A SEK tem observado um aumento no número de golpes conhecidos como falso suporte de TI. Os criminosos se passam por técnicos das empresas das vítimas ou de fornecedores, alegando que há algum problema crítico no dispositivo do usuário. Para solucionar o suposto problema, solicitam que a vítima instale um software de acesso remoto, como Anydesk e similares, para obter o controle total da máquina.
Essa invasão começa com uma abordagem por meio de ligação telefônica, WhatsApp ou e-mail. O golpista se apresenta como representante de um suporte técnico, até mesmo interno, e afirma que há algum problema no dispositivo da vítima, ou que é necessário atualizar algo ou fazer alguma checagem de rotina. É importante ressaltar que a urgência é muito explorada nesse golpe, com o objetivo de fazer com que o usuário pense rapidamente e siga as orientações do golpista.
Após convencer a pessoa de que a ameaça é real, o criminoso pede para que a vítima instale um software de acesso remoto para supostamente corrigir o problema. Com esse acesso, os golpistas conseguem escalar privilégios dentro do sistema, roubar informações sigilosas, instalar malwares e realizar diversas outras ações.
A SEK ressalta que esse golpe tem estado em alta e que diversas companhias já foram atingidas por esse método. Para evitar o golpe, a SEK oferece as seguintes recomendações:
– Desconfie de contatos não solicitados: empresas legítimas, ou membros do TI da sua companhia, nunca entrarão em contato com você sem que você tenha iniciado a interação. Se receber um e-mail ou telefonema inesperado, desconfie.
– Atenção ao vetor de comunicação: lembre-se de que atacantes têm utilizado também o WhatsApp, que não é comumente usado pelo time de TI para dar suporte.
– Utilize a autenticação multifator (MFA): o recurso oferece uma nova camada de segurança, dificultando o acesso às contas.
– Verifique o contato: se a pessoa alegar ser de uma empresa confiável ou da sua companhia, entre em contato diretamente. Nunca conceda acesso remoto sem a devida verificação.
– Cuidado com a pressão e urgência: golpistas usam táticas psicológicas para forçar decisões rápidas. Sempre que sentir uma urgência excessiva, pare e avalie a situação.
– Estabeleça um canal de comunicação oficial para que o time de segurança da empresa receba os reportes de incidentes dos colaboradores.
– Orientar os colaboradores a não interagirem e reportarem imediatamente qualquer contato suspeito.
– Conscientize suas equipes sobre boas práticas de segurança: o time de Awareness da SEK oferece serviços de treinamento, peças de conscientização e simulações de phishing que visam conscientizar os diversos membros de nossos clientes sobre os golpes mais recentes.
Adicionalmente, é fundamental que as companhias configurem políticas de segurança para bloquear a instalação e execução de softwares de acesso remoto não autorizados. Utilize soluções de controle de aplicações, como listas de bloqueio em EDR/XDR, GPOs no Active Directory e regras no firewall para impedir conexões remotas suspeitas.
Também é necessário configurar políticas de grupo (GPO) para restringir a execução de scripts .bat, .cmd, .ps1 e outros formatos de automação, permitindo apenas scripts assinados digitalmente e executados por usuários autorizados. É fundamental reforçar a segurança utilizando regras no EDR (Endpoint Detection and Response) para monitorar e bloquear execuções suspeitas de scripts, definindo políticas que impeçam a execução de PowerShell não assinado, scripts desconhecidos e comandos via CMD em dispositivos que não tenham necessidade operacional.
A SEK continuará acompanhando os desdobramentos desse e de outros casos, mantendo nossos clientes e parceiros informados sobre vulnerabilidades e diversos acontecimentos relevantes. Clientes podem entrar em contato em caso de dúvidas ou em suspeitas de golpes.
