O cenário de ameaças cibernéticas contra o setor financeiro atravessa uma mudança estrutural profunda, segundo o relatório da CrowdStrike cobrindo o período de abril de 2025 a março de 2026. A tática que mais comprometeu instituições financeiras no último ano não envolveu o roubo de senhas, mas sim a manipulação direta do suporte técnico. O grupo Mutant Spider, identificado como o adversário mais ativo, utiliza engenharia social via Microsoft Teams para convencer funcionários a resetar o MFA e registrar novos dispositivos na rede corporativa.
Essa estratégia de vishing, combinada com o uso de plataformas de phishing-as-a-service como a Kali365, permite que atacantes capturem tokens de autenticação OAuth legítimos. Uma vez obtido o token, o invasor mantém acesso persistente a ferramentas como Outlook e OneDrive sem disparar novos alertas de segurança. A leitura editorial é que o controle de MFA, embora tecnicamente robusto, falhou ao não prever a fragilidade do elo humano no suporte de TI.
A falha na arquitetura de confiança
O problema central reside na própria lógica de funcionamento do MFA. Quando um funcionário solicita um reset de credenciais, o sistema de suporte frequentemente ignora que o pedido pode ser um vetor de ataque. Segundo a CrowdStrike, o controle de segurança opera exatamente conforme desenhado, validando a identidade do usuário conforme solicitado, mas essa validação é justamente o ponto onde o atacante se infiltra.
O relatório da Verizon corrobora essa mudança de paradigma, apontando que o roubo de credenciais caiu para apenas 13% dos vetores de acesso inicial, enquanto a exploração de vulnerabilidades subiu para 31%. O que vemos é uma migração dos ataques baseados em força bruta ou phishing de senhas para manobras que contornam a necessidade de conhecer a senha do alvo, focando diretamente no controle da sessão.
Mecanismos de invasão e persistência
O modus operandi do Mutant Spider demonstra uma sofisticação operacional crescente. Após o contato inicial via Teams, o grupo implanta ferramentas customizadas, como o PrionFlaire e o SocksLoader, para garantir a movimentação lateral dentro da infraestrutura. A transição da chamada telefônica para a execução de um ransomware é rápida, e o acesso obtido serve como base para que outros grupos criminosos realizem o sequestro de dados.
O uso de tokens OAuth é particularmente eficiente porque contorna a necessidade de interações adicionais com o usuário. Ao registrar um dispositivo próprio como um terminal confiável, o atacante se torna, para o sistema, um funcionário legítimo. Essa dinâmica inverte a lógica de defesa, transformando a ferramenta de produtividade — o Microsoft 365 — no principal canal de exploração.
Impacto sistêmico no setor financeiro
As consequências para o setor financeiro são globais e crescentes. Instituições enfrentaram 43% mais invasões em 2025 em comparação com dois anos antes, com o número de entidades listadas em sites de vazamento de ransomware subindo 27% no mesmo período. A pressão sobre as equipes de segurança é constante, exigindo uma reavaliação de como o suporte de TI lida com solicitações de identidade.
Para reguladores e gestores de risco, o desafio é implementar controles que não dependam apenas do MFA estático. A necessidade de monitorar dispositivos e sessões, em vez de apenas validar o login inicial, tornou-se imperativa. A conexão com o ecossistema brasileiro é evidente, visto que instituições locais seguem padrões globais de adoção de ferramentas de colaboração e autenticação baseadas em nuvem.
Perspectivas e incertezas
O que permanece incerto é a capacidade das empresas em treinar suas equipes de suporte para identificar manipulações de engenharia social em tempo real. A automação dos ataques, facilitada por serviços vendidos via Telegram por valores acessíveis, sugere que o volume de tentativas só tende a aumentar nos próximos trimestres.
Observar como as empresas adaptarão seus protocolos de reset de MFA será o próximo passo crítico para a segurança do setor. A questão que fica é se o custo dessa vigilância adicional superará os benefícios da agilidade operacional que essas ferramentas de nuvem proporcionam.
A segurança corporativa parece ter chegado a um momento de inflexão onde a tecnologia de ponta é secundária diante da gestão de processos simples. O campo de batalha não está mais no firewall, mas na mesa de ajuda de TI.
Com reportagem de Brazil Valley
Source · VentureBeat
