Novo grupo usa golpe do chefe falso para roubar dados de empresas

Novo grupo usa golpe do chefe falso para roubar dados de empresas

Um novo grupo de cibercriminosos, chamado de Helix, tem feito vítimas do mundo corporativo ao roubar dados sigilosos de empresas se passando pelo chefe. Identificada recentemente pela empresa de cibersegurança ReliaQuest, a quadrilha abandona o uso de vírus tradicionais e foca inteiramente em técnicas de manipulação psicológica.

O objetivo desses criminosos é extorquir empresas para conseguir cifras milionárias durante os golpes. A metodologia dos atacantes é aparentemente simples: eles ligam para funcionários se passando por seus chefes. Depois, convencem essas pessoas a realizar a liberação dos sistemas para ter acesso aos arquivos.

Embora seja uma metodologia bem básica, tudo é feito de forma extremamente coordenada. Os pesquisadores apontam que essa forma de agir torna os cibercriminosos invisíveis para os sistemas de segurança tradicionais. Como o fator humano é usado no golpe, não há software que detecte os agentes mal-intencionados.

Além da invisibilidade, a velocidade da operação é assustadora. Em alguns dos incidentes analisados, o tempo levado pelos criminosos para ligar para as vítimas, entrar nos sistemas e realizar o download dos dados foi de menos de uma hora. Essa janela de tempo curta deixa as equipes de segurança da informação das companhias sem margem para reações rápidas. Quando percebem, é tarde demais.

botnet-scam-golpe-invasão-hacker.jpg
Grupo Helix precisa de apenas um site malicioso para enganar as vítimas pelo telefone (Imagem: jittawit.21/GettyImages)

O perigo do grupo Helix reside justamente no fato de não utilizar malwares para exfiltrar os dados das vítimas. É muito comum que grupos cibercriminosos utilizem os famosos ransomwares para penetrar no sistema, roubar e bloquear os dados, exigindo o resgate. O Helix faz pouco esforço e tem resultados similares.

O giro da hélice

Simples, rápido e metódico. É assim que o grupo Helix age nos bastidores para roubar os dados de corporações. Mais do que uma simples ligação realizada, os atacantes fazem um trabalho de reconhecimento dos alvos. Primeiro, eles pesquisam a fundo os cargos e funções da empresa e só depois agem.

Quando chega a hora de realizar as ligações, eles utilizam tecnologias de mascaramento de chamadas telefônicas. Ao mirarem o alvo em um funcionário, eles fazem com que o número daquela chamada mostre exatamente o número e o nome do gerente daquela pessoa na tela do celular.

Durante a ligação, o falso chefe alega uma urgência e pede que o funcionário acesse um site e digite um código gerado pelo sistema. Ao digitar o código no site falso, o funcionário autoriza o computador do criminoso a acessar a rede da empresa. Em poucos minutos, o atacante entra no sistema sem saber nenhuma senha.

o-que-é-phishing-e-como-se-proteger
Se passar pelo chefe que perdeu seus acessos se tornou a desculpa perfeita para os ataques (Imagem: weerapatkiatdumrong/GettyImages)

Para não gerar alertas de acessos de outros países, os invasores escondem suas conexões usando redes que simulam a localização da vítima. Dentro do sistema, eles vão atrás do SharePoint da empresa, ou seja, uma plataforma onde as empresas guardam grandes volumes de dados.

Helix em ascensão

Como indicam os pesquisadores da ReliaQuest, o grupo Helix tem fortes conexões com o submundo do cibercrime. Alguns indícios apontam que o grupo é formado por ex-integrantes ou parceiros de facções notórias, como o ShinyHunters e o recém-extinto BlackFile.

Essa conexão foi descoberta ao observar que o Helix utiliza a mesma infraestrutura de servidores, métodos de ataque idênticos e até os mesmos provedores obscuros para registrar seus sites falsos.

Como se proteger

Como o golpe do Helix mira somente empresas, a administração das companhias precisa tomar medidas importantes. Uma dessas medidas é permitir que ferramentas, como o SharePoint e o email, só possam ser abertas em computadores fornecidos e gerenciados pelo departamento de TI.

A utilização de redes seguras, que restrinjam sites registrados há pouco tempo, também ajuda a evitar golpes. Configurar mecanismos para detectar o download massivo de dados em pouco tempo e derrubar a conexão também é muito importante.

Por falar em ameaças corporativas, uma falha em uma ferramenta de inteligência artificial do GitHub expõe dados sensíveis de muitas companhias. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.