Proteger o Microsoft 365 contra phishing e malware exige camadas: autenticação de e-mail (SPF, DKIM, DMARC), MFA em todas as contas, filtros avançados para links e anexos, monitoramento de regras de caixa de correio e correlação de identidade com XDR. Configuração nativa não é suficiente — 90% dos ataques corporativos começam pelo e-mail.

O Microsoft 365 é hoje a suíte de produtividade corporativa mais usada no mundo — e, por isso, o alvo mais atacado. Exchange Online, SharePoint, OneDrive, Teams e Entra ID fazem parte da infraestrutura crítica de praticamente qualquer empresa de médio porte. O problema é que muitas organizações migram para o M365, ativam as configurações padrão e acreditam que estão protegidas. Não estão.

Entre dezembro de 2023 e julho de 2024, a empresa de segurança Darktrace detectou 17,8 milhões de e-mails de phishing circulando em sua base de clientes. Em 2025, ataques de Business Email Compromise (BEC) cresceram 37% em apenas 13 meses. E, segundo pesquisadores do Group-IB, o kit de phishing W3LL comprometeu pelo menos 8.000 contas corporativas do Microsoft 365 — 14% de todas as contas alvo — e já é vendido como serviço em marketplaces da dark web para qualquer cibercriminoso com orçamento modesto.

Este guia foi escrito para gestores de TI, CISOs, CFOs e proprietários de empresas que precisam entender tanto o cenário de ameaças quanto as ações concretas para proteger o ambiente M365 — sem depender apenas das configurações que a Microsoft entrega por padrão.

Neste artigo:

  • Por que o Microsoft 365 é o ambiente mais atacado por phishing e BEC
  • Como funciona um ataque moderno ao M365 (AiTM, sequestro de sessão, regras ocultas)
  • As 7 camadas técnicas que toda empresa deve implementar
  • SPF, DKIM e DMARC: a base da autenticação de e-mail
  • MFA e Acesso Condicional: por que MFA sozinho não basta mais
  • Safe Links e Safe Attachments: como configurar além do padrão
  • Monitoramento de regras de caixa de correio: o vetor que ninguém observa
  • XDR integrado ao M365: correlação que o Defender nativo não entrega sozinho
  • Treinamento de usuários com simulação de phishing real
  • Cases reais: quanto custa não proteger
  • FAQ com Schema Markup

Por que o Microsoft 365 virou o principal alvo de phishing corporativo?

A resposta é direta: volume e valor. O M365 hospeda e-mail, arquivos, identidades, dados financeiros e comunicações internas de milhões de empresas. Uma única conta comprometida — especialmente de um CFO, CEO ou gestor financeiro — pode valer centenas de milhares de reais em transações fraudulentas, dados de clientes ou acesso a sistemas críticos.

Mas há um fator técnico que torna o M365 especialmente atraente para atacantes: a confiança implícita que o ecossistema gera. Um e-mail enviado de um domínio legítimo do SharePoint, com um link para um documento real do OneDrive, passa pelos filtros da maioria das ferramentas de segurança — porque tecnicamente não é falso. A URL é válida. O domínio é da Microsoft. O arquivo existe. O que está errado é a intenção e o contexto.

O Threat Intelligence Center da Microsoft monitorou esse fenômeno: atacantes passaram a abusar da infraestrutura legítima do M365 para enviar phishing — criando tenants gratuitos, aproveitando trials, ou comprometendo tenants existentes para usar como remetentes. O resultado é uma mensagem de phishing que chega de um endereço @onmicrosoft.com real, atravessa o SPF e o DKIM sem problema algum, e é entregue na caixa de entrada do usuário como se fosse uma notificação oficial.

Quais aplicativos do M365 são mais explorados pelos atacantes?

  • Exchange Online (e-mail): vetor primário de phishing, BEC, spear phishing e distribuição de malware via anexos
  • SharePoint e OneDrive: usados para hospedar arquivos de phishing com URLs legítimas que passam em filtros de e-mail
  • Teams: vetor crescente para phishing via mensagens diretas, especialmente de contas externas ou comprometidas
  • Microsoft Entra ID (Azure AD): alvo de ataques de sequestro de sessão, device code phishing e roubo de tokens OAuth
  • Microsoft Forms: usado para criar páginas falsas de coleta de credenciais com visual da Microsoft

Como funciona um ataque moderno ao Microsoft 365: além do phishing clássico

Entender como os ataques acontecem é o primeiro passo para configurar a defesa certa. Os gestores que ainda imaginam phishing como “um e-mail com link suspeito que usuário não clica” estão subestimando o que os atacantes de 2026 são capazes de fazer.

Ataque AiTM (Adversary-in-the-Middle): o bypass do MFA

O ataque AiTM (Adversary-in-the-Middle) — também chamado de Adversary-in-the-Middle phishing — é hoje a técnica mais sofisticada contra o M365. Funciona assim:

  1. O usuário recebe um e-mail com um link aparentemente legítimo (ex.: convite para visualizar um documento no SharePoint)
  2. Ao clicar, é redirecionado para uma página que reproduz perfeitamente o visual da tela de login da Microsoft — mas é um proxy reverso controlado pelo atacante
  3. O usuário digita as credenciais e completa o MFA normalmente. O proxy captura o cookie de sessão autenticado em tempo real
  4. Com esse cookie, o atacante acessa o ambiente M365 sem precisar das credenciais ou do segundo fator — a sessão já está autenticada

A pesquisa da Mitiga documentou um ataque desse tipo contra executivos de organizações que usavam Office 365. O atacante entrou via phishing simulando uma notificação do DocuSign, capturou o cookie de sessão e aproveitou uma falha de design do M365 para registrar um novo dispositivo autenticador — eliminando a proteção do MFA permanentemente para aquela conta, mesmo depois de o usuário trocar a senha.

A Microsoft rastreou o grupo Storm-2372 conduzindo campanhas similares desde agosto de 2024, abusando do fluxo de autenticação de dispositivos (device code authentication) para obter tokens persistentes de acesso ao M365 sem interação visual com o usuário.

Regras maliciosas de caixa de correio: o vetor silencioso

Um relatório da Proofpoint de abril de 2026 revelou que 10% das contas comprometidas no Q4 de 2025 tiveram regras maliciosas criadas na caixa de correio em segundos após a invasão. O atacante não exfiltra os dados imediatamente. Ele cria regras que:

  • Movem e-mails com palavras-chave específicas (pagamento, fatura, urgente) para pastas RSS ou Arquivo, onde o usuário não os vê
  • Deletam automaticamente respostas de alerta de segurança
  • Redirecionam e-mails de fornecedores e parceiros para um endereço externo do atacante

O resultado: o usuário usa o e-mail normalmente sem perceber que comunicações críticas estão sendo interceptadas. O atacante monitora silenciosamente por dias ou semanas, aguardando o momento de uma transação financeira relevante para atuar.

BEC (Business Email Compromise): o ataque mais caro em termos financeiros

O BEC (Comprometimento de E-mail Empresarial) é a consequência mais comum de um acesso não autorizado ao M365. Casos documentados em 2024-2025:

  • Uma empresa de desenvolvimento de software europeia perdeu US$ 285.000 após invasão via kit Evilginx. O atacante monitorou o e-mail por três meses antes de redirecionar uma transferência bancária legítima
  • Uma fabricante perdeu US$ 240.000 após invasão da caixa do CEO e envio de solicitações de transferência bancária
  • Uma empresa de CPA californiana perdeu US$ 90.000 com uma fatura falsificada que replicava exatamente o formato de um fornecedor real
  • Uma prestadora de saúde evitou um prejuízo de US$ 300.000 apenas porque um colaborador notou um domínio de e-mail levemente diferente

O que une todos esses casos: o ataque começou no Microsoft 365, explorou confiança estabelecida — e o antivírus não viu nada. Não há arquivo malicioso. Não há exploit. Há um ser humano manipulado por um atacante com acesso legítimo.

As 7 camadas de proteção que toda empresa com Microsoft 365 precisa implementar

A proteção do M365 não é binária — ou você tem ou não tem. É uma arquitetura de camadas, onde cada nível reduz a superfície de ataque de uma forma diferente. Nenhuma camada isolada é suficiente. Todas juntas reduzem drasticamente o risco.

Camada 1 — Autenticação de e-mail: SPF, DKIM e DMARC

Antes de qualquer ferramenta avançada, a base precisa estar correta. SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance) são registros DNS que autenticam quem pode enviar e-mail em nome do seu domínio. São gratuitos, configuráveis em horas e eliminam a grande maioria dos ataques de spoofing.

  • SPF declara quais servidores têm autorização para enviar e-mail pelo seu domínio. E-mails de outros servidores são marcados como suspeitos ou rejeitados
  • DKIM adiciona uma assinatura criptográfica a cada e-mail enviado, verificável pelo servidor receptor. Garante que a mensagem não foi adulterada em trânsito
  • DMARC define a política: o que o servidor receptor deve fazer quando SPF e DKIM falham — quarentena, rejeitar ou apenas registrar. Sem DMARC com p=reject, você está avisando, mas não bloqueando

O problema prático: muitas empresas têm SPF e DKIM ativos, mas o DMARC está em p=none — modo monitoramento, sem bloquear nada. A Microsoft recomenda evoluir para p=quarantine e depois p=reject após revisar os relatórios. Sem essa evolução, qualquer atacante pode enviar e-mail fingindo ser seu domínio com boa chance de entrega.

Camada 2 — MFA e Acesso Condicional: por que MFA sozinho não basta mais

A Microsoft afirma que o MFA bloqueia 99,9% dos ataques baseados em credenciais comprometidas. Isso é verdade para ataques de força bruta e credential stuffing — quando o atacante tem o usuário e a senha, mas não o segundo fator.

O problema é que os ataques AiTM, device code phishing e token theft capturam o cookie de sessão após o MFA bem-sucedido. Para esses cenários, o MFA padrão não é suficiente. O que complementa:

  • Acesso Condicional com risco de identidade: bloqueia sessões quando o Microsoft Entra detecta comportamento anômalo — novo país, novo dispositivo, sessão suspeita
  • Frequência de sessão configurada: força reautenticação periódica, limitando a vida útil dos cookies roubados
  • Políticas de token binding: vinculam o token ao dispositivo, invalidando-o em outros contextos
  • FIDO2 / Passkeys: autenticação resistente a phishing por design — a chave criptográfica nunca sai do dispositivo, impossibilitando o relay em proxies AiTM
  • Revisão de dispositivos registrados no Entra ID: auditoria periódica de quais dispositivos estão associados a cada conta (o caso Mitiga mostrou como atacantes registram autenticadores adicionais)

Um dado prático: o kit W3LL, analisado pelo Group-IB, foi projetado especificamente para burlar o MFA via técnica de proxy reverso. Ele é vendido por assinatura mensal na dark web e está acessível a atacantes sem habilidades técnicas avançadas. MFA é necessário — mas precisa estar combinado com Acesso Condicional inteligente.

Camada 3 — Safe Links e Safe Attachments: configuração além do padrão

Safe Links reescreve URLs nos e-mails e as verifica em tempo real quando o usuário clica — mesmo links que pareciam seguros no momento da entrega podem ser detectados como maliciosos posteriormente. Safe Attachments detonane anexos em sandbox antes da entrega na caixa de entrada.

O que muitas empresas não fazem: ativar Safe Links e Safe Attachments para Teams, SharePoint e OneDrive, não apenas para o e-mail. Em 2024, a Darktrace registrou crescimento de abuso de Teams e Dropbox para campanhas de phishing. Uma campanha de AiTM documentada pela própria Microsoft em janeiro de 2026 abusou de URLs legítimas do SharePoint como vetor de entrega.

Configurações que vão além do padrão:

  • Habilitar “Do not allow users to click through to the original URL” no Safe Links — por padrão desativado, permite que o usuário ignore o aviso
  • Configurar Safe Attachments em modo Dynamic Delivery (entrega sem o anexo enquanto o sandbox analisa) em vez de apenas bloquear
  • Aplicar políticas específicas para usuários de alto risco (CFO, CEO, RH, financeiro) com nível de proteção mais rigoroso
  • Ativar proteção para arquivos no SharePoint, OneDrive e Teams no painel do Microsoft Defender

Camada 4 — Políticas anti-phishing: proteção contra representação e spoofing

O Microsoft Defender para Office 365 inclui políticas anti-phishing que, quando configuradas corretamente, protegem contra ataques de representação de usuário e domínio. O problema: a proteção contra representação de usuário não está ativa por padrão — precisa ser configurada manualmente.

O que configurar:

  • User impersonation protection: adicione o CFO, CEO, diretores e outros executivos como usuários protegidos. O sistema alertará quando e-mails chegarem fingindo ser essas pessoas
  • Domain impersonation protection: adicione seu domínio corporativo e domínios de parceiros críticos
  • Mailbox intelligence: habilite para que o sistema aprenda os padrões de comunicação dos usuários e detecte desvios
  • Spoof intelligence: use as informações de spoofing para revisar e bloquear remetentes falsificados detectados
  • DMARC enforcement: configure a política de respeitar o DMARC do remetente quando configurado como p=quarantine ou p=reject

Camada 5 — Monitoramento de regras de caixa de correio: o vetor que passa em branco

Como documentado pelo Proofpoint, 10% das contas comprometidas em Q4 2025 tiveram regras maliciosas criadas em segundos após a invasão. O Microsoft Secure Score inclui alertas para encaminhamento externo de e-mail, mas as regras internas de redirecionamento para pastas locais raramente são monitoradas.

O que monitorar:

  • Auditoria de novas regras de caixa de correio criadas — especialmente fora do horário comercial
  • Regras com ações de deletar, mover para Archive ou RSS Subscriptions combinadas com palavras-chave financeiras
  • Regras de encaminhamento para domínios externos
  • Logins de IP, país ou dispositivo incomuns seguidos de criação de regras
  • Registro de novos dispositivos autenticadores na conta do Entra ID

No Microsoft 365, o Secure Score precisa ser revisado mensalmente, com meta acima de 75%. A ferramenta mostra exatamente quais configurações estão abertas e priorizadas por impacto no risco.

Camada 6 — XDR integrado ao M365: correlação que vai além do Defender nativo

O Microsoft Defender para Office 365 é uma ferramenta importante — mas é um produto de um único fabricante, projetado para proteger o ecossistema Microsoft. Quando o ataque envolve outros vetores — endpoints não Windows, ambientes on-premises, sistemas de terceiros — a correlação nativa fica incompleta.

É aqui que um XDR independente integrado ao M365 entrega valor concreto. Soluções como o Kaspersky Next XDR Optimum incluem proteção nativa para Exchange Online, OneDrive, SharePoint e Teams com capacidades que complementam o Defender:

  • Antiphishing, antimalware e antispam para todos os principais aplicativos do Microsoft 365 — com um segundo ponto de detecção independente
  • Correlação de eventos do M365 com eventos do endpoint: conecta o e-mail de phishing recebido com o processo suspeito executado no notebook do mesmo usuário minutos depois
  • Cloud Discovery e Data Discovery: visibilidade de quais serviços SaaS estão sendo usados (Shadow IT) e quais dados sensíveis estão armazenados no SharePoint, OneDrive e Teams
  • Integração com Active Directory: resposta diretamente do cartão de alerta, incluindo bloqueio de usuário no AD quando um incidente é confirmado
  • Agregação de alertas: reduz a fadiga de alertas consolidando eventos fragmentados em um único incidente com contexto completo

A perspectiva do CISO que vale reforçar: ter dois pontos de detecção independentes protegendo o mesmo vetor aumenta a cobertura. Se o Defender não detectou, o Kaspersky pode. Se o Kaspersky não detectou isoladamente, a correlação com o endpoint via XDR pode revelar o incidente. Defesa em profundidade não é redundância — é resiliência.

Leia também: Antivírus, EDR ou XDR: qual a diferença e qual sua empresa realmente precisa?

Camada 7 — Treinamento com simulação real de phishing: o investimento que muda o comportamento

A tecnologia protege contra ameaças técnicas. Mas como o Proofpoint documentou, em um caso um atacante conduziu phishing interno de uma conta comprometida enquanto regras ocultavam alertas — o usuário foi enganado por uma mensagem que veio de dentro da empresa, de um colega de trabalho. Tecnologia não resolve isso. Treinamento resolve.

Dados que contextualizam: segundo a VIPRE, no Q4 de 2025, 51% dos ataques de scam por e-mail foram BEC — e 82% dos casos de BEC foram baseados em impersonação. O CEO mais impersonado, seguido de CFOs e executivos sênior. Se os colaboradores não reconhecem o padrão, o ataque vence independentemente da tecnologia.

O que um programa de treinamento eficaz precisa ter:

  • Simulações de phishing periódicas (mínimo trimestral) com templates que replicam os ataques reais do momento — QR code phishing, phishing via Teams, invoice fraud
  • Microlições continuadas após cliques em simulações — não punição, mas ensino contextual imediato
  • Relatórios por usuário e departamento para identificar quem precisa de reforço
  • Conteúdo em português, localizado para a realidade brasileira (incluindo golpes típicos do mercado local)

O Kaspersky Automated Security Awareness Platform (ASAP) integra simulações de phishing com módulos de treinamento automáticos, campanhas em 25 idiomas (incluindo português do Brasil) e dashboards de progresso. Quando integrado ao XDR, pode automaticamente atribuir módulos de treinamento a usuários que clicaram em um link suspeito ou geraram um alerta — fechando o ciclo entre detecção e prevenção comportamental.

Checklist de segurança do Microsoft 365: o que verificar agora

Use esta lista como diagnóstico rápido do estado atual do seu ambiente. Cada item marcado como “não” é um vetor de ataque aberto:

Controle Status Impacto se ausente
SPF publicado e atualizado Sim / Não Spoofing do seu domínio em e-mails de phishing
DKIM configurado para o domínio Sim / Não E-mails podem ser adulterados em trânsito
DMARC com p=quarantine ou p=reject Sim / Não Qualquer atacante pode enviar como seu domínio
MFA ativo em 100% das contas Sim / Não Credenciais roubadas = acesso imediato
Acesso Condicional com risco de identidade Sim / Não Sessões AiTM não são bloqueadas
Safe Links ativo (e-mail + Teams + SP) Sim / Não Links maliciosos entregues diretamente ao usuário
Safe Attachments ativo com sandbox Sim / Não Malware via anexo entregue sem análise
Proteção contra representação de usuário (impersonation) Sim / Não CFO/CEO falsificados entram na caixa sem alerta
Monitoramento de regras de caixa de correio Sim / Não Exfiltração silenciosa de comunicações críticas
Revisão de dispositivos no Entra ID Sim / Não Autenticadores não autorizados comprometem contas
Secure Score revisado (>75%) Sim / Não Brechas de configuração visíveis mas não corrigidas
XDR com correlação de e-mail + endpoint Sim / Não Ataques multi-vetor passam invisíveis
Treinamento com simulação de phishing Sim / Não Vetor humano sem mitigação

Se você marcou mais de 4 itens como “Não”, seu ambiente tem vulnerabilidades que atacantes profissionais exploram ativamente hoje.

Quanto custa não proteger o Microsoft 365? Cases reais de 2024-2026

Números abstratos de risco não convencem CFOs. Casos concretos, sim.

O caso da empresa de energia: campanha AiTM via SharePoint (Microsoft, janeiro de 2026)

A equipe de Threat Intelligence da Microsoft documentou uma campanha sofisticada de AiTM que afetou múltiplas organizações do setor de energia. O ataque usou uma URL de SharePoint legítima como lure inicial — o e-mail de phishing apontava para um documento real hospedado no SharePoint de uma organização comprometida anteriormente, exigindo autenticação para acesso.

Ao autenticar, a vítima completou o MFA normalmente — mas estava autenticando contra um proxy controlado pelo atacante. O cookie de sessão foi capturado. Após o acesso, os atacantes criaram regras de caixa de correio para monitoramento, usaram a conta comprometida para enviar phishing para contatos internos e expandiram para outras organizações relacionadas. O Defender para Office 365 detectou a atividade — mas apenas depois da correlação com dados do XDR. Sozinho, os sinais individuais não formavam um incidente claro o suficiente para alerta automático.

O kit W3LL: phishing como serviço contra o M365 (Group-IB, 2023)

O Group-IB analisou o W3LL — um marketplace da dark web especializado em ferramentas de BEC contra Microsoft 365. Entre outubro de 2022 e julho de 2023, o kit foi usado para mirar 56.000 contas corporativas do M365 nos EUA, Austrália e Europa, comprometendo 14% delas (cerca de 8.000 contas). O kit inclui bypass de MFA e é vendido por assinatura para qualquer pessoa com orçamento de centenas de dólares mensais. Setores mais atingidos: manufatura, TI, serviços financeiros, consultoria, saúde e jurídico.

Regras de caixa de correio como persistência (Proofpoint, Q4 2025)

O Proofpoint documentou que 10% das contas comprometidas no último trimestre de 2025 tiveram regras maliciosas criadas em segundos após o acesso inicial. Em um caso, atacantes comprometeram uma conta de RH e criaram regras que suprimiam notificações de alerta e redirecionavam e-mails sobre folha de pagamento — depois usaram a conta para enviar phishing interno sobre mudanças de dados bancários de funcionários. A ação foi descoberta apenas semanas depois por um analista externo.

Microsoft 365 comprometido e LGPD: qual é a exposição legal da sua empresa?

Para diretores jurídicos e CFOs: um incidente de phishing no Microsoft 365 que resulta em acesso não autorizado a dados pessoais de clientes, colaboradores ou parceiros é um incidente de segurança reportável à ANPD sob a LGPD.

O que isso significa na prática:

  • A empresa tem 72 horas para notificar a ANPD após tomar conhecimento do incidente (quando houver risco ou dano relevante)
  • Sem evidência de controles técnicos adequados (logs, monitoramento, resposta documentada), a exposição a sanções é significativamente maior
  • Sem telemetria de EDR/XDR, a empresa não consegue sequer determinar quais dados foram acessados — impossibilitando a notificação adequada e a análise de causa raiz
  • Em casos de BEC resultando em fraude financeira, há ainda responsabilidade civil potencial perante parceiros, clientes e fornecedores afetados

A conclusão prática: o custo de um incidente não tratado vai muito além do valor desviado. Ele inclui notificação regulatória, honorários de resposta a incidentes, análise forense, comunicação de crise e dano reputacional de longo prazo. O investimento em proteção é um seguro — com ROI comprovável.

Leia mais: Política de Segurança da Informação: exemplo prático para empresas

Como a InfoB ajuda empresas a proteger o Microsoft 365 de ponta a ponta

A proteção do Microsoft 365 envolve configuração técnica (SPF, DKIM, DMARC, Safe Links, Acesso Condicional), monitoramento contínuo (regras de caixa de correio, logins anômalos, XDR) e treinamento de usuários. Cada uma dessas frentes exige especialização diferente — e muitas equipes de TI não têm bandwidth para cobrir as três simultaneamente.

A InfoB é parceira autorizada Kaspersky com mais de 20 anos de experiência em segurança corporativa. Nossa abordagem combina:

  • Diagnóstico do ambiente M365: revisão do Secure Score, políticas de Defender, configurações de autenticação e regras de caixa de correio
  • Kaspersky Next XDR Optimum: proteção nativa para Exchange Online, OneDrive, SharePoint e Teams, com correlação de e-mail + endpoint + identidade em console único
  • Kaspersky ASAP: simulações de phishing e treinamento contínuo em português do Brasil, com dashboards de progresso e relatórios por departamento
  • Kaspersky Next MXDR Optimum: para empresas que precisam de monitoramento 24/7, com SOC da Kaspersky investigando alertas, fazendo threat hunting e entregando resposta guiada

Sua empresa está protegida?

A InfoB realiza diagnósticos completos de cibersegurança para identificar vulnerabilidades reais antes que atacantes o façam.

Solicitar Diagnóstico Gratuito →

FAQ — Perguntas frequentes sobre proteção do Microsoft 365

O Microsoft 365 já vem protegido contra phishing?

Parcialmente. O M365 inclui proteções básicas como antispam, SPF/DKIM automáticos para domínios gerenciados e políticas anti-spoofing ativadas por padrão. No entanto, proteção contra representação de usuário (impersonation), Safe Links avançado, Safe Attachments e Acesso Condicional precisam ser configurados manualmente. Sem essa configuração, o ambiente está vulnerável a BEC, spear phishing e AiTM.

MFA garante que minha conta do Microsoft 365 não será comprometida?

O MFA bloqueia 99,9% dos ataques de credencial comprometida comuns. Porém, ataques AiTM (Adversary-in-the-Middle) capturam o cookie de sessão após o MFA bem-sucedido, contornando a proteção. Para mitigar, é necessário Acesso Condicional com risco de identidade, frequência de reautenticação configurada e, idealmente, FIDO2/Passkeys — métodos de autenticação resistentes a phishing por design.

O que é BEC e por que o Microsoft 365 é o principal alvo?

BEC (Business Email Compromise) é um ataque onde o criminoso acessa ou falsifica uma conta de e-mail corporativa para conduzir fraudes financeiras — redirecionar pagamentos, alterar dados bancários, solicitar transferências urgentes. O M365 é o principal alvo porque concentra e-mail, identidade e dados financeiros da maioria das empresas, e uma única conta comprometida pode valer centenas de milhares de reais.

O que são Safe Links e Safe Attachments no Microsoft Defender para Office 365?

Safe Links reescreve e verifica URLs em tempo real quando o usuário clica, bloqueando links maliciosos mesmo que tenham sido inseridos no e-mail após a entrega. Safe Attachments executa anexos em sandbox antes de entregá-los na caixa de entrada, detectando malware que ainda não tem assinatura conhecida. Ambos precisam ser ativados e configurados além das políticas padrão — especialmente para Teams, SharePoint e OneDrive.

O que é SPF, DKIM e DMARC e por que são importantes?

São protocolos de autenticação de e-mail configurados via registros DNS. SPF define quais servidores podem enviar e-mail pelo seu domínio. DKIM assina os e-mails criptograficamente, garantindo integridade. DMARC define a política de enforcement: quarentena ou rejeição de e-mails que falham nas verificações. Sem DMARC com p=reject, qualquer atacante pode enviar e-mail fingindo ser seu domínio corporativo.

O que são regras maliciosas de caixa de correio e como detectá-las?

Após comprometer uma conta do M365, atacantes frequentemente criam regras de caixa de correio que movem ou deletam silenciosamente e-mails críticos — especialmente alertas de segurança e comunicações financeiras — para pastas raramente verificadas. A detecção exige auditoria periódica de regras criadas, monitoramento de logins incomuns seguidos de criação de regras, e alertas configurados no Microsoft Sentinel ou no XDR para essa atividade específica.

Preciso de uma ferramenta além do Microsoft Defender para proteger o M365?

O Defender para Office 365 é uma camada importante, mas é um produto de fabricante único. Para correlação com endpoints não Windows, sistemas on-premises, Shadow IT e ambientes híbridos, um XDR independente como o Kaspersky Next XDR Optimum adiciona um segundo ponto de detecção e visibilidade cruzada. Dois mecanismos de detecção independentes protegendo o mesmo vetor é defesa em profundidade — não redundância.

Como o treinamento de usuários reduz o risco de phishing no M365?

A maioria das ferramentas de segurança detecta ameaças técnicas — arquivos, URLs, padrões de rede. Engenharia social não tem assinatura. Treinamento com simulações de phishing periódicas, microlições contextuais após cliques e relatórios por departamento muda o comportamento do usuário — que é o último vetor de defesa quando tudo mais falha. Plataformas como o Kaspersky ASAP automatizam o ciclo completo de treinamento e integram com XDR para resposta comportamental automática.

Como o LGPD se aplica a incidentes de phishing no Microsoft 365?

Se um ataque de phishing resultar em acesso não autorizado a dados pessoais de clientes ou colaboradores, há obrigação de notificação à ANPD em até 72 horas quando houver risco ou dano relevante. Sem logs de EDR/XDR, a empresa não consegue determinar quais dados foram acessados — o que agrava a exposição regulatória e dificulta a notificação adequada.

Leitura complementar — aprofunde sua estratégia de segurança