborativa por meio de denúncias, somada a consultas de hunting e resposta rápida, reduz drasticamente o impacto. Com esse conjunto de medidas, sua organização estará melhor preparada para bloquear novas tentativas relacionadas ao falso “Teams Survey”.