Barracuda full logo

O help desk da empresa é também um vetor de ameaça

Tópicos:
15 ago. 2025
|
Christine Barry

O seu help desk destina-se a resolver problemas—não a criá-los. No entanto, à medida que os atacantes se tornaram mais habilidosos em engenharia social, têm transformado cada vez mais o help desk num ponto de entrada poderoso para ciberataques.

A menos que esteja a falar de insiders maliciosos ou erros de funcionários, é contraintuitivo considerar o help desk como um vetor de ameaça. Afinal, estamos a falar da equipa de suporte técnico. Estes funcionários são profissionais de TI que estão treinados nas políticas da empresa e têm, pelo menos, um conhecimento básico de cibersegurança. Nem todos os funcionários recebem a devida integração, mas a sua equipa de TI saberia, pelo menos, que não deve permitir que um ator de ameaça tenha uma palavra-passe ou privilégios elevados.

E se um agente de ameaça estiver a tentar infiltrar-se na rede de uma empresa, não gostaria de evitar a equipa de TI? Eles são as pessoas mais propensas a apanhá-lo. Não é esse o objetivo de cadeias de ataque que utilizam técnicas de furtividade e evasão e técnicas de viver da terra (LotL)?

Parece que sim, mas vamos observar mais de perto:

  • Os balcões de apoio têm acesso a recursos valiosos. Estes técnicos podem repor senhas, repor ou desativar a autenticação multifator (MFA), alterar privilégios de utilizador, visualizar detalhes de utilizador e de sistema, e muito mais. O balcão de apoio é um baú de tesouro para um agente de ameaça, por isso eles continuarão a desenvolver e a tentar novos exploits.
  • Os balcões de apoio são frequentemente o ponto de partida para profissionais de TI e cibersegurança. Pode haver especialistas na equipa, mas é aqui que muitos licenciados em redes e segurança ingressam na indústria. Podem não ter experiência suficiente, conhecimento da empresa e da rede, ou autoconfiança para reconhecer e responder adequadamente a atividades suspeitas. Para alguns deles, o balcão de apoio é a sua primeira experiência num ambiente dinâmico com uma rede imperfeita.
  • As centrais de atendimento estão frequentemente com falta de pessoal e sobrecarregadas. A procura por profissionais de segurança continua a crescer, especialmente agora que os agentes de ameaça têm armado a inteligência artificial (IA) nos seus ataques. A indústria já está com falta de pessoal, o que significa que uma pessoa pode fazer o trabalho de 1,5-2 funcionários a tempo inteiro. Isto pode ser extenuante, especialmente se a central de atendimento também estiver a lidar com muitos alertas de falsos positivos.

Tendo isso em mente, a assistência técnica parece ser um vetor óbvio. Nas mãos de um ator de ameaça habilidoso, a assistência técnica pode entregar os ativos mais valiosos da empresa.

Ataques à assistência técnica

Para ilustrar como esses ataques funcionam, vamos analisar quatro táticas e incidentes, começando com Twitter SIM swaps em 2019. Os agentes de ameaça usaram engenharia social para enganar as centrais de atendimento das operadoras móveis a realizar substituições de SIM das vítimas para os atacantes. 'Substituição de SIM' significa apenas que a operadora móvel transferiu o número de telefone dos cartões SIM das vítimas para cartões SIM em telefones de propriedade dos atacantes. Isso deu aos atacantes acesso a códigos de autenticação multifator e outros necessários para assumir o controle de contas do Twitter e carteiras de criptomoedas.

Este é um ataque comum a pessoas de alto perfil, como celebridades e influenciadores, especialmente aqueles que usam criptomoeda. Brian Krebs tem mais sobre esses ataques e as consequências .

O grupo LAPSUS$ fez manchetes ao longo de 2021-2022 com os seus bem-sucedidos ataques de personificação de help desk interno contra grandes organizações, incluindo Microsoft, Nvidia, Samsung, e Okta. O grupo preparou-se para os ataques vasculhando fontes públicas, redes sociais e violações de dados disponibilizadas através da dark web. Os membros do LAPSUS$ contactavam então os help desks das empresas e faziam-se passar por funcionários que necessitavam de assistência urgente com credenciais ou dispositivos. Estas fraudes utilizavam frequentemente vishing (phishing por voz) ou mensagens diretas para aumentar a sua credibilidade.

LAPSUS$ também usou a personificação do help desk para apoiar outros esquemas. Uma técnica comum é enviar spam aos funcionários com pedidos repetidos de autenticação multifator (MFA) e seguir com uma chamada para encorajar o funcionário a aprovar a autenticação. LAPSUS$ também se envolve em smishing (phishing por SMS), spear-phishing e troca de SIM para interceptar comunicações e códigos de autenticação. O grupo também procurou recrutamento interno, oferecendo compensação por acesso privilegiado ou escalonamento. Estas táticas combinadas permitiram-lhes violar ambientes sensíveis e lançar ataques de ransomware e outros ataques. Muitas vezes, o sucesso do grupo podia ser atribuído ao estudo do alvo e ao assédio aos funcionários até que finalmente cometessem um erro.

 

Em 2022, o grupo de ameaça 0ktapus utilizou tanto smishing como vishing para comprometer a Twilio, um fornecedor de comunicações na nuvem. Este foi um ataque sofisticado e de várias etapas de engenharia social. Eis a cronologia:

  • 29 de junho de 2022: Os atores da ameaça 0ktapus fazem-se passar pela equipa de TI em ataques de vishing a funcionários da Twilio. Um interlocutor convence um funcionário a fornecer credenciais de trabalho, o que leva a aproximadamente 12 horas de acesso não autorizado a dados de contacto de clientes.
  • Meados de julho de 2022: Atacantes lançam uma campanha de smishing que bombardeia funcionários atuais e antigos da Twilio com alertas falsos e links maliciosos de redefinição de senha. Alguns destes ataques são bem-sucedidos e os agentes de ameaça ganham acesso à rede da Twilio e aos dados dos clientes.
  • 4-9 de agosto de 2022: A Twilio toma conhecimento da intrusão na rede e da violação de dados e inicia uma resposta, embora os agentes de ameaça 0ktapus mantenham o acesso por mais dois dias após a deteção. Como parte da resposta, a Twilio trabalha com operadores e fornecedores de hospedagem para encerrar a infraestrutura de smishing e roubo de credenciais.
  • Agosto–Outubro 2022: Twilio investiga juntamente com parceiros forenses e atualiza o seu relatório de incidente anterior.

"A nossa investigação também nos levou a concluir que é provável que os mesmos atores maliciosos tenham sido responsáveis por um breve incidente de segurança ocorrido a 29 de junho de 2022. No incidente de junho, um funcionário da Twilio foi alvo de engenharia social através de phishing por voz (ou 'vishing') para fornecer as suas credenciais, permitindo que o ator malicioso acedesse a informações de contacto de um número limitado de clientes." ~ Relatório de Incidente da Twilio, 7 de agosto de 2022

O grupo de ameaça Scattered Spider utilizou ataques de vishing para infiltrar-se nos MGM Resorts em setembro de 2023. Aqui, os autores das chamadas usaram o LinkedIn para identificar um funcionário da MGM e depois personificaram esse indivíduo numa chamada para a central de ajuda da empresa. O autor da chamada alegou estar bloqueado no sistema e pediu ajuda para restaurar o acesso. Infelizmente, isto funcionou, e os atacantes obtiveram acesso privilegiado aos ambientes Okta e Azure AD da empresa. Isto deu ao Scattered Spider acesso irrestrito aos sistemas de gestão de identidade e acesso da MGM. Eles podiam gerir contas de utilizador, desativar controlos de segurança e conceder a si próprios acesso a tudo o que estivesse integrado com as plataformas comprometidas.

Uma vez que o acesso inicial foi conseguido pela Scattered Spider, o grupo de ransomware ALPHV lançou o seu ataque à empresa. No final de 2023, o ataque custou à MGM cerca de $100 milhões em receitas perdidas, honorários de consultoria e jurídicos, e outras despesas relacionadas com recuperação, melhorias de segurança e questões de conformidade.

Porque é que estes ataques funcionam

Já vimos que os agentes de ameaça estão dispostos a pegar no telefone e a fazer-se passar por um funcionário da assistência técnica ou por um empregado que precisa de assistência técnica. Estes agentes de ameaça são "chamadores" que se especializam em vishing e noutras técnicas de engenharia social. São hábeis em imitação e em conversas de improviso, e muitas vezes prepararam-se para uma chamada escrevendo um guião ou recolhendo detalhes sobre o alvo. São frequentemente jovens falantes de inglês baseados na Inglaterra e nos Estados Unidos, e muitos têm estado afiliados a um grupo conhecido como "The Com". Esta é uma comunidade de adolescentes e jovens adultos organizados de forma pouco rígida que começam a participar nestas atividades por notoriedade e depois continuam uma "carreira" no cibercrime pelo dinheiro. Grupos como Scattered Spider (UNC3944), LAPSUS$, 0ktapus, Star Fraud, Octo Tempest, e Scatter Swine surgiram todos do The Com. Para ser totalmente transparente, alguns desses nomes são pseudónimos de um único grupo, e alguns desses grupos partilham membros. Uma vez que estes agentes de ameaça surgiram através do The Com, aprenderam a trabalhar em grupos organizados de forma pouco rígida que utilizam muitas das mesmas técnicas. Isto pode tornar a atribuição de ataques desafiante, mas as forças da ordem têm tido sucesso considerável contra estes agentes de ameaça baseados no Ocidente.

O help desk não é apenas vulnerável porque estes agentes de ameaça são bons no que fazem. Simplesmente não há empresas suficientes com controlos implementados para proteger os funcionários destes ataques. Quer o atacante esteja a fazer-se passar pelo help desk ou por um funcionário que não seja do help desk, o ataque pode ser interrompido com controlos de segurança adequados.

Defender a sua empresa de ataques à assistência técnica

Tal como qualquer outro tipo de cibersegurança, existem múltiplas camadas de defesa que podem ser implementadas. Aqui estão algumas das melhores práticas mais acessíveis:

Procedimentos rigorosos de verificação de utilizador: Exigir autenticação multifator e verificação detalhada antes de processar pedidos sensíveis (como reposições de senha ou alterações de acesso). Aplicar políticas que proíbam a divulgação ou reposição de credenciais sem validação de identidade em múltiplos passos. Pode utilizar protocolos de retorno de chamada, listas internas de contactos, links internos de tickets e questões de desafio de identidade.

Controlo de acessos e segmentação: Limitar o acesso do help desk a sistemas e dados sensíveis com base no princípio do menor privilégio. Segregar funções para que nenhum membro da equipe possa aprovar e iniciar unilateralmente ações de alto risco. Utilizar confirmação fora de banda, como uma segunda chamada telefónica para um número verificado, antes de realizar uma recuperação de conta ou escalonamento de privilégios.

Rastreio de auditoria e monitorização: Registar todas as atividades do help desk, especialmente aquelas que envolvem alterações sensíveis ou acesso a credenciais, e monitorizar proativamente padrões que possam indicar abuso, como redefinições de senha repetidas ou escalonamentos de acesso rápidos.

Reveja e atualize regularmente as políticas de segurança: Realize avaliações agendadas regularmente dos procedimentos do help desk em relação às mais recentes ameaças da indústria e atualize os protocolos conforme necessário. Utilize inteligência sobre ameaças emergentes juntamente com dados dos registos do help desk e outras fontes internas para informar novas políticas.  

Formação contínua em segurança: Formar regularmente os funcionários para reconhecerem táticas de phishing, vishing e engenharia social, e aumentar a consciencialização sobre ataques de deepfake. Utilizar cenários de ataques simulados para desenvolver familiaridade e resiliência. Capacitar a equipa para reportar imediatamente tentativas suspeitas de engenharia social ou pedidos anómalos, com protocolos claros de escalonamento e resposta para atividades invulgares.

Deve também considerar a utilização de MFA resistente a phishing , como chaves FIDO2 ou autenticação baseada em aplicações. Isto limitará a eficácia das trocas de SIM e dos ataques de engenharia social.

Mesmo as equipas de TI mais pequenas podem implementar alguns destes controlos. Se tiver apenas um funcionário de TI, ainda pode utilizar protocolos de verificação e exigir uma camada extra de aprovação para pedidos de alto risco. Um sistema de bilhetes simples pode criar trilhos de auditoria, e uma revisão regular das políticas e procedimentos de segurança já deve estar em vigor. Não é fácil estabelecer e aplicar uma boa segurança na assistência técnica, mas está a tornar-se mais importante.

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
 Ameaças internas e rotatividade de funcionários: O que precisa saber
Ameaças internas e rotatividade de funcionários: O que precisa saber
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.