Imagine o seguinte, você atende ao telefone, do outro lado tem alguém que fala com aquela autoridade técnica “sou do suporte, só seguindo um protocolo de segurança”.
Daí, te orientam a clicar em algo que parece absurdamente inofensivo, tipo “configurar app conectado no Salesforce”. E pronto. Seus dados estão nas mãos de golpistas. Pois é exatamente essa pegadinha que a turma da Google Threat Intelligence revelou.
A história é clara o tal grupo de criminosos cibernéticos, apelidado de UNC6040, montou um golpe redesenhado para infectar corporações globalmente. E o alvo primário? Ambientes Salesforce, invadindo com tanta sutileza que chega a ser surpreendente.
E como isso rolou? Simples e eficaz:
Primeiro ato: o telefonema. O “suporte” que liga parece genuíno, fala inglês no sotaque corporativo e se aproveita daquele respeito automático que todo mundo tem por quem se intitula “técnico de TI”. A vítima é induzida a abrir o Salesforce, navegar até a área de connected apps e autorizar um aplicativo um “Data Loader” falsificado, com nome e logo trocadinhos, mas que parece confiável.
Segundo ato: instalação da armadilha. Uma vez que o app está lá, ele abre acesso livre para os criminosos lerem, consultarem e exfiltrarem dados sem levantar suspeitas tipo um espião altamente privilegiado usando traje social para se infiltrar no baile.
Google, pasme, já sentiu isso na pele: seu próprio Salesforce corporativo foi invadido em junho, com dados de contato de pequenas e médias empresas. Foi controlado rápido, mas mostra vale para quem acha que está blindado. Até os modos “pro” caem se a engenharia social for convincente.
Aí entra um segundo vilão: o grupo UNC6240, que surge depois para chantagear. E não de primeira. Os criminosos esperam meses, mantêm o silêncio dramático, criam pressão psicológica e depois exigem pagamento em Bitcoin geralmente dentro de 72 horas alegando conexão com o famigerado ShinyHunters. Uma tática clássica: “se você pensou que era só golpe, agora é ameaça pública”.
E, como se não bastasse, o rumor é que eles estão preparando um portal para vazar dados caso o resgate não seja pago. Quanto mais você resiste, mais exposto fica um belo exemplo de crime digital por etapas, cada uma mais amarga que a outra.
Mas calma: não é para entrar em pânico. A saída existe e passa por fortalecer os portões e educar as pessoas.
Poderá parecer bobagem, mas a regra do menor privilégio ainda é a mais poderosa, só quem realmente precisa de acesso ao Data Loader (que exige permissão “API Enabled”) deve ter.
Além disso, gerencie a fundo os connected apps. Permissões como “Customize Application” e “Manage Connected Apps” devem ser restritas a pessoas de total confiança. E ainda tem o filtro de IP limitar acessos somente aos endereços ou faixas confiáveis ajuda a barrar VPNs suspeitas comuns entre golpistas.
Isso tudo mostra que golpes sofisticados exigem contornos igualmente sofisticados na defesa não adianta firewall impenetrável se seu colaborador atende numa tarde de preguiça e confia no que lhe colocam na frente.
No fim das contas, a tecnologia ajuda, mas a vigilância humana é insubstituível. Treinamentos de conscientização, simulações de phishing, logs bem monitorados e revisão constante dos acessos são sua linha final de defesa.
