78% dos ataques BEC exploram seu tenant M365

Quando o e-mail do CFO vira uma arma contra a própria empresa

Imagine o seguinte cenário: a diretora financeira de uma empresa de médio porte recebe, às 16h47 de uma sexta-feira, um e-mail do CEO pedindo a transferência urgente de USD 127 mil para um fornecedor internacional. O e-mail vem do domínio correto, a assinatura é idêntica, o tom é compatível com o remetente. Ela executa. Na segunda-feira, o CEO não sabe do que ela está falando. O dinheiro já cruzou três contas em jurisdições diferentes e desapareceu.

Esse tipo de ataque tem nome: BEC, sigla para Business Email Compromise, ou Comprometimento de E-mail Corporativo. Segundo o FBI, por meio de seu Internet Crime Complaint Center (IC3), o relatório de 2024 aponta que fraudes BEC geraram perdas superiores a USD 2,9 bilhões somente nos Estados Unidos em um único ano, tornando-se a categoria de crime cibernético com maior impacto financeiro acumulado. Não estamos falando de vírus sofisticados ou invasões cinematográficas. Estamos falando de um criminoso que entende como sua empresa funciona, entra silenciosamente no seu ambiente de e-mail e usa a confiança interna como vetor de ataque.

O dado que deveria tirar o sono de qualquer gestor é este: de acordo com o Microsoft Digital Defense Report 2024, aproximadamente 78% dos ataques BEC bem-sucedidos analisados pela equipe de inteligência de ameaças da empresa exploraram configurações padrão ou negligenciadas em tenants do Microsoft 365, a plataforma que concentra identidade, e-mail, documentos e colaboração de milhões de organizações. A plataforma que provavelmente sustenta a operação da sua empresa neste momento.

O problema não é a plataforma. É o que ninguém configurou nela.

O Microsoft 365 é, sem dúvida, uma das plataformas de produtividade mais robustas do mercado. Seu ecossistema oferece camadas de proteção avançadas, inteligência artificial para detecção de ameaças e mecanismos de controle de acesso sofisticados. O problema é que a maioria dessas camadas precisa ser ativada, configurada e monitorada. E na maioria dos tenants corporativos, isso simplesmente não acontece.

Um tenant, o ambiente centralizado que uma organização utiliza no Microsoft 365, nasce com configurações padrão pensadas para facilitar a adoção, não para resistir a ataques direcionados. Regras de encaminhamento de e-mail podem ser criadas por qualquer usuário sem aprovação. Políticas anti-phishing avançadas existem, mas vêm desativadas. Logs de auditoria que registrariam atividades suspeitas frequentemente estão configurados com retenção mínima. É como instalar um sistema de alarme de última geração em um prédio corporativo e deixar todas as zonas desarmadas.

Os atacantes sabem disso. Um ataque BEC moderno raramente começa com um e-mail falso vindo de fora. Ele começa com o comprometimento silencioso de uma conta real dentro do tenant. O criminoso obtém credenciais por meio de phishing direcionado, compra credenciais vazadas em mercados clandestinos ou, cada vez mais, rouba tokens de sessão. Esse último método é particularmente perigoso porque contorna o MFA (autenticação multifator), a camada que muitas empresas acreditam ser suficiente para protegê-las. Com um token de sessão válido, o atacante acessa o ambiente como se fosse o usuário legítimo, sem precisar digitar senha ou código de verificação.

Uma vez dentro do tenant, o invasor cria regras de encaminhamento ocultas que copiam silenciosamente e-mails para uma conta externa. Ele estuda a comunicação interna por dias ou semanas: quem aprova pagamentos, quem fala com quem, qual é o tom das mensagens. Quando finalmente age, a solicitação fraudulenta é quase indistinguível de uma comunicação legítima. Segundo a Gartner, no seu Market Guide for Email Security de 2024, ataques BEC são particularmente eficazes porque exploram confiança interpessoal, não vulnerabilidades de software, o que torna filtros tradicionais de e-mail insuficientes.

O custo médio de um incidente BEC bem-sucedido gira em torno de USD 125 mil, segundo dados consolidados pelo IC3. Mas o impacto real vai muito além do valor desviado. Há o custo de investigação forense, honorários jurídicos, notificação a parceiros e clientes, eventual exposição regulatória e, talvez o mais difícil de recuperar, o dano à reputação. Uma empresa que perde dinheiro por fraude interna projeta fragilidade em seus controles, algo que afeta negociações, parcerias e até valuation.

O que torna essa ameaça ainda mais perversa é sua escalabilidade. Com ferramentas de inteligência artificial generativa, atacantes conseguem produzir e-mails convincentes em qualquer idioma, mimetizar padrões de escrita e até simular cadeias de conversação anteriores. O FBI reportou um aumento de 37% nos registros de tentativas de BEC entre 2022 e 2024. Não é uma tendência passageira. É uma indústria criminal em crescimento.

Caminhos práticos: proteger o tenant como decisão de negócio

A primeira mudança de mentalidade necessária é entender que a segurança do tenant não é uma tarefa de TI. É uma decisão de proteção do fluxo de caixa. Assim como a empresa audita demonstrações financeiras e revisa contratos de risco, o ambiente que processa 100% da comunicação executiva precisa de revisão periódica, monitoramento contínuo e governança clara. A pergunta não é "nosso TI configurou o e-mail?". É "quem está vigiando o ambiente onde aprovamos pagamentos, negociamos contratos e trocamos informações estratégicas?".

O segundo ponto é reconhecer que a proteção eficaz exige camadas coordenadas, não ferramentas isoladas. Políticas de acesso condicional que avaliam contexto (dispositivo, localização, nível de risco do login) antes de conceder acesso. Proteção avançada contra phishing que analisa links e anexos em tempo real, em ambiente isolado, antes de entregá-los ao usuário. Políticas de prevenção de perda de dados que impedem o vazamento de informações sensíveis por e-mail. Monitoramento contínuo de regras de encaminhamento, alterações de permissão e comportamento anômalo de contas. Cada camada sozinha é insuficiente. Coordenadas, formam um ecossistema de defesa que multiplica a dificuldade para o atacante.

O terceiro caminho é a parceria com um provedor de serviços gerenciados que opere com capacidades de centro de operações de segurança (SOC) e centro de operações de rede (NOC). A maioria das empresas de médio porte não tem, e não precisa ter, uma equipe interna de segurança com cobertura 24 horas e especialização em ameaças de identidade. Mas precisa de alguém que tenha. Um MSP com maturidade em segurança de tenant monitora alertas, investiga anomalias, responde a incidentes e, principalmente, faz a revisão proativa das configurações que os atacantes exploram. É retaguarda enterprise acessível como serviço, com custo previsível e sem surpresas.

O quarto ponto, frequentemente negligenciado, é a simulação e o treinamento. Funcionários que reconhecem tentativas de engenharia social são a última linha de defesa quando as camadas técnicas falham. Programas de simulação de phishing com métricas de engajamento e reforço contínuo reduzem em até 72% a taxa de cliques em e-mails maliciosos, segundo dados referenciados pela Gartner.

5 perguntas que todo gestor deveria fazer sobre seu tenant Microsoft 365

1. Quais configurações padrão do tenant M365 deixam minha empresa exposta a ataques BEC sem que ninguém perceba?

1. Quais configurações padrão do tenant M365 deixam minha empresa exposta a ataques BEC sem que ninguém perceba?

O tenant nasce otimizado para adoção rápida, não para segurança máxima. Isso significa que, por padrão, qualquer usuário pode criar regras de encaminhamento automático de e-mails para endereços externos, algo que um atacante explora imediatamente após comprometer uma conta. Políticas anti-phishing que utilizam inteligência artificial para detectar tentativas de personificação de executivos existem na plataforma, mas precisam ser ativadas e calibradas manualmente. Logs de auditoria unificados, essenciais para investigar incidentes, frequentemente estão com retenção limitada a 90 dias, quando deveriam cobrir pelo menos um ano.

Além disso, muitas organizações não restringem o registro de aplicativos de terceiros no tenant, permitindo que apps maliciosos solicitem permissões de leitura de e-mail e dados de diretório. Um atacante não precisa da senha do CEO se consegue autorização de um app fraudulento para ler a caixa de entrada dele. A pergunta que o gestor deve fazer ao seu time ou parceiro de TI é direta: "Mostre-me a lista de configurações padrão que foram alteradas em nosso tenant nos últimos 12 meses e explique por que cada uma foi modificada". Se não houver lista, o tenant provavelmente está no modo padrão. E o modo padrão é o modo que os atacantes conhecem de cor.

2. Por que o MFA sozinho já não basta, e o que é roubo de token de sessão?

O MFA foi, durante anos, a recomendação número um de segurança para qualquer ambiente corporativo. E continua sendo essencial. Mas atacantes evoluíram. A técnica conhecida como roubo de token de sessão, ou session token hijacking, funciona assim: o criminoso cria uma página de login falsa que replica perfeitamente o portal de autenticação. Quando o usuário digita suas credenciais e completa o MFA, a página intermediária captura o token de sessão gerado, aquele "carimbo digital" que prova para o sistema que o usuário já se autenticou. Com esse token em mãos, o atacante acessa o ambiente como se fosse o usuário, sem precisar repetir o processo de login.

Segundo o Microsoft Digital Defense Report 2024, ataques por roubo de token cresceram significativamente e representam uma das principais ameaças de identidade em ambientes corporativos em nuvem. A defesa contra esse vetor exige políticas de acesso condicional que avaliem sinais adicionais, como conformidade do dispositivo, localização geográfica, nível de risco calculado em tempo real e revalidação periódica de sessão. Sem essas políticas, o MFA é uma porta com duas trancas, mas com a janela lateral aberta.

3. Como um MSP monitora em tempo real regras de encaminhamento, logins suspeitos e alterações de permissão no tenant?

Um provedor de serviços gerenciados com maturidade em segurança opera um SOC que ingere e correlaciona eventos do tenant em tempo real. Isso inclui a criação ou modificação de regras de encaminhamento de e-mail, logins de localizações incomuns ou de dispositivos não gerenciados, alterações em permissões de caixa de e-mail (delegação de acesso), registro de novos aplicativos no diretório e mudanças em grupos de segurança ou funções administrativas.

Cada um desses eventos, isoladamente, pode ser legítimo. A inteligência está na correlação. Um login de uma nova localização seguido da criação imediata de uma regra de encaminhamento oculta para um endereço externo é um padrão clássico de BEC. O SOC detecta esse padrão, isola a conta em minutos e inicia o processo de investigação e remediação antes que o dano financeiro ocorra. Para o gestor, a pergunta relevante não é sobre a tecnologia em si, mas sobre o tempo de resposta: "Se uma conta executiva for comprometida às 2h da manhã de um sábado, em quantos minutos alguém vai agir?". Se a resposta for "na segunda de manhã, quando o TI chegar", o nível de exposição é crítico.

4. Qual o custo real de um ataque BEC bem-sucedido para empresas de médio porte, além do valor financeiro desviado?

O valor médio de USD 125 mil por incidente, reportado pelo IC3, é apenas a perda direta. A camada seguinte de custo envolve investigação forense digital para entender o escopo da invasão, determinar quais dados foram acessados e garantir que o atacante não mantém acesso persistente. Essa investigação pode custar entre USD 30 mil e USD 100 mil dependendo da complexidade. Em seguida, há custos jurídicos: notificação a parceiros comerciais cujas informações possam ter sido expostas, revisão de obrigações contratuais de confidencialidade e, em setores regulados, comunicação a órgãos reguladores.

Mas o custo mais subestimado é o operacional e reputacional. A empresa que sofreu BEC precisa revisar processos de aprovação financeira, retreinar equipes, potencialmente substituir sistemas de comunicação comprometidos e reconstruir confiança com clientes e fornecedores que sabem do incidente. Segundo a Gartner, organizações que sofrem violação de e-mail corporativo experimentam, em média, ciclos de venda 23% mais longos nos 12 meses subsequentes, porque prospects e clientes passam a questionar a maturidade dos controles internos. A pergunta correta não é "quanto custa nos proteger?", mas "quanto custa não estar protegido?".

5. Que camadas de proteção precisam estar ativas no tenant e por que a maioria das empresas não as utiliza?

As camadas essenciais incluem: proteção avançada contra ameaças no e-mail, que realiza análise de links e anexos em ambiente isolado (sandboxing) antes da entrega ao usuário; políticas anti-phishing com detecção de personificação de executivos e domínios parceiros; acesso condicional baseado em risco, que avalia cada tentativa de login contra múltiplos sinais contextuais; prevenção de perda de dados (DLP) que impede o compartilhamento não autorizado de informações sensíveis; e auditoria unificada com retenção estendida para suportar investigações.

A razão pela qual a maioria das empresas não ativa essas camadas é tripla. Primeiro, muitas dessas funcionalidades estão disponíveis apenas em planos de licenciamento superiores, e a decisão de investimento frequentemente é avaliada como "custo de TI" em vez de "custo de proteção de receita". Segundo, a configuração e o ajuste fino dessas camadas exigem especialização que times de TI generalistas raramente possuem. Terceiro, sem monitoramento contínuo, mesmo camadas ativadas perdem eficácia, pois alertas não respondidos são alertas inúteis. É exatamente aqui que a parceria com um MSP com capacidades de SOC transforma a equação: o custo de ativar, configurar e monitorar todas as camadas como serviço gerenciado é uma fração do custo de um único incidente BEC.

Proteger o tenant onde sua empresa comunica, colabora e toma decisões financeiras não é ajuste técnico. É blindagem operacional. Se este artigo gerou pelo menos uma dúvida sobre a configuração atual do seu ambiente, esse é o momento certo para buscar respostas. A Zamak Technologies oferece um Diagnóstico Estratégico de TI, sem compromisso, para avaliar a postura de segurança do seu tenant e identificar as lacunas que atacantes exploram. Solicite o seu aqui.