Um novo esquema de phishing está enganando funcionários de empresas em todo o mundo, segundo alerta recente do Google. Criminosos se passam por técnicos de suporte de TI em ligações telefônicas para roubar dados sensíveis de organizações. O golpe, que já afetou cerca de 20 empresas, utiliza ferramentas legítimas da Salesforce de forma maliciosa.
Como funciona o golpe do falso suporte técnico
O grupo conhecido como UNC6040 opera desde o início de 2025, focando principalmente em empresas dos setores de hospitalidade, varejo e educação nas Américas e Europa. A tática é enganosamente simples: durante uma ligação, o criminoso convence o funcionário a instalar uma versão modificada do Data Loader, ferramenta oficial da Salesforce.
Os golpistas orientam as vítimas a:
Acessar as configurações do Salesforce Connect
Inserir um código malicioso
Conectar o aplicativo adulterado ao ambiente corporativo
Segundo o relatório do Google, o grupo também mantém painéis de phishing da Okta para roubar credenciais e tokens de autenticação multifator. Em alguns casos, conseguiram até acessar outras plataformas como Microsoft 365 e Workplace.
Proteção contra ataques de engenharia social
Esse tipo de ataque explora a confiança humana, não vulnerabilidades técnicas. A Salesforce já havia publicado um guia de proteção contra engenharia social em março, destacando a importância da conscientização.
O Google recomenda estratégias de defesa em profundidade:
Conceder apenas permissões essenciais aos usuários
Monitorar e bloquear atividades suspeitas
Implementar autenticação multifator universal
Treinar funcionários para identificar golpes
Embora não haja registros de ransomware até o momento, alguns casos de extorsão foram relatados meses após as invasões iniciais. A situação serve como alerta para empresas revisarem seus protocolos de segurança e treinamento de equipes.
O perigo das ferramentas legítimas usadas de forma maliciosa
O que torna esse golpe particularmente perigoso é o uso de ferramentas legítimas como vetores de ataque. O Data Loader da Salesforce, por exemplo, é amplamente utilizado por empresas para gerenciamento de dados, o que pode fazer com que funcionários baixem a guarda ao receber instruções para usá-lo. Os criminosos do UNC6040 criaram uma versão modificada que parece idêntica à original, mas contém código malicioso para exfiltrar dados.
Especialistas em segurança observaram que os atacantes estão usando técnicas sofisticadas de persistência. Após o acesso inicial, eles:
Criam contas de administrador ocultas
Modificam regras de encaminhamento de e-mail para monitorar comunicações
Instalam backdoors em sistemas conectados
Um relatório da Mandiant mostra que o grupo mantém acesso às redes comprometidas por semanas antes de executar qualquer ação maliciosa visível, aumentando as chances de passar despercebido.
Como as empresas estão respondendo ao golpe
Organizações afetadas estão adotando medidas mais rigorosas para verificar solicitações de suporte técnico. Algumas implementaram protocolos onde:
Todas as solicitações de suporte devem ser validadas através de múltiplos canais
Instalação de qualquer software requer aprovação prévia do departamento de TI
Funcionários recebem treinamento mensal sobre novas táticas de phishing
A Salesforce, por sua vez, lançou atualizações no Data Loader que incluem verificações de integridade do software durante a instalação. A empresa também está trabalhando com o Google para identificar e derrubar domínios de phishing associados ao UNC6040.
Curiosamente, os criminosos parecem estar adaptando suas táticas conforme as empresas implementam novas defesas. Em casos recentes, começaram a usar:
Ligações em horários de pico, quando os funcionários estão mais propensos a agir rapidamente
Informações prévias sobre a vítima obtidas em vazamentos de dados
Falsos números de telefone que aparecem como internos nos sistemas corporativos
Essa evolução constante do golpe mostra como ataques de engenharia social estão se tornando cada vez mais personalizados e difíceis de detectar. A situação levanta questões importantes sobre como equilibrar produtividade com segurança em ambientes corporativos.
Com informações do: Tecnoblog
