Por dentro do golpe das faturas da OpenAI: o abuso do SendGrid e o phishing por callback explicados

Janeiro 23, 2026
Kaseya
Segurança de e-mail, Phishing

Os cibercriminosos nunca param, reinventando constantemente suas táticas para explorar a confiança, a familiaridade e o instinto humano. INKY observando que os agentes maliciosos utilizam plataformas de e-mail na nuvem e engenharia social baseada em voz para contornar os controles de segurança. Um exemplo recente é uma campanha de phishing que enviou centenas de e-mails a partir de uma conta comprometida do SendGrid vinculada à OpenAI para emitir faturas fraudulentas.

Proteja-se contra e-mails maliciosos com o Kaseya Inky

Bloqueie ameaças avançadas de phishing e por e-mail antes que elas cheguem aos usuários com INKY

Começar a usar

Um e-mail com aparência de fatura, supostamente enviado pela OpenAI, chegou do endereço [email protected] através do SendGrid. Como a mensagem foi enviada por meio de uma conta legítima da OpenAI no SendGrid, ela passou pelas verificações SPF, DKIM e DMARC para o domínio openai.com. A mensagem alegava que uma cobrança de assinatura no valor de US$ 763,99 havia sido confirmada e instava o destinatário a ligar para um número de suporte para contestá-la. A mensagem não continha links maliciosos nem anexos. Sua única chamada à ação era um número de telefone. Esse design permite que o golpe passe pelos gateways de filtragem de URL, ao mesmo tempo em que explora a confiança que os usuários depositam em marcas conhecidas e em conversas telefônicas.

Fig. 1: O e-mail de phishing com tema de fatura

Uso indevido da infraestrutura da SendGrid

As plataformas legítimas de envio de e-mails tornaram-se ferramentas poderosas para os autores de ameaças que buscam se camuflar entre as comunicações comerciais normais.

O apelo da SendGrid aos invasores

O SendGrid é amplamente utilizado por empresas para enviar e-mails transacionais e de marketing em grande volume. Ele oferece alta taxa de entrega e recursos avançados, como rastreamento de cliques e análises.  No entanto, cibercriminosos estão se aproveitando de contas do SendGrid para lançar campanhas de phishing, se passando pelo próprio SendGrid e por outras marcas confiáveis. A promessa de uma taxa de entrega de 99% torna a plataforma atraente para os criminosos. Uma conta comprometida do SendGrid permite que eles enviem e-mails falsificados que passam pelas verificações SPF/DKIM e parecem legítimos para os destinatários.

Possível violação da conta da OpenAI no SendGrid

Os e-mails de phishing desta campanha não apenas falsificavam o nome da OpenAI, como também foram enviados por meio de uma conta genuína do SendGrid configurada no domínio openai.com. As mensagens passaram nas verificações SPF, DKIM e DMARC para o domínio openai.com e continham cabeçalhos específicos do SendGrid, indicando que o remetente tinha acesso autenticado ao tenant da OpenAI no SendGrid.

Existem várias formas possíveis pelas quais os criminosos poderiam ter obtido esse acesso:

  • Quebra em massa de senhas e apropriação de contas: a Twilio, empresa controladora da SendGrid, admitiu que muitas contas de clientes foram comprometidas e utilizadas indevidamente para o envio de spam. O site KrebsOnSecurity informou que um número excepcionalmente grande de contas de clientes da SendGrid teve suas senhas quebradas e vendidas a spammers, permitindo que criminosos enviassem campanhas de phishing e malware por meio de domínios confiáveis dos clientes. Uma vez que uma conta da SendGrid é hackeada, os e-mails resultantes passam despercebidos por filtros de spam pouco sofisticados, pois os destinatários confiam na infraestrutura da SendGrid.
  • Mercado negro de credenciais do SendGrid: os cibercriminosos comercializam ativamente o acesso a contas do SendGrid que foram invadidas. O diretor de segurança da Twilio reconheceu que a empresa havia observado um aumento no número de contas comprometidas e que a autenticação multifatorial (MFA) não era obrigatória. Pesquisadores observam que o mercado para essas contas é alimentado pela reutilização de senhas: os invasores têm como alvo usuários que reutilizam credenciais em diferentes sites e, em seguida, vendem logins válidos. Um vendedor, operando sob o pseudônimo “Kromatix”, anunciou mais de 400 contas SendGrid comprometidas, definindo os preços com base no volume mensal de e-mails que elas podiam enviar. Essas contas roubadas podem ser usadas para gerar chaves de API e enviar em massa e-mails de phishing com alta taxa de entrega.
  • Phishing e roubo de credenciais: os invasores podem realizar ataques de phishing diretamente contra usuários do SendGrid para roubar suas credenciais. Como os criminosos podem usar a conta comprometida para enviar e-mails autenticados, os domínios das vítimas tornam-se participantes involuntários em ataques futuros. Se um funcionário ou prestador de serviços da OpenAI reutilizou sua senha do SendGrid, ou se suas credenciais foram comprometidas em uma violação de segurança separada, os invasores podem acessar o painel do SendGrid e criar uma campanha fraudulenta de faturamento.
  • Autenticação multifatorial fraca ou inexistente: a direção da Twilio indicou que a autenticação multifatorial (MFA) era opcional para contas do SendGrid e que a empresa planejava torná-la obrigatória. Sem a MFA, os invasores podem assumir o controle de contas simplesmente adivinhando ou obtendo senhas. A ausência de verificação adicional aumenta o risco de que domínios legítimos, como openai.com, sejam utilizados para golpes de phishing.

É importante ressaltar que não há confirmação pública de que a própria OpenAI tenha sido alvo de uma violação. A presença do domínio openai.com nesses e-mails de phishing indica que os invasores tiveram acesso a algumas credenciais do SendGrid vinculadas à OpenAI. Ainda não se sabe se esse acesso resultou do roubo de credenciais, da reutilização de senhas, de um ataque de phishing contra um funcionário ou da violação de um fornecedor terceirizado.

No entanto, a venda generalizada de contas do SendGrid violadas e a incerteza sobre se as credenciais foram obtidas por phishing ou se o próprio SendGrid foi hackeado sugerem que o golpe das faturas da OpenAI provavelmente resultou da invasão de contas, e não de uma simples falsificação de identidade. As organizações que utilizam o SendGrid devem encarar este incidente como um alerta para implementar a autenticação de dois fatores (MFA), alternar as chaves de API regularmente e monitorar padrões de envio incomuns.

Análise dos cabeçalhos do e-mail da fatura da OpenAI

O e-mail malicioso foi enviado a partir do endereço [email protected] através do SendGrid. A análise dos cabeçalhos revelou várias passagens pela infraestrutura de e-mail da Microsoft antes de chegar ao destinatário. As principais observações incluem:

  • Resultados da autenticação: A mensagem passou nas verificações SPF, DKIM e DMARC porque o domínio tm.openai.com autorizou o IP da SendGrid (159.183.120.121). Os invasores utilizam contas comprometidas da SendGrid para garantir essa correspondência.

  • Cabeçalhos “Received”: Um salto indica “Received: from MjAyMTY3MDY (desconhecido) por geopod-ismtpd-15 (SG) com ID HTTP …”, o que indica que os servidores geopod-ismtpd da SendGrid geraram a mensagem. A presença de “geopod‑ismtpd” e “(desconhecido)” nos cabeçalhos Received é um indicador comum de que o e-mail se originou do SendGrid.

  • Campos X-SG: A mensagem inclui os cabeçalhos X-SG-EID e X-SG-ID, que são exclusivos da SendGrid. Eles indicam que a mensagem foi enviada por meio da API da SendGrid, e não por um cliente de e-mail pessoal.

  • Assunto e corpo do e-mail: O assunto indicava “Cobrança de assinatura confirmada: $763,99” e o corpo continha uma única chamada à ação: “Suporte +1 (701) 638‑0848”. Não foram incluídos links, de modo que os filtros de URL não conseguiram identificar domínios maliciosos. O corpo do e-mail utilizava a identidade visual da OpenAI e uma linguagem urgente para criar uma sensação de pânico e legitimidade.

A combinação da capacidade de entrega do SendGrid, do alinhamento criptográfico e da falsificação de identidade da marca torna esses e-mails difíceis de serem bloqueados pelos gateways de segurança de e-mail padrão.

Fig. 2: Análise do cabeçalho do e-mail de phishing

Cadeia de ataque: Phishing/vishing por retorno de chamada

O phishing por retorno de chamada, também conhecido como ataque orientado por telefone (TOAD), é um golpe que começa com uma fatura falsa ou um aviso de assinatura. Esses e-mails costumam alegar ser cobranças de empresas conhecidas e incluem um número de telefone para ligar caso a cobrança não seja autorizada. O objetivo é fazer com que a vítima ligue para o número, em vez de clicar em um link. Uma vez ao telefone, o invasor se faz passar por um representante de atendimento ao cliente, solicitando informações pessoais ou instruindo a vítima a instalar um software de suporte remoto. Como não há links ou anexos maliciosos, essas mensagens podem contornar os filtros tradicionais de e-mail.

Os golpes de "callback" apostam na urgência: o e-mail insta o destinatário a ligar para cancelar uma cobrança elevada, e o golpista então solicita informações pessoais ou acesso remoto. O phishing por "callback" induz os usuários a ligarem para um número fornecido. O golpista então usa engenharia social para obter credenciais de login, dados financeiros ou acesso remoto. O método difere do phishing tradicional porque a conversa passa a ocorrer por meio de uma chamada de voz, o que dificulta o monitoramento por parte das ferramentas de segurança.

Fig. 3: Mensagem de phishing solicitando retorno de chamada

Cadeia passo a passo no caso da fatura da OpenAI

  • E-mail inicial: A vítima recebe uma mensagem com aparência de fatura do endereço [email protected], enviada via SendGrid. A mensagem alega que uma cobrança de alto valor (US$ 763,99) foi processada e fornece um número de suporte para contato. Como a mensagem passa pelas verificações SPF, DKIM e DMARC, ela parece autêntica e consegue contornar os filtros de e-mail.

  • Ligação telefônica: Acreditando que a cobrança é verdadeira, a vítima liga para o número de atendimento. Um golpista que se faz passar por representante da OpenAI atende a ligação. Ele pode pedir o nome da vítima, o endereço de e-mail ou outros dados de identificação para “consultar a conta”.

  • Assistência remota: O golpista alega que precisa estornar a cobrança ou emitir um reembolso e instrui a vítima a instalar um software de suporte remoto, o que lhe dá acesso ao dispositivo da vítima.
  • Vulnerabilidade: Com o acesso remoto, o invasor pode coletar dados confidenciais (credenciais bancárias, números de identificação pessoal) ou orientar a vítima a seguir processos falsos de reembolso que resultam em prejuízos financeiros reais. As primeiras campanhas utilizavam essa técnica para instalar malware, concedendo acesso remoto e, por vezes, levando a ataques de ransomware. Os invasores também podem instruir a vítima a acessar sua conta bancária para “verificar” os fundos e, em seguida, transferir dinheiro sem que ela perceba.

  • Ações pós-invasão: os invasores podem permanecer na máquina da vítima, instalar malware adicional, roubar dados ou expandir a invasão para outros sistemas. Como foi a própria vítima quem iniciou a chamada, ela pode não perceber que ocorreu qualquer atividade maliciosa.

Consequências do phishing por retorno de chamada

O phishing por retorno de chamada pode ter graves consequências. Uma vez concedido o acesso remoto, os invasores podem realizar:

  • Roubo de identidade e fraude financeira: as ferramentas de suporte remoto permitem que criminosos visualizem e roubem informações bancárias, iniciem transferências eletrônicas ou solicitem empréstimos. A Netcraft observa que criminosos utilizaram contas comprometidas da SendGrid para lançar ataques de phishing se passando por diversas empresas, destacando a magnitude desse tipo de abuso. Após o acesso remoto ser estabelecido, os invasores podem manipular o painel financeiro da vítima e extrair dados.

  • Instalação de malware e ransomware: as vítimas são induzidas a baixar trojans de acesso remoto, que são posteriormente utilizados para instalar ransomware. Os invasores também podem instalar keyloggers ou outros tipos de spyware.

  • Compromisso da rede e movimentação lateral: com acesso a um terminal, os criminosos podem se movimentar lateralmente dentro de uma organização, roubar dados comerciais ou enviar novos e-mails de phishing (phishing lateral).

Melhores práticas e recomendações

Para reduzir o risco de golpes de phishing que abusam do recurso de callback do SendGrid:

  • Verifique através dos canais oficiais: não ligue para números de telefone fornecidos em e-mails não solicitados. Se você receber uma fatura ou um aviso de assinatura que pareça suspeito, entre em contato diretamente com a empresa usando um número do site oficial dela ou do portal da sua conta.

  • Nunca conceda acesso remoto a pessoas desconhecidas: empresas legítimas não solicitam acesso remoto para emitir reembolsos ou cancelar assinaturas. Nunca instale software de suporte remoto, a menos que você tenha iniciado uma solicitação de suporte junto a um provedor de confiança.

  • Informe os usuários: Treine os funcionários para que saibam identificar golpes envolvendo faturas.

  • Denuncie e isole: se você suspeitar de uma tentativa de phishing por meio de retorno de chamada, denuncie o e-mail à sua equipe de segurança e isole todos os dispositivos que tenham software de suporte remoto instalado. Monitore suas contas em busca de transações não autorizadas e altere as senhas.

  • Proteja as contas do SendGrid: as organizações que utilizam o SendGrid devem ativar a autenticação multifatorial, monitorar as atividades de envio e revogar quaisquer chaves de API comprometidas. A Netcraft alerta que criminosos utilizam contas comprometidas do SendGrid para enviar e-mails de phishing autenticados.

Considerações finais

O golpe da fatura da OpenAI demonstra como os invasores se valem de serviços legítimos de e-mail na nuvem e de engenharia social baseada em voz para contornar os controles de segurança. Ao enviar um e-mail com tema de fatura por meio do SendGrid, os criminosos garantiram que a mensagem passasse pelas verificações SPF/DKIM/DMARC e parecesse confiável. A ausência de links maliciosos permitiu que o e-mail contornasse os filtros de URL, enquanto a chamada à ação urgente levou o destinatário a entrar em contato com um golpista, que então tentou obter acesso remoto.

O phishing de retorno de chamada faz parte de uma tendência mais ampla na qual os invasores transformam plataformas confiáveis e ferramentas de suporte remoto em armas. Segurança avançada de e-mail, vigilância, educação do usuário e verificação rigorosa por meio de canais oficiais continuam sendo as defesas mais eficazes contra essa ameaça em evolução.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

Segurança de e-mail: um guia completo para equipes de TI e MSPs

O e-mail continua sendo o vetor de ataque mais explorado na área de segurança cibernética. É o ponto de entrada para golpes de phishing, comprometimento de e-mails corporativos, distribuição de malware,

Leia a postagem do blog
RGPD e e-mail - Blog 2

A redução do risco de violação do GDPR começa na caixa de entrada

Leia o blog para descobrir como a segurança de e-mail desempenha um papel fundamental no cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD).

Leia a postagem do blog

O verdadeiro custo dos ataques de phishing

Descubra o verdadeiro custo dos ataques de phishing e como a segurança moderna de e-mail bloqueia as ameaças antes que elas afetem sua empresa.

Leia a postagem do blog