A notícia de uma intrusão em Optimizely colocou novamente no centro do debate uma ameaça que, apesar de não depender de exploits sofisticados, é extremamente eficaz: a engenharia social por voz, ou “vishing”. A empresa sediada em Nova Iorque informou um grupo de clientes - sem precisar quantos - que atacantes conseguiram acesso a alguns sistemas depois de enganar pessoal por telefone. Segundo a comunicação, os hackers obtiveram principalmente informações de contato empresarial e registros internos limitados, e não existe, por agora, evidência de que dados pessoais sensíveis ou segredos comerciais tenham sido exfiltrados.
Optimizely, que agrupa cerca de 1.500 funcionários em 21 escritórios internacionais e atende mais de dez mil clientes – entre os quais se encontram marcas reconhecidas a nível global –, esclareceu que a intrusão não permitiu aos atacantes elevar privilégios ou implantar portas traseiras em seu ambiente. Ainda assim, a empresa adverte que a informação sutraída poderia ser utilizada em campanhas posteriores de suplantação por chamada, SMS ou correio para tentar roubar credenciais, códigos MFA ou acesso a contas corporativas.
O padrão descrito pela Optimizely encaixa com uma modalidade que ganhou protagonismo: atacantes que se fazem passar por suporte técnico ou administradores, contactam por telefone a funcionários e, mediante urgência ou enganos muito trabalhados, induzem-lhes a entregar senhas ou códigos de autenticação. Em vários incidentes recentes – alguns atribuídos publicamente a grupos como ShinyHunters ou redes de extorsão afins – os criminosos combinaram essas chamadas com páginas de phishing que imitam serviços de início de sessão ou, mais recentemente, com técnicas que abusam do fluxo de autorização de dispositivos de OAuth para obter tokens legítimos sem ter de capturar uma senha tradicional.
O risco que esta variante coloca não é apenas a perda pontual de dados: quando um atacante consegue comprometer uma conta de início único (SSO), abre-se a porta a múltiplos serviços empresariais conectados, desde correio e armazenamento até plataformas CRM e ferramentas de colaboração. Essa escalada lateral pode converter uma filtração aparentemente “limitada” em um incidente de maior alcance se não se detectar e conter rapidamente.
Para contextualizá-lo com fontes técnicas e análises recentes, vários equipamentos de resposta e jornalistas especializados documentaram campanhas que exploram precisamente esse vetor de voz e fluxo de dispositivo. Meios e comunidades de cibersegurança têm seguido de perto tanto a técnica conhecida como “device code vishing” como as operações de grupos que extorsionam com dados roubados; no caso de pesquisas e avisos técnicos, você pode consultar material público em sites especializados e blogs de segurança. Por exemplo, o trabalho de pesquisadores que rastreiam campanhas de vishing e abuso do fluxo de autorização pode ser consultado em análise pública como o do grupo SilentPush, e a cobertura jornalística de incidentes semelhantes foi publicada em meios especializados como BleepingComputer. A própria Optimizely mantém informações corporativa em seu site https://www.optimizely.com, onde os clientes costumam encontrar comunicados oficiais e avisos de segurança.
O que pode fazer uma organização para reduzir a probabilidade de cair neste tipo de engano? Em primeiro lugar, fazer com que os controles técnicos e as políticas não dependam exclusivamente da cautela individual: implementar métodos de autenticação resistentes a phishing, como chaves de segurança física ou FIDO2, impede que um código ou senha seja suficiente por si mesmo. Além disso, configurar políticas de acesso condicional que exijam verificações de contexto (localização, dispositivo gerenciado, risco de conexão) e limitar privilégios de administradores são medidas que reduzem o impacto se uma credencial for comprometida. É igualmente importante monitorar e detectar atividade incomum em fluxos SSO, revisar registros de sessões e tokens, e contar com planos de resposta que contemplem a revogação rápida de sessões e credenciais comprometidas.
A formação e os processos também importam: ensinar o pessoal a reconhecer táticas de vishing, estabelecer canais verificados para pedidos sensíveis e criar procedimentos claros para confirmar chamadas legítimas do suporte técnico ajudam a conter a eficácia dos enganos. As agências e centros de segurança oferecem guias e materiais de referência sobre engenharia social e como se protegerem; National Cyber Security Centre do Reino Unido fornece recursos úteis sobre essas técnicas e recomendações práticas, e organizações como CISA Eles publicam avisos e conselhos orientados para empresas e administrações.
No caso concreto da Optimizely, a empresa informou que as suas operações continuam a funcionar com normalidade e que a incidência se limitou a sistemas internos e certos documentos de gestão, mas também encorajou os clientes a permanecerem atentos às tentativas de suplantação que aproveitem a informação filtrada. Embora a empresa não tenha revelado todos os detalhes – nem o número exato de afetados ou a identidade confirmada dos atacantes – o incidente destaca uma realidade clara para qualquer organização ligada a ecossistemas SSO: as contramedidas humanas e técnicas devem evoluir ao ritmo de táticas que exploram a confiança e procedimentos cotidianos.
A lição é dupla. Por um lado, nem todo incidente espetacular começa com um exploit de dia zero; às vezes basta a voz correta no telefone para abrir uma porta. Por outro lado, existem ferramentas e práticas — desde tecnologias de autenticação robusta até resposta ágil e formação contínua — que reduzem drasticamente o risco e o dano potencial. Manter atualizados os controles, auditar acessos e promover uma cultura em que qualquer chamada que peça credenciais seja verificada por canais alternativos são passos concretos e prática que podem marcar a diferença.
Se você quiser aprofundar, verifique os comunicados de segurança da Optimizely e as pesquisas públicas sobre campanhas de vishing e abuso de fluxos OAuth nos links citados, e considere rever com sua equipe de segurança política de MFA e resposta a incidentes para garantir que estão preparadas para esse tipo de ameaças.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...