São Paulo — InkDesign News — Um grupo de hackers motivados financeiramente, conhecido como UNC6040, adotou uma abordagem inusitada para comprometer ambientes corporativos: usando telefonemas para se passar por suporte de TI. Essa técnica, chamada de “vishing” (voice phishing), tem como alvo funcionários de multinacionais de fala inglesa, buscando acesso a sistemas sensíveis, especialmente ao Salesforce.
Incidente e vulnerabilidade
A estratégia dos atacantes não depende de exploits técnicos ou vulnerabilidades de segurança, mas sim do erro humano. UNC6040 realiza chamadas a funcionários, orientando-os a aprovar um aplicativo conectado dentro do Salesforce, muitas vezes disfarçado como uma versão modificada da ferramenta legítima Data Loader. Essa ferramenta modifica sua identidade como “My Ticket Portal” para se alinhar ao tema de suporte técnico.
Impacto e resposta
Com o acesso concedido, os atacantes podem consultar e extrair grandes volumes de dados da organização visada. Inicialmente, utilizam consultas pequenas para evitar detecções, mas ao passar despercebidos, ampliam a exfiltração dos dados. Após alguns meses, os atacantes costumam entrar em contato com as vítimas, enviando mensagens de extorsão, geralmente se associando ao grupo conhecido como ShinyHunters, aumentando a pressão para que as vítimas paguem.
A abordagem retardada sugere uma colaboração com outros atores especializados em monetização de dados roubados.
(“This delayed approach hints that UNC6040 might be working with other actors who specialize in monetizing stolen data.”)— Google’s Threat Intelligence Group
Mitigações recomendadas
O GTIG recomenda adotar medidas para reduzir a probabilidade de tais violações. É fundamental restringir o acesso a ferramentas como Data Loader apenas aos usuários que realmente necessitam, com revisões periódicas de permissões. Além disso, a gestão de quais aplicativos conectados podem acessar o Salesforce deve seguir um processo formal de aprovação. O uso de autenticação em múltiplos fatores (MFA) é essencial para proteger as contas.
A monitorização de dados em plataformas como Salesforce Shield pode sinalizar e reagir a exportações de dados em larga escala em tempo real.
(“Monitoring is another key piece, platforms like Salesforce Shield can flag and react to large-scale data exports in real time.”)— Google’s Threat Intelligence Group
Em suma, os riscos de acesso não autorizado continuam a existir, e as empresas devem reforçar suas defesas para enfrentar essas ameaças emergentes.
Fonte: Hack Read – Segurança Cibernética
