- Os invasores exploram o pessoal do suporte técnico para obter acesso não autorizado ao sistema de folha de pagamento
- A engenharia social permite que hackers redirecionem os contracheques dos funcionários sem disparar alertas
- Visar salários individuais mantém os ataques sob o radar das autoridades e das corporações
Os sistemas de folha de pagamento são cada vez mais visados pelos cibercriminosos, especialmente durante os períodos em que são esperados bônus e pagamentos de final de ano.
Conforme relata o Okta Threat Intelligence, os invasores estão se concentrando menos na penetração da infraestrutura e mais na exploração de processos humanos relacionados ao acesso à folha de pagamento.
Em vez de implantar ransomware ou campanhas de phishing em massa, esses atores pretendem desviar silenciosamente contracheques individuais, manipulando fluxos de trabalho de recuperação de contas.
Os help desks aparecem como elos fracos
Acompanhando uma campanha conhecida como O-UNC-034, Okta relatou que os invasores estão ligando diretamente para os help desks das empresas.
Fazendo-se passar por funcionários legítimos, eles exigem redefinições de senha ou alterações de conta, contando com engenharia social em vez de explorações técnicas.
Estes apelos afectaram organizações dos sectores da educação, da indústria transformadora e do comércio retalhista e indicam que esta não é a única indústria em foco.
Depois que o acesso é concedido, os invasores tentam registrar seus métodos de autenticação para manter o controle da conta comprometida.
Depois de assumir o controle de uma conta de funcionário, os invasores migram rapidamente para plataformas de folha de pagamento, como Workday, Dayforce HCM e ADP.
Eles alteram dados bancários, redirecionam pagamentos recebidos, muitas vezes sem detecção imediata.
Como o roubo visa contracheques individuais, as perdas financeiras podem parecer pequenas quando vistas isoladamente.
Isso reduz a rápida escalada ou a atenção das autoridades.
Em escala, esta abordagem pode proporcionar enormes retornos e permitir o roubo de identidade sem disparar os alarmes associados a violações maiores.
Analistas de ameaças sugerem que roubar contracheques individuais é significativamente menos comum do que grandes violações de dados ou campanhas de extorsão.
Os invasores podem refinar ainda mais seus alvos por meio de conhecimento básico, concentrando-se em funcionários com renda mais alta ou indenizações por demissão.
As campanhas anteriores dependiam de publicidade ruim e phishing de credenciais, mas a mudança para interações telefônicas ao vivo reflete táticas que contornam totalmente as defesas técnicas.
As ferramentas antivírus oferecem pouca proteção quando os invasores obtêm credenciais voluntariamente durante uma conversa confiável.
Da mesma forma, as ferramentas de remoção de malware, embora importantes para outras ameaças, não abordam esta categoria de ataques.
As diretrizes de segurança enfatizam procedimentos rigorosos de verificação de identidade para a equipe de suporte que lida com solicitações de recuperação de conta.
A equipe de suporte técnico da linha de frente é incentivada a alterar diretamente os fatores de autenticação; em vez disso, emitir códigos de acesso temporários somente após verificações de identidade bem-sucedidas.
As organizações também são aconselhadas a limitar o acesso a aplicações sensíveis a dispositivos geridos e a aplicar maior vigilância a pedidos provenientes de locais ou redes incomuns.
“É interessante que os fraudadores de folha de pagamento estejam se juntando ao crescente número de grupos de atores de ameaças que visam profissionais de suporte técnico para acessar contas de usuários”, disse Brett Winterford, vice-presidente de inteligência de ameaças da Okta.
“Essa situação ressalta a importância de fornecer à equipe de suporte de TI as ferramentas necessárias para verificar a identidade dos chamadores recebidos e opções de recuperação de conta que limitam a capacidade de um chamador não autorizado de assumir o controle de uma conta”.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
