Hackers usam chamadas falsas de suporte de TI para invadir sistemas corporativos e Google

Um grupo de hackers com motivação financeira, conhecido como UNC6040, está usando uma tática simples, mas eficaz, para invadir ambientes corporativos: pegar o telefone e fingir ser do suporte de TI, algo chamado simplesmente de phishing de voz (Vishing) .

De acordo com um novo relatório do Grupo de Inteligência de Ameaças (GTIG) do Google, esse criminoso tem se passado por funcionários internos de tecnologia em ataques de engenharia social por telefone. O objetivo é enganar funcionários, principalmente em filiais de empresas multinacionais que falam inglês, para que concedam acesso a sistemas confidenciais, especialmente o Salesforce , uma plataforma de gerenciamento de relacionamento com o cliente (CRM) amplamente utilizada.

A UNC6040 não se baseia em exploits ou vulnerabilidades de segurança. Em vez disso, depende de erro humano . Os invasores ligam para os funcionários e os orientam na aprovação de um aplicativo conectado dentro do Salesforce. Mas este não é um aplicativo qualquer; geralmente é uma versão modificada da ferramenta legítima Data Loader do Salesforce.

Com esse acesso, os invasores podem consultar e extrair grandes quantidades de dados da organização visada. Em alguns casos, eles disfarçam a ferramenta como "My Ticket Portal", um nome alinhado ao tema de suporte de TI do golpe.

Uma vez concedido o acesso, o UNC6040 extrai os dados em etapas. Às vezes, eles começam com etapas pequenas para evitar a detecção, usando consultas de teste e tamanhos de lote limitados. Se a sondagem inicial passar despercebida, eles ampliam a operação e iniciam a exfiltração em grande volume.

Curiosamente, o roubo de dados nem sempre resulta em demandas imediatas. Em vários incidentes, passaram-se meses até que as vítimas recebessem mensagens de extorsão. Nessas mensagens, os invasores alegavam estar associados ao conhecido grupo de hackers ShinyHunters , uma ação provavelmente com o objetivo de aumentar a pressão sobre as vítimas para que paguem.

Essa abordagem tardia sugere que a UNC6040 pode estar trabalhando com outros agentes especializados em monetizar dados roubados. Seja vendendo acesso ou repassando os dados para ataques subsequentes, a longa pausa torna a detecção e a resposta a incidentes mais complicadas para as equipes de segurança.

Embora o alvo principal seja a Salesforce, as ambições do grupo não param por aí. Após obter as credenciais, o UNC6040 foi observado se movimentando lateralmente pelos sistemas corporativos, visando plataformas como Okta e Microsoft 365. Esse acesso mais amplo permite que coletem dados valiosos adicionais, aprofundem sua presença e criem vantagem para futuras tentativas de extorsão.

A GTIG recomenda adotar algumas medidas claras para reduzir a probabilidade desses tipos de violações. Primeiro, limite quem tem acesso a ferramentas poderosas como o Data Loader. Somente usuários que realmente precisam dele devem ter permissões, e essas permissões devem ser revisadas regularmente. Também é importante gerenciar quais aplicativos conectados podem acessar a configuração do Salesforce; qualquer novo aplicativo deve passar por um processo formal de aprovação.

Para evitar acesso não autorizado, especialmente de invasores que usam VPNs, logins e autorizações de aplicativos devem ser restritos a intervalos de IP confiáveis. O monitoramento é outra peça fundamental; plataformas como o Salesforce Shield podem sinalizar e reagir a exportações de dados em larga escala em tempo real. Embora a autenticação multifator ( MFA ) não seja perfeita, ela ainda desempenha um papel importante na proteção de contas, especialmente quando os usuários são treinados para identificar truques como chamadas de phishing que tentam burlá-la.