Nos últimos dias, voltou a aparecer uma tática que demonstra como a engenharia social pode continuar a violar ainda as barreiras mais sofisticadas de segurança: grupos criminosos estão aproveitando chamadas telefónicas falsas para enganar funcionários e obter acesso a contas de início único (SSO) de empresas. Essas contas atuam como chaves-primas para aplicações na nuvem de uma organização, pelo que seu compromisso pode derivar em roubos de informação, intrusões posteriores e demandas de extorsão.
A mecânica é perturbadoramente simples e eficaz: Um atacante se faz passar por suporte técnico, contacta um trabalhador e guia para introduzir suas credenciais em uma página que imita o portal da empresa. Entretanto, um painel de controle do kit de phishing permite ao atacante adaptar em tempo real o que o usuário vê, solicitando também os códigos MFA ou a aprovação de notificações push quando necessário. O resultado: acesso ao SSO e às aplicações ligadas desse painel, desde soluções de correio e CRM até plataformas de colaboração e armazenamento.
Empresas que oferecem SSO, como Okta, Microsoft (Entra) e Google, facilitam que as organizações liguem muitas aplicações a um único fluxo de autenticação, o que melhora a produtividade, mas também concentra o risco. Nesses painéis geralmente aparecem as aplicações ligadas —correo corporativo, CRM, ferramentas de suporte e repositórios de documentos — de modo que uma conta comprometida pode se tornar uma porta direta a ativos sensíveis.
Okta publicou uma análise técnica sobre os kits de phishing que ajudam a executar essas campanhas. No seu relatório, a empresa descreve como estas ferramentas permitem mudar dinamicamente as janelas na página de suplantação para guiar o usuário passo a passo durante a chamada, mesmo quando a verificação solicita fator adicional como push ou TOTP. Você pode ler a análise do Okta em seu blog técnico: Okta Threat Intelligence.
A investigação jornalística que alertou sobre a onda de ataques citou empresas que receberam exigências de pagamento assinadas pelo grupo de extorsão que se chama ShinyHunters. O próprio grupo declarou a mídia que está por trás de algumas dessas campanhas e que seu interesse principal são os dados hospedados em plataformas CRM como Salesforce; assegurou também ter infraestrutura para executar chamadas e páginas fraudulentas. Mais detalhes sobre a cobertura de notícias podem ser encontrados em BleepingComputer, que seguiu o caso.
Uma prática especialmente perigosa nestas invasões é o uso de dados previamente filtrados para aumentar a credibilidade das chamadas: números de telefone, cargos, nomes e detalhes corporativos extraídos de lacunas anteriores permitem ao atacante personificar melhor alguém da equipe de TI e reduzir as dúvidas do empregado contactado. Após a intrusão, os atacantes costumam extrair documentos e bases de dados para depois ameaçar publicá-los ou vendê-los se não receberem um resgate.
Os incidentes relatados recentemente foram associados a empresas cujos dados surgiram em vazamentos prévios ou que confirmaram acessos não autorizados nas suas redes. Alguns serviços afetados por vazamentos recentes – de acordo com relatos públicos – incluem plataformas como SoundCloud ou Crunchbase; essas organizações emitiram comunicados e estão investigando os alcances dos incidentes. Leia as notas oficiais das empresas para conhecer a sua versão e medidas: por exemplo, a página de imprensa e avisos de Crunchbase ou os comunicados do SoundCloud quando apropriado.
As respostas dos grandes fornecedores foram cautelosas. A Microsoft indicou que não tinha declarações adicionais no momento, e o Google observou que não tinha evidências de abuso direto de seus produtos nessa campanha no momento do relatório. Quando ocorrem ataques que exploram o fator humano mais do que falhas técnicas, a comunicação pública é geralmente gradual enquanto os vetores são investigados e mitigados riscos.
O que as organizações podem fazer para reduzir este risco? A primeira linha de defesa é reconhecer que a chamada "confirmação humana" não é garantia absoluta: a formação contínua em detecção de suplantações, os exercícios de phishing por parte da própria equipe de segurança e os protocolos internos de verificação telefônica ajudam, mas não bastam por si só. É fundamental combinar consciência com controles técnicos que dificultem o abuso mesmo se as credenciais chegam às mãos do atacante.
Dentre as recomendações técnicas que as empresas deveriam avaliar estão a implantação de mecanismos de autenticação resistentes ao phishing, como chaves FIDO2 e outros autenticadores físicos; a aplicação de políticas de acesso condicional que limitem a sessão e exija reatenticação diante de comportamentos anormais; a segmentação de privilégios para que uma conta não tenha acesso indiscriminado a todas as aplicações; e a monitorização e resposta precoce baseada em detecção de padrões suspeitos nas sessões SSO. Microsoft e Google publicam guias sobre boas práticas de acesso e gestão de identidades que podem servir como ponto de partida: Microsoft Conditional Access e Guias de Segurança do Google Workspace.
Também é importante reduzir a superfície de ataque. Limitar as permissões concedidas às contas de utilizador, desactivar os métodos de recuperação que possam ser cooptados pelos atacantes e controlar a criação de aplicações de terceiros dentro do SSO são decisões operacionais que dificultam a exploração em massa após um compromisso inicial.
Do ponto de vista regulamentar e de cumprimento, conservar traços de auditoria, ter planos de resposta a incidentes atualizados e colaborar com forças de segurança quando se detecta exfiltração são passos que permitem não só conter os danos, mas também preservar provas e cumprir obrigações legais. As organizações que sofrem roubos massivos de dados geralmente precisam de coordenação entre equipamentos técnicos, legais e de comunicação para gerir a crise.
A lição central é que os atacantes nem sempre buscam falhas nos serviços: muitas vezes apontam para o elo mais fraco, que geralmente é uma pessoa com pressa e uma chamada convincente. A combinação de formação, controles técnicos robustos e políticas que limitem o impacto de um acesso comprometido é a defesa mais prática hoje. Instituir a autenticação resistente ao phishing, endurecer o controle de acessos e manter procedimentos claros para chamadas de suporte pode marcar a diferença entre uma tentativa falhada e uma intrusão que acabe filtrando informações sensíveis.
Se você quiser aprofundar o tema técnico, além da análise do Okta e da cobertura jornalística, documentos como o guia do NIST sobre autenticação oferecem fundamentos para projetar arquiteturas de acesso mais seguras: NIST SP 800-63B. E se a sua empresa usar o SSO, é recomendável rever as configurações de acesso condicional e a gestão de sessões na documentação oficial do seu fornecedor.
O fenômeno não é novo, mas sua escala e engenharia foram evoluindo: os kits de phishing com controle remoto e a reutilização de dados de lacunas anteriores tornaram essas campanhas mais persuasivas e difíceis de detectar. Manter a guarda alta e aplicar defesa em profundidade continua sendo a melhor receita contra um adversário que explora a confiança humana para abrir portas digitais.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...