O Google revelou recentemente detalhes sobre a atuação do UNC6040, um grupo de cibercriminosos altamente especializado em ataques de engenharia social por meio de vishing — o phishing por voz. O alvo principal? Instâncias corporativas do Salesforce, uma das plataformas de CRM mais utilizadas do mundo.
Esses ataques não envolvem exploração técnica de falhas, mas sim a manipulação psicológica de funcionários, que são induzidos a aprovar o uso de uma versão adulterada do aplicativo Data Loader — ferramenta legítima do Salesforce usada para importação e exportação de dados. Disfarçado como “My Ticket Portal”, o app malicioso permite que os atacantes acessem dados sensíveis e se movimentem livremente dentro da infraestrutura da empresa.
Como o golpe funciona
O UNC6040 se passa por suporte de TI em ligações telefônicas falsas, aproveitando a naturalização do contato remoto com equipes técnicas — especialmente em tempos de trabalho híbrido. Durante essas conversas, os hackers convencem os funcionários a:
- Fornecer credenciais de acesso;
- Autorizar apps maliciosos no Salesforce;
- Instalar ferramentas comprometidas.
Uma vez com acesso ao ambiente, os criminosos se expandem lateralmente pela rede, invadindo plataformas como Microsoft 365, Okta e Workplace, além de, em muitos casos, iniciarem extorsão de dados meses depois da invasão inicial. Nessas ocasiões, afirmam fazer parte do grupo ShinyHunters — provavelmente para aumentar o impacto da ameaça e a chance de receber pagamento pelo resgate.
O papel do reconhecimento prévio
Segundo a Mandiant (empresa de segurança do Google), os ataques são meticulosamente preparados. O grupo usa sistemas automatizados com mensagens e menus falsos, simulando centrais de atendimento. Com isso, coletam:
- Nome de ferramentas internas;
- Procedimentos técnicos comuns;
- Nomes e contatos de membros do suporte.
Essas informações são usadas para tornar as abordagens por telefone ainda mais convincentes.
Salesforce e Google reforçam: o problema não é a plataforma
A Salesforce publicou um comunicado esclarecendo que os incidentes não se devem a falhas técnicas, mas sim à engenharia social aplicada contra usuários despreparados. A empresa destaca que oferece recursos como:
- Autenticação multifator (MFA);
- Limitações de acesso por IP;
- Guias de boas práticas de segurança
📘 Acesse o guia completo aqui
O que sua empresa pode fazer?
O alerta do Google e da Mandiant é claro: os ataques de vishing estão se tornando cada vez mais sofisticados e difíceis de detectar. A recomendação é que organizações adotem uma abordagem proativa:
✅ Treine sua equipe para reconhecer engenharia social;
✅ Exija MFA em todas as plataformas críticas;
✅ Monitore atividades incomuns em sistemas como Salesforce e Microsoft 365;
✅ Nunca aprove apps desconhecidos sem validação com o time de segurança.
Conclusão:
Mesmo sem explorar vulnerabilidades técnicas, o UNC6040 conseguiu comprometer redes corporativas apenas com voz, confiança e manipulação. Isso reforça a importância de tratar a cibersegurança como uma responsabilidade compartilhada entre ferramentas, processos e pessoas.
