Criminosos estão cada vez mais criativos em suas abordagens e, recentemente, foi identificado um golpe sofisticado de phishing que utiliza ligações falsas para enganar funcionários de diversas empresas. Esse golpe, que já afetou cerca de 20 organizações, simula suporte técnico e utiliza a ferramenta Data Loader da Salesforce como parte do processo de roubo de dados.
Segundo um relatório da equipe de inteligência do Google, um grupo de cibercriminosos identificado como UNC6040 está motivado por questões financeiras e tem conduzido esses ataques com o objetivo de obter credenciais de acesso e invadir outras plataformas corporativas, como o Microsoft 365. A justificativa para essa abordagem é simples: a confiança das vítimas em personagens que se apresentam como suporte técnico torna o golpe mais aceitável e menos suspeito.
Entenda o golpe
Os ataques iniciaram no início de 2025 e foram especialmente eficazes em setores como hospitalidade, varejo e educação, principalmente em empresas multinacionais de língua inglesa. A estratégia utilizada pelo grupo UNC6040 é direta e conta com a manipulação da confiança dos funcionários. Durante a ligação, o criminoso orienta a vítima a acessar a configuração do Salesforce Connect e inserir um código que liga um aplicativo modificado ao ambiente corporativo.
O uso do Data Loader modificado é um ponto central nessa fraude. Após a instalação, os criminosos conseguem acessar uma infraestrutura que inclui painéis de phishing da Okta, permitindo roubar credenciais e tokens de autenticação multifator (MFA). Em diversos casos, os atacantes conseguiram se infiltrar ainda mais nas redes corporativas e acessar dados em plataformas como Microsoft 365 e Workplace.
O Google não encontrou evidências que apontem falhas na Salesforce como a origem do problema. De acordo com o relatório, todas as invasões observadas foram resultado de manipulação dos usuários finais, e não de vulnerabilidades no sistema da Salesforce. Essa informação destaca a importância da conscientização sobre cibersegurança dentro das organizações, já que a vulnerabilidade frequentemente está na interação humana.
Como se proteger?
Com a crescente incidência desses ataques, é vital que as empresas adotem estratégias de proteção robustas. Em março de 2025, a Salesforce publicou um guia recomendando diversas práticas de segurança. Embora não tenham sido registrados casos de ransomware associados, surgiram incidentes de extorsão alguns meses após as invasões, o que evidencia a necessidade de medidas preventivas.
Uma recomendação importante é a implementação de uma estratégia de “defesa em profundidade”. Isso inclui:
- Concessão de permissões mínimas: Limite as permissões dos usuários a apenas o que é essencial para suas funções.
- Monitoramento contínuo: Estabeleça procedimentos para monitorar a atividade de usuários e bloquear ações suspeitas imediatamente.
- Autenticação multifator: Implemente MFA em todas as plataformas digitais para adicionar mais uma camada de segurança.
A conscientização entre os funcionários também é crucial. Realizar treinamentos regulares sobre cibersegurança e simulações de ataque pode ajudar a preparar os colaboradores para reconhecer tentativas de phishing e responder adequadamente.
Além disso, considere realizar auditorias regulares de segurança para identificar vulnerabilidades em seus sistemas e processos. Proteger informações sensíveis deve ser uma prioridade para todas as organizações, especialmente na atual era digital onde os crimes cibernéticos estão crescendo rapidamente.
Outro olhar sobre a segurança online
Ainda que as empresas implementem diferentes medidas de segurança, a colaboração entre setores e a troca de informações sobre novas ameaças são cruciais. A cibersegurança não deve ser vista como uma questão isolada, mas sim como um desafio coletivo que exige a atenção e ação de todos os envolvidos, desde os desenvolvedores de software até os usuários finais.
Além disso, a participação em comunidades de tecnologia e cibersegurança, onde práticas de segurança podem ser debatidas e compartilhadas, é um passo importante para fortalecer a resiliência contra esses ataques. Plataformas como a Agência Colors promovem recursos e informações que podem auxiliar organizações a se manterem atualizadas sobre as melhores práticas de segurança cibernética.
As táticas utilizadas por grupos como o UNC6040 mostram como é fácil manipular um funcionário despreparado. Portanto, o foco na formação e conscientização dos que manuseiam dados sensíveis é essencial para que o risco de invasões diminua.
À medida que o cenário digital evolui, é imprescindível que a segurança seja uma prioridade contínua e proativa, adaptando-se às novas realidades que surgem no ambiente corporativo.
Perguntas Frequentes sobre Golpes de Phishing e Segurança Cibernética
- O que é phishing? É uma técnica de fraude onde criminosos tentam enganar as vítimas para que elas revelem informações pessoais ou financeiras por meio de mensagens, ligações ou sites falsos.
- Como posso identificar um golpe de phishing? Este tipo de ataque pode incluir solicitações inesperadas de informações ou a urgência em agir, além de links suspeitos ou mensagens que não parecem autênticas.
- Quais são os sinais de que uma ligação pode ser fraudulenta? Preste atenção ao tom da conversa, à pressão para realizar ações rápidas e à falta de informações claras sobre o suposto suporte técnico.
- Como posso proteger minha empresa contra ataques de phishing? Treinamentos regulares, autenticação multifator, e monitoramento das atividades da rede são algumas das medidas recomendadas.
- É seguro usar autenticação multifator? Sim, a autenticação multifator é um dos métodos mais eficazes de proteger contas, pois requer mais de uma forma de verificação para acessar informações sensíveis.
- As empresas devem realizar auditorias de segurança regulares? Sim, é fundamental para identificar vulnerabilidades e garantir que as medidas de segurança estejam atualizadas.
- Qual é o impacto de um ataque de phishing nas empresas? Além do roubo de dados confidenciais, empresas podem sofrer danos financeiros e de reputação, além de custos associados à recuperação após um ataque.
- O que fazer se eu receber um link suspeito? Não clique no link. Denuncie a mensagem ao departamento de TI da sua empresa e exclua-a imediatamente.
