Hack Alerta

Fraude sem invasão: golpistas redirecionaram salários por engenharia social

Por Redação Hack Alerta Publicado em 19/01/2026 16:02 Riscos e Ameaças Tempo de leitura: 3 min

Unit 42 descreve ataque em que criminosos, sem malware, usaram engenharia social para convencer help desks a resetar credenciais e registrar e‑mails externos, permitindo redirecionar depósitos salariais. O caso evidencia fragilidade em processos humanos e recomenda endurecimento de validações, monitoramento de métodos de recuperação e treinamentos para suporte.

Relato da Unit 42 (Palo Alto Networks), divulgado pelo Cyber Security News, descreve um incidente em que invasores usaram engenharia social para mudar informações de depósito direto e desviar salários, sem necessidade de malware ou intrusão na rede.

Resumo do incidente

A descoberta ocorreu quando funcionários notaram a ausência dos depósitos salariais. Os atacantes passaram por múltiplos help desks —pagamento, TI e RH— e convenceram operadores a redefinir senhas e reinscrever métodos de autenticação multifator, usando dados públicos para responder perguntas de verificação.

Mecanismo de persistência identificado

A Unit 42 identificou que o atacante registrou um endereço de e‑mail externo como método de autenticação dentro do Azure Active Directory da organização, o que permitiu manter acesso persistente e gerir alterações subsequentes em dados de folha de pagamento.

Impacto e detecção

  • Escopo aparente: investigação contida a três contas afetadas, segundo o relatório.
  • Detecção prejudicada: o uso de credenciais legítimas e MFA fez com que as atividades parecessem autênticas, permitindo que a fraude passasse semanas sem identificação.
  • Técnica predominante: social engineering clássico, sem desenvolvimento de malware, com chamadas repetidas para identificar perguntas de verificação usadas por help desks.

Vulnerabilidades exploradas

O caso destaca fragilidades em fluxos humanos de verificação —procedimentos de reset de senha e reinscrição de MFA— e a tendência de atacantes priorizarem vetores não‑técnicos quando estes oferecem retorno com menor esforço.

Recomendações operacionais

Com base no incidente e nas práticas recomendadas, as medidas a considerar incluem:

  • Revisar e endurecer processos de help desk: implementar autenticação baseada em canais de propriedade (ex.: verificação por telefone corporativo) e perguntar apenas itens não públicos para validação.
  • Proibir o registro de e‑mails externos como métodos de recuperação sem revisão manual e alertas de segurança.
  • Monitorar mudanças em métodos de autenticação no Azure AD com alertas em tempo real e auditoria de consentimentos e dispositivos MFA.
  • Treinamento focado para equipes de suporte: simulações de engenharia social e playbooks para recusa segura de alterações sensíveis sem validação adequada.
  • Revisar processos de pagamento: protocolos para confirmar alterações de conta que envolvam múltiplos canais (telefone + e‑mail corporativo + confirmação física quando aplicável).

O que não foi divulgado

O material não divulga o nome da organização vítima nem quantias desviadas. Também não há, no comunicado consultado, atribuição a um ator específico nem indicação de uso de ferramentas malware; trata‑se explicitamente de ataque baseado em engenharia social.

Conclusão

O caso reafirma que fluxos humanos mal desenhados podem anular controles técnicos avançados, incluindo MFA. Equipes de identidade, RH e finanças devem coordenar controles e monitoramento para impedir que procedimentos de help desk se tornem vetores de alto impacto para fraude.

Baseado em publicação original de Cyber Security News
Tags: #engenharia-social #azure-ad #mfa #unit42 #fraude #payroll #help-desk #identidade #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar