Hackers utilizam Voice Phishing para roubar dados de instâncias do Salesforce

João Fernandes Por
Jun. 09, 2025
Hackers utilizam Voice Phishing para roubar dados de instâncias do Salesforce
Segurança e Redes

Um grupo de cibercriminosos com motivações financeiras tem estado a explorar vulnerabilidades humanas para aceder a dados sensíveis de empresas através de instâncias da plataforma Salesforce, revelou o Google Threat Intelligence Group. Os ataques recorrem a técnicas de voice phishing - também conhecido como vishing - para enganar funcionários e obter credenciais de acesso privilegiadas, posteriormente utilizadas em tentativas de roubo de dados e extorsão.

Os atacantes, identificados como UNC6040 pela Google, fazem-se passar por elementos das equipas de TI das próprias empresas-alvo, conseguindo convencer colaboradores - sobretudo de filiais de empresas multinacionais de língua inglesa - a fornecer dados de login críticos. Com estas credenciais, o grupo acede aos ambientes Salesforce internos das vítimas.

Durante este processo de engenharia social, os funcionários são induzidos a visitar a página de configuração de aplicações conectadas ao Salesforce. A partir daí, os atacantes utilizam uma versão maliciosa e não autorizada da aplicação Salesforce Data Loader, que lhes permite extrair informação confidencial diretamente do sistema.

Mas a ameaça não termina aqui: de acordo com a investigação da Google, o grupo criminoso conseguiu também movimentar-se lateralmente dentro das redes internas das empresas atacadas, alcançando outros serviços em nuvem e até infraestruturas corporativas internas.

A Salesforce já tinha emitido um alerta para esta tipologia de ataque em março passado. Um porta-voz oficial esclareceu que não existe evidência de qualquer falha ou vulnerabilidade na própria plataforma, reforçando que estas ações exploram exclusivamente lacunas no comportamento humano dos utilizadores.

"Ataques como este são fraudes de social engineering altamente direcionadas, que tiram partido de falhas na sensibilização para a cibersegurança e na aplicação de boas práticas por parte dos utilizadores finais," referiu a Salesforce em comunicado enviado por e-mail.

A empresa recomenda, como medidas preventivas essenciais, a implementação de autenticação multifator (MFA), a restrição dos endereços IP autorizados para login e a limitação rigorosa dos privilégios de acesso atribuídos a cada perfil de utilizador.

Até à data, não é claro como os atacantes tomaram conhecimento detalhado da ferramenta Salesforce nem porque elegeram especificamente esta plataforma para os seus ataques. Os analistas da Google referem ainda não ter observado outros grupos de ciberameaças a empregar este método.

Os diferentes casos analisados revelam disparidades na proficiência técnica dos atacantes, sugerindo níveis variados de conhecimento interno da ferramenta.

"Estas diferenças demonstram provavelmente uma equipa com competências distintas e níveis desiguais de familiaridade com o ecossistema Salesforce," explicou Austin Larsen, analista principal do Google Threat Intelligence Group. "É provável que esta perícia tenha sido adquirida através de investigações ou operações anteriores, e não por acesso interno privilegiado."

A Wintech recomenda que todas as organizações que utilizam Salesforce ou outras plataformas cloud reforcem as suas políticas de segurança com especial foco na formação dos colaboradores em práticas de segurança digital. Técnicas de voice phishing e engenharia social continuam a ser uma das maiores ameaças no panorama atual de cibersegurança.

 

Classifique este item
(0 votos)
Ler 246 vezes
Tagged em
Mais nesta categoria: « Kaspersky lança jogo interativo para alertar Geração Z sobre ciberameaças Check Point alerta para riscos críticos na segurança Cloud »

Itens relacionados

Top