Em 2026, a engenharia social atingiu um novo patamar de sofisticação, explorando não apenas falhas técnicas, mas principalmente o fator humano dentro das organizações. Os Ataques de Vishing, também conhecidos como phishing de voz, passaram a ser usados de forma coordenada por grupos altamente organizados, combinando persuasão, conhecimento interno e exploração de fluxos legítimos de suporte corporativo.
Pesquisadores da Mandiant, empresa do Google Cloud, identificaram recentemente uma nova vaga de campanhas de vishing direcionadas a ambientes corporativos em nuvem. Essas campanhas estão associadas a clusters monitorados como UNC6661 e UNC6671, ligados ao ecossistema do grupo ShinyHunters, conhecido historicamente por grandes vazamentos de dados e extorsão digital.
O alerta é claro, mesmo empresas que adotaram MFA continuam vulneráveis quando os atacantes conseguem induzir utilizadores a cooperar ativamente com o ataque. O resultado é o roubo de MFA, o sequestro de contas privilegiadas e o acesso não autorizado a plataformas SaaS críticas.
O que é vishing e como os grupos UNC6661 e UNC6671 operam
O vishing é uma forma de ataque de engenharia social em que o criminoso utiliza chamadas telefônicas ou sistemas de voz sobre IP para enganar a vítima. Diferente do phishing tradicional por e-mail, o ataque por voz cria um senso maior de urgência e legitimidade, explorando a confiança humana em interações verbais.
Nos ataques analisados pela Mandiant, os operadores dos grupos UNC6661 e UNC6671 se passam por membros do suporte de TI, do service desk corporativo ou até por parceiros oficiais de plataformas SaaS. Eles utilizam informações prévias obtidas em vazamentos, redes sociais profissionais e dados públicos para soar convincentes desde o primeiro contato.
O fluxo do ataque costuma seguir um padrão bem definido. Primeiro, o atacante liga para o funcionário alegando um problema crítico na conta corporativa, como tentativas de acesso suspeitas ou falhas iminentes de sincronização. Em seguida, solicita que o utilizador “confirme” sua identidade, muitas vezes pedindo que aprove uma notificação de MFA push ou informe um código temporário.
É nesse ponto que ocorre o roubo de MFA. Mesmo sem explorar falhas técnicas, o atacante convence a vítima a autorizar o acesso, contornando completamente a proteção. Em alguns casos, os criminosos guiam o utilizador para redefinir credenciais ou registrar um novo dispositivo de autenticação controlado pelo grupo.
O alvo nas nuvens: Por que as plataformas SaaS são o objetivo principal
As plataformas SaaS se tornaram o coração operacional das empresas modernas. Serviços como Microsoft 365, Google Workspace, Okta, Salesforce e outros concentram e-mails, documentos, fluxos financeiros e acessos privilegiados em um único ecossistema.
Segundo a Mandiant, os atacantes focam especialmente na exfiltração de dados armazenados em ambientes como SharePoint, OneDrive e portais internos protegidos por SSO. Uma vez dentro, o acesso legítimo permite baixar grandes volumes de informações sem acionar alertas imediatos.
Outro ponto de destaque é o interesse crescente por empresas do setor de criptomoedas e finanças digitais. Essas organizações operam quase exclusivamente em nuvem e dependem fortemente de SaaS para gestão de carteiras, compliance e comunicação interna. O comprometimento de uma única conta administrativa pode resultar em perdas financeiras severas e danos irreversíveis à reputação.
Além disso, os acessos obtidos via Ataques de Vishing são frequentemente revendidos em fóruns clandestinos ou usados como porta de entrada para campanhas de ransomware, extorsão dupla e espionagem corporativa.
MFA resistente a phishing: O fim do SMS e do push?
Por anos, o MFA foi tratado como a camada definitiva de proteção de contas corporativas. No entanto, os ataques recentes mostram que métodos tradicionais, como SMS, TOTP e push notification, já não são suficientes contra phishing de voz bem executado.
O principal problema não está na criptografia, mas na dependência da ação humana. Quando o utilizador aprova um pedido de autenticação induzido por um atacante, o sistema não consegue diferenciar um acesso legítimo de um fraudulento.
É por isso que a Mandiant e o Google reforçam a adoção de MFA resistente a phishing, com destaque para o padrão FIDO2 e o uso de chaves de segurança físicas. Esses métodos vinculam a autenticação ao domínio legítimo do serviço, tornando inútil qualquer tentativa de engenharia social baseada em redirecionamento ou solicitação verbal.
Embora a adoção dessas tecnologias ainda seja limitada, elas representam um divisor de águas na proteção contra Ataques de Vishing e outras formas avançadas de comprometimento de identidade.
Guia de proteção: Recomendações da Mandiant e Google
Diante desse cenário, a Mandiant publicou uma série de recomendações práticas para empresas e utilizadores que dependem de serviços SaaS no dia a dia.
Para organizações, o primeiro passo é implementar políticas claras de verificação de identidade. Equipes de TI nunca devem solicitar códigos de MFA, aprovações de push ou redefinições de credenciais por telefone. Essa regra precisa ser comunicada de forma recorrente.
A adoção de MFA resistente a phishing, como FIDO2, deve ser priorizada para contas administrativas e acessos sensíveis. Sempre que possível, o uso de condicional access e restrições por localização e dispositivo ajudam a reduzir o impacto de credenciais comprometidas.
Treinamentos regulares de conscientização em segurança são essenciais. Simulações de vishing ajudam os funcionários a reconhecer padrões de ataque e a reagir corretamente sob pressão.
Para utilizadores comuns, a orientação é desconfiar de qualquer ligação urgente envolvendo contas corporativas. Mesmo que a chamada pareça legítima, o ideal é encerrar o contato e procurar o canal oficial da empresa por meios independentes.
Monitoramento contínuo de logs, alertas de comportamento anômalo e revisões frequentes de permissões também são medidas fundamentais para detectar acessos indevidos rapidamente.
Conclusão e o futuro da segurança digital
Os Ataques de Vishing liderados por grupos associados ao ShinyHunters demonstram que a segurança digital não pode mais depender apenas de barreiras técnicas isoladas. O roubo de MFA por engenharia social expõe uma realidade desconfortável, o utilizador continua sendo o elo mais explorado da cadeia.
O futuro da segurança passa pela combinação de tecnologia resistente a phishing, processos bem definidos e uma cultura organizacional madura. Empresas que tratam identidade digital como ativo crítico estarão mais preparadas para enfrentar esse novo ciclo de ameaças.
Reforçar políticas, investir em autenticação moderna e educar pessoas não é mais opcional. É a diferença entre conter um ataque de vishing e se tornar a próxima vítima de um comprometimento em larga escala.
