Atenção, marujos digitais: seu salário está na mira dos piratas da folha de pagamento
Em uma era onde a segurança digital parece uma fortaleza, alguns criminosos preferem agir como os velhos piratas: em vez de explodir os muros, eles simplesmente enganam o guarda para conseguir a chave. É exatamente essa a tática de um novo golpe identificado pela equipe de Inteligência de Ameaças da Microsoft. Apelidada de 'Payroll Pirate', a campanha é um ataque audacioso e astuto que tem como alvo o bem mais precioso do trabalhador: o salário do fim do mês.
Desde março de 2025, um grupo rastreado como Storm-2657 tem se concentrado em funcionários de universidades nos Estados Unidos, utilizando e-mails de phishing para invadir sistemas de RH baseados em nuvem, como o popular Workday, e desviar os depósitos diretos para contas controladas por eles. Segundo a Microsoft, a operação não explora uma falha no software, mas sim a boa e velha engenharia social, combinada com brechas em configurações de segurança que muitas organizações ainda insistem em manter.
O conto do vigário 2.0: como o golpe funciona
O ataque começa de forma quase inofensiva, com um e-mail. As iscas de phishing, de acordo com o divulgado pela Microsoft, são criadas com uma precisão acadêmica para parecerem legítimas. Em um dos exemplos, o e-mail alertava sobre uma suposta exposição a uma doença contagiosa no campus, com um link para que o funcionário verificasse seu status. Em outro, o tema era uma mudança nos benefícios. Em ambos os casos, o link levava a uma página falsa, idêntica à de login do portal da universidade.
É aqui que a mágica (negra) acontece. Os criminosos utilizam técnicas de adversary-in-the-middle (AiTM), posicionando-se entre a vítima e o site legítimo. Quando o funcionário insere seu login, senha e até mesmo o código de autenticação multifator (MFA), os atacantes o interceptam em tempo real e o utilizam para acessar a conta verdadeira. É como se um carteiro mal-intencionado lesse sua correspondência, copiasse a chave de casa e entrasse antes de você. Isso ressalta uma verdade inconveniente: nem todo MFA é criado igual. Formas que dependem de códigos de uso único, SMS ou notificações push são vulneráveis a esse tipo de interceptação.
Invisível aos olhos: apagando os rastros no RH
Uma vez dentro da conta de e-mail e do portal de RH, os 'piratas' agem de forma cirúrgica. O primeiro passo, conforme detalhado no alerta, é alterar os dados bancários para o depósito direto do salário. O dinheiro que deveria ir para a conta do funcionário passa a ser direcionado para uma conta controlada pelo grupo Storm-2657.
Para garantir que a vítima não perceba a mudança, os atacantes criam regras diretamente na caixa de entrada do e-mail do funcionário, geralmente no Exchange Online. Essas regras são configuradas para interceptar e deletar automaticamente qualquer notificação vinda do sistema de RH (como e-mails com o domínio "@myworkday.com") que informe sobre a alteração dos dados bancários. Em alguns casos, os criminosos chegam a adicionar um número de telefone próprio como método de recuperação de conta, garantindo acesso persistente mesmo que a senha seja trocada.
Ataque em escala: os números da operação pirata
A eficácia do golpe é alarmante. De acordo com a Microsoft, desde março de 2025, foram observadas 11 contas comprometidas com sucesso em três universidades. Essas contas foram então usadas como trampolim para expandir o ataque, enviando e-mails de phishing para quase 6.000 outras contas em 25 universidades. A taxa de sucesso da engenharia social também chama a atenção: em uma das campanhas, que atingiu 500 pessoas em uma única instituição, apenas cerca de 10% dos destinatários marcaram a mensagem como suspeita.
O escudo e a espada: como se proteger do desvio de salário
A Microsoft reforça que a defesa contra o 'Payroll Pirate' começa com uma higiene de segurança robusta. A principal recomendação é abandonar senhas e métodos de MFA ultrapassados. A gigante da tecnologia aconselha a adoção de métodos resistentes a phishing, como chaves de segurança FIDO2, passkeys ou o Windows Hello. Até hoje, não há registros de que esses métodos tenham sido burlados por golpes de AiTM.
Para os administradores de sistemas, a recomendação é correlacionar dados entre o Exchange Online e o Workday, monitorando atividades suspeitas como a criação de novas regras de e-mail que mencionem o sistema de RH ou eventos como "Alterar Minha Conta" e "Gerenciar Eleições de Pagamento". Para o usuário comum, fica a lição de sempre desconfiar de links e, talvez, dar uma olhada nas regras de sua caixa de entrada de vez em quando. Afinal, nunca se sabe quando um pirata pode ter passado por lá.
A campanha 'Payroll Pirate' serve como um lembrete de que, no vasto oceano digital, o tesouro mais cobiçado muitas vezes não são dados corporativos complexos, mas algo tão fundamental quanto o salário. E, para protegê-lo, é preciso mais do que um simples cadeado; é necessária uma fortaleza moderna. Ou, como diria um velho programador COBOL: "confie, mas verifique... e depois atualize seu sistema de autenticação, por favor".
{{ comment.name }}
{{ comment.comment }}