Criminosos usam ligações falsas para enganar funcionários (ilustração: Vitor Pádua/Tecnoblog)
Resumo
Cerca de 20 empresas sofreram um golpe de phishing que simula suporte de TI, usando o Data Loader da Salesforce para roubo de dados.
Segundo um relatório do Google, o grupo UNC6040 é motivado por questões financeiras e conduz os ataques para obter credenciais e invadir outras plataformas, como o Microsoft 365.
O Google recomenda uma estratégia de defesa em profundidade, com conscientização, restrição de permissões e autenticação multifator.
Um grupo de cibercriminosos especializado em golpes de engenharia social enganou funcionários de cerca de 20 organizações e conseguiu roubar dados confidenciais. O alerta foi feito pelo Google Threat Intelligence Group nesta quarta-feira (04/06).
Segundo o relatório detalhado do setor de inteligência do Google, o grupo chamado UNC6040 se passa por equipe de suporte de TI em ligações falsas, convencendo vítimas a instalar uma versão modificada do Data Loader — ferramenta oficial da Salesforce, empresa dona do Slack, popular em ambientes corporativos no Brasil.
Entenda o golpe
Os ataques começaram no início de 2025, movidos principalmente por questões financeiras, e atingiram empresas dos setores de hospitalidade, varejo e educação nas Américas e na Europa. A estratégia foi especialmente eficaz contra multinacionais de língua inglesa.
A abordagem é direta: durante uma ligação, o criminoso orienta o funcionário a acessar a configuração do Salesforce Connect e inserir um código que conecta o aplicativo modificado ao ambiente corporativo.
A infraestrutura do UNC6040 também abriga painéis de phishing da Okta, usados para enganar vítimas e roubar credenciais e tokens de autenticação multifator (MFA). Em alguns casos, os criminosos conseguiram se movimentar pela rede e acessar outras plataformas, como Microsoft 365 e Workplace.
O Google aponta no relatório que o UNC6040 é um grupo distinto, embora compartilhe práticas semelhantes com outro coletivo identificado como “The Com”. A big tech afirma que não há indícios de que o problema decorra de uma falha da Salesforce. “Em todos os casos observados, os invasores manipularam usuários finais, sem explorar qualquer vulnerabilidade inerente a Salesforce”, diz o documento.
Como se proteger?
Esse tipo de ataque atinge principalmente ambientes corporativos. Em março, a Salesforce publicou um guia com medidas preventivas, reforçando a importância da conscientização e das boas práticas de segurança. Até agora, não há registro de ransomware, mas casos de extorsão ocorreram meses depois das invasões.
Além do cuidado com as informações em ligações e mensagens, o Google recomenda que as organizações adotem uma estratégia de “defesa em profundidade”. Algumas medidas importantes: conceder apenas as permissões essenciais aos usuários, monitorar e bloquear atividades suspeitas, e aplicar autenticação multifator de forma universal nos ambientes digitais.
Com informações do Google e The Register
Google alerta: golpe finge suporte de TI para roubar dados
Leave a Reply