O risco na cadeia de suprimentos está aumentando entre as empresas em todo o mundo. A Verizon afirma que o papel de terceiros nos vazamentos de dados dobrou no último ano, alcançando 30%. No entanto, esse tipo de risco costuma ser associado a problemas com componentes de código aberto (Log4Shell), softwares proprietários (MOVEit) e fornecedores físicos (Synnovis). Mas o que acontece quando o seu próprio provedor externo de TI se torna a origem de um grande vazamento?

Infelizmente, algumas grandes marcas estão começando a descobrir esse problema, à medida que cibercriminosos passam a direcionar seus serviços de suporte terceirizados com ataques de vishing. A resposta está nas defesas em camadas, na devida diligência e na boa e velha formação em cibersegurança.

Por que o helpdesk é um alvo

A terceirização de serviços de TI (helpdesks) tornou-se uma escolha cada vez mais comum para empresas de todos os portes. Ela entrega economia em CapEx/OpEx, acesso a expertise especializada, eficiência operacional e escala, vantagens que PMEs raramente conseguem replicar internamente. O problema é que esses times também detêm poderes sensíveis: redefinir senhas, registrar novos dispositivos, elevar privilégios e até desativar a autenticação multifator (MFA). Em outras palavras, eles reúnem exatamente os gatilhos de que um atacante precisa para obter acesso não autorizado e se movimentar lateralmente pela rede. Basta um pretexto convincente para persuadir a equipe de suporte de que se trata de um colaborador legítimo.

Leia mais: Os cibercriminosos realmente invadem sistemas ou apenas fazem login?

Há outras razões pelas quais os helpdesks de terceiros estão virando alvo de cibercriminosos:

  • Podem ser compostos por profissionais de TI ou cibersegurança no início da carreira, o que reduz a experiência para reconhecer tentativas sofisticadas de engenharia social.
  • O propósito do service desk é atender bem os colaboradores do cliente; por isso, a equipe pode se mostrar excessivamente solícita a solicitações como "reset de senha", aceitando sinais de verificação frágeis.
  • Com a complexidade crescente dos ambientes, o trabalho remoto e a pressão por SLAs, equipes de suporte frequentemente operam no limite, condição que cibercriminosos experientes exploram com vishing e pretextos urgentes.
  • Adversários podem empregar táticas que enganam até equipes experientes, como uso de IA para imitar a voz ou o estilo de comunicação de executivos que "precisam de ajuda urgente".

O service desk na mira

A engenharia social contra centrais de suporte não é novidade. Já em 2019, cibercriminosos conseguiram sequestrar a conta do então CEO do Twitter, Jack Dorsey, após convencer um atendente da operadora móvel a transferir seu número para um novo chip (SIM). Esses ataques de troca de SIM permitiam interceptar códigos de uso único enviados por SMS, que na época eram um método popular de autenticação de usuários por muitos serviços.

Há exemplos mais recentes:

  • Em 2022, o grupo LAPSUS$ comprometeu organizações de grande porte, como Samsung, Okta e Microsoft, após mirar equipes de service desk. Segundo a Microsoft, os invasores pesquisavam funcionários específicos para responder a perguntas comuns de recuperação, como "primeira rua em que você morou" ou "nome de solteira da mãe".
  • Mais recentemente, o grupo Scattered Spider foi acusado de "instrumentalizar a vulnerabilidade humana" com ataques de vishing contra equipes de suporte técnico. Não está claro quais organizações foram comprometidas, embora o grupo tenha violado a MGM Resorts dessa forma. Estima-se que o ataque de 2023 tenha custado à empresa pelo menos US$ 100 milhões.
  • A fabricante Clorox processou sua prestadora de serviços de suporte, a Cognizant, depois que um funcionário teria atendido a um pedido de redefinição de senha sem sequer solicitar a verificação da identidade do interlocutor. Segundo relatos, o incidente custou à empresa US$ 380 milhões.

Algumas lições aprendidas

O sucesso desses ataques foi tamanho que, segundo relatos, grupos profissionais de cibercriminosos russos estão recrutando ativamente falantes nativos de inglês para fazer o "trabalho sujo". Anúncios vistos em fóruns criminosos mostram que buscam pessoas fluentes, com sotaque mínimo e capazes de "trabalhar" no horário comercial do Ocidente. Isso deve acender um alerta para qualquer responsável de segurança em organizações que terceirizam seu service desk.

O que podemos aprender com esses incidentes? Ao contratar um novo provedor de serviços, é crucial verificar certificações de boas práticas, como a ISO 27001, e revisar as políticas internas de segurança e de contratação. De forma mais ampla, o CISO deve se certificar de que o fornecedor disponha de:

  • Processos rigorosos de autenticação de usuários para qualquer pessoa que ligue para o service desk com solicitações sensíveis, como redefinição de senhas. Isso pode incluir uma política em que a pessoa que liga é orientada a desligar, e o analista retorna a ligação para um número previamente registrado e autenticado. Ou o envio de um código de autenticação por email ou mensagem de texto para prosseguir.
  • Políticas de mínimo privilégio que limitem as possibilidades de acesso lateral a recursos sensíveis, mesmo que o adversário consiga redefinir a senha ou algo semelhante. E segregação de funções para o time de service desk, de modo que ações de alto risco precisem ser aprovadas por mais de um membro da equipe.
  • Registro completo e monitoramento em tempo real de toda a atividade do service desk, com o objetivo de interromper tentativas de vishing.
  • Treinamento contínuo dos agentes, baseado em exercícios de simulação do mundo real e atualizado periodicamente para incluir novas TTPs dos cibercriminosos, incluindo o uso de vozes sintéticas.
  • Avaliações periódicas das políticas de segurança para garantir que considerem a evolução do cenário de ameaças, as atualizações internas de inteligência, os registros do service desk e mudanças na infraestrutura.
  • Controles técnicos, como detecção de spoofing de identificador de chamadas e de áudio deepfake (tática já atribuída ao grupo ShinyHunters). Todas as ferramentas usadas pelo service desk também devem estar protegidas por MFA para mitigar ainda mais o risco.
  • Uma cultura que incentive a notificação de incidentes e a conscientização geral de segurança. Isso aumenta a probabilidade de os agentes identificarem tentativas de vishing malsucedidas, fortalecendo a resiliência e acelerando o aprendizado para eventos futuros.

Reforce as defesas com MDR

O vishing é, essencialmente, um desafio de natureza humana. A melhor forma de enfrentálo é combinar experiência humana com excelência técnica e melhorias de processo, como MFA, mínimo privilégio, ferramentas de detecção e resposta, entre outras.

Para MSPs (Managed Service Providers) que oferecem service desk, a detecção e resposta gerenciadas (MDR) de fornecedores como a ESET pode aliviar a pressão ao atuar como extensão do time de segurança do prestador. Assim, a equipe pode focar em entregar o melhor suporte possível, com a tranquilidade de contar com monitoramento 24/7 por especialistas e IA avançada para identificar qualquer atividade suspeita.