Confiar em e-mails que parecem vir de dentro da empresa é um comportamento quase automático no ambiente corporativo. Mensagens enviadas por colegas, pelo RH ou pelo financeiro raramente levantam suspeitas, o que torna o phishing em e-mails internos uma das técnicas mais perigosas atualmente. Um alerta recente da Microsoft mostra que essa confiança está sendo explorada em larga escala, com ataques que abusam de configurações complexas de MX e utilizam ferramentas avançadas como o Tycoon 2FA para contornar autenticação multifator. Desde 2025, o volume desses incidentes cresceu de forma consistente, transformando uma configuração comum de e-mail em uma arma eficaz para cibercriminosos.
A Microsoft destaca que o problema não está em uma falha isolada de software, mas em combinações de registros e conectores de e-mail que, quando mal planejadas, permitem a entrega de mensagens forjadas como se fossem internas. Esse cenário cria o ambiente perfeito para phishing de credenciais, roubo de sessões autenticadas e comprometimento de contas corporativas, muitas vezes sem qualquer alerta visível para o usuário final.
Como o roteamento mal configurado facilita o phishing em e-mails internos
O phishing em e-mails internos se aproveita principalmente de ambientes onde os registros MX apontam para múltiplos provedores ou serviços de terceiros. Em muitas organizações, essa configuração é resultado de migrações parciais, integrações com soluções legadas ou uso de gateways externos para filtragem de mensagens. Quando não há validações rígidas, o sistema passa a confiar em remetentes que não deveriam ser tratados como internos.
Na prática, o atacante envia uma mensagem que aparenta vir de um endereço corporativo válido. Como o roteamento aceita o tráfego por caminhos alternativos, o e-mail não passa pelos mesmos controles de autenticação aplicados a mensagens externas. Isso enfraquece a aplicação de políticas como SPF, DKIM e DMARC, permitindo que o conteúdo chegue à caixa de entrada com aparência legítima e alto grau de confiança.
Esse tipo de falha é especialmente perigoso porque contorna filtros tradicionais de spam. Para o usuário, trata-se de um e-mail interno comum, muitas vezes com linguagem adequada ao contexto da empresa e sem sinais óbvios de fraude. O resultado é uma taxa de sucesso muito maior para campanhas de phishing em e-mails internos, sobretudo quando combinadas com engenharia social bem elaborada.
O papel do kit Tycoon 2FA nos ataques
O Tycoon 2FA é um kit de ataque projetado para roubo de credenciais mesmo em ambientes protegidos por autenticação multifator. Ele funciona interceptando tokens de sessão em tempo real, o que permite ao invasor assumir a conta logo após a vítima concluir o login legítimo. Quando esse kit é combinado com e-mails internos forjados, o impacto é ainda mais grave.
A mensagem maliciosa geralmente direciona o usuário para uma página falsa que imita portais corporativos, como sistemas de faturamento ou plataformas de RH. Ao inserir suas credenciais, a vítima acredita estar apenas confirmando uma ação rotineira. O Tycoon 2FA captura as informações e a sessão ativa, anulando na prática a proteção do segundo fator.
Esse modelo de ataque explica por que tantas organizações relatam invasões mesmo com MFA habilitado. O problema não está na tecnologia em si, mas no contexto de confiança criado pelo phishing em e-mails internos, que reduz a desconfiança do usuário a quase zero.
A tática do adversário no meio (AiTM)
Outro elemento central nesses incidentes é a técnica conhecida como adversário no meio (AiTM). Nesse cenário, o atacante posiciona um proxy entre a vítima e o serviço legítimo, observando e manipulando a comunicação em tempo real. Essa abordagem permite capturar cookies de autenticação e tokens de acesso sem a necessidade de quebrar senhas ou criptografia.
No contexto de phishing em e-mails internos, o AiTM se torna extremamente eficaz. A vítima acessa o link acreditando que a solicitação veio de um colega ou departamento interno. O processo de login ocorre normalmente, mas todo o fluxo passa pelo controle do invasor, que obtém acesso imediato à conta corporativa.
Exemplos reais de ataques detectados pela Microsoft
Segundo a Microsoft, desde maio de 2025 houve um aumento significativo de campanhas explorando esse tipo de falha. Entre os exemplos mais comuns estão e-mails com faturas falsas enviadas em nome do setor financeiro, solicitações de atualização de dados vindas supostamente do RH e documentos compartilhados que simulam plataformas internas de colaboração.
Em muitos casos, os e-mails não contêm links óbvios ou anexos executáveis, o que dificulta a detecção automática. Arquivos PDF e documentos HTML são amplamente utilizados para redirecionar a vítima para páginas de captura de credenciais. Esse padrão reforça como o phishing em e-mails internos evoluiu para algo mais sutil e direcionado.
A Microsoft também relata incidentes em que um único e-mail bem-sucedido levou ao comprometimento de múltiplas contas, já que os atacantes passaram a usar a conta invadida para enviar novas mensagens internas. Esse efeito em cadeia amplia rapidamente o impacto do ataque e dificulta a contenção.
Como proteger sua organização contra e-mails forjados
Proteger-se contra phishing em e-mails internos exige uma abordagem que combine tecnologia, configuração correta e conscientização. O primeiro passo é revisar cuidadosamente os registros MX e entender todos os fluxos de entrada de e-mail da organização. Qualquer serviço de terceiros deve estar claramente documentado e validado.
Políticas rigorosas de SPF devem garantir que apenas servidores autorizados possam enviar e-mails em nome do domínio. O DMARC precisa estar configurado com política de rejeição, não apenas em modo de monitoramento, para impedir que mensagens não autenticadas sejam entregues como legítimas. Essas medidas reduzem drasticamente a possibilidade de spoofing interno.
Outro ponto crítico é a revisão de conectores e regras de transporte. Conectores excessivamente permissivos podem permitir que mensagens externas sejam tratadas como internas. Administradores devem verificar se há exceções desnecessárias e aplicar o princípio do menor privilégio em todas as integrações de e-mail.
Além disso, é essencial monitorar logs e alertas relacionados a logins suspeitos e atividades anômalas, especialmente após campanhas de e-mail internas. Treinar usuários para reconhecer pedidos incomuns, mesmo quando parecem vir de dentro da empresa, continua sendo uma camada importante de defesa.
Diante do cenário atual, a recomendação é clara. Revise hoje mesmo suas configurações de e-mail, valide suas políticas de DMARC e avalie seus conectores internos. O phishing em e-mails internos não é mais uma ameaça teórica, mas uma realidade explorada ativamente por grupos que utilizam ferramentas avançadas como o Tycoon 2FA para comprometer ambientes corporativos.
