A Mandiant alertou sobre uma onda crescente de ataques de roubo de dados SaaS, orquestrados pelo grupo ShinyHunters, que estão sendo impulsionados por ataques de phishing por voz (vishing). Os criminosos se passam por funcionários de TI e helpdesk, contatando diretamente os colaboradores para alegar que as configurações de autenticação multifator (MFA) precisam ser atualizadas. Durante a ligação, as vítimas são direcionadas a sites de phishing que imitam os portais de login de suas empresas, onde suas credenciais de SSO e códigos MFA são capturados. Os atacantes, enquanto ainda estão em contato com a vítima, conseguem autenticar-se em tempo real, ativando dispositivos próprios para manter o acesso. Uma vez dentro, eles podem acessar uma variedade de aplicativos SaaS, como Salesforce, Microsoft 365 e Google Drive, utilizando um único conjunto de credenciais comprometidas. A Mandiant identificou diferentes grupos de ameaças, como UNC6661 e UNC6671, que utilizam técnicas semelhantes, mas com variações nas táticas de extorsão. A empresa recomenda que as organizações adotem medidas de proteção e monitoramento para detectar comportamentos suspeitos relacionados a esses ataques.
Fonte: https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
31/01/2026 • Risco: ALTO
PHISHING
Aumento de ataques de phishing por voz e roubo de dados SaaS
RESUMO EXECUTIVO
Os ataques de vishing que visam credenciais de SSO e MFA representam uma ameaça significativa para as organizações, permitindo acesso a dados sensíveis em plataformas críticas. A Mandiant recomenda ações imediatas para mitigar esses riscos e proteger as informações da empresa.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao roubo de dados e extorsão.
Operacional
Roubo de dados sensíveis e acesso não autorizado a múltiplos serviços SaaS.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
A Mandiant rastreia atividades em diferentes grupos de ameaças, como UNC6661 e UNC6671.
Indicador
Salesforce é um alvo primário para o grupo ShinyHunters.
Contexto BR
Os atacantes registraram seus próprios dispositivos MFA para manter o acesso.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas em contas SSO.
2
Implementar autenticação multifator robusta e treinar funcionários sobre reconhecimento de phishing.
3
Monitorar continuamente acessos não autorizados e tentativas de login em plataformas SaaS.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das credenciais e a proteção de dados sensíveis, especialmente em plataformas amplamente utilizadas.
⚖️ COMPLIANCE
Implicações diretas para a conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
