// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
Voltar às Notícias
Vazamento de Dados 10 Abr 2025 7 min de leitura

Scattered Spider: Como o Grupo Hackeou Victoria's Secret, North Face e Cartier

Engenharia social avançada, SIM swapping e vishing foram as armas do grupo Scattered Spider para invadir grandes varejistas globais em 2025. Entenda a metodologia e como se proteger.

Scattered Spider: Como o Grupo Hackeou Victoria's Secret, North Face e Cartier

O Ataque que Abalou o Varejo Global

Em 2025, o grupo de hackers conhecido como Scattered Spider — também chamado de UNC3944 ou Muddled Libra — voltou às manchetes ao comprometer os sistemas de algumas das marcas de luxo mais reconhecidas do mundo: Victoria's Secret, North Face e Cartier. Os ataques seguiram um padrão perturbador: não houve exploração de vulnerabilidades técnicas sofisticadas. A porta de entrada foi o ser humano.

A Anatomia do Ataque

O Scattered Spider opera com uma combinação letal de engenharia social, SIM swapping e vishing (phishing por voz):

  • Reconhecimento: O grupo mapeia funcionários via LinkedIn, Glassdoor e fóruns internos vazados.
  • Vishing: Ligações se passando por suporte de TI, convencendo funcionários a revelar credenciais ou resetar MFA.
  • SIM Swapping: Corrompem funcionários de operadoras para transferir o número da vítima, interceptando SMS de autenticação.
  • Acesso e Persistência: Instalam ferramentas legítimas (AnyDesk, Splashtop) para manter presença sem disparar alertas de EDR.

Por Que as Empresas Continuam Caindo?

A maioria das organizações treina funcionários para reconhecer e-mails de phishing, mas negligencia completamente o phishing por voz. Um analista de help desk sob pressão pode ceder credenciais em menos de 3 minutos.

O uso de MFA baseado em SMS como única camada de autenticação é fatal — o SIM swapping neutraliza completamente esse mecanismo.

Como se Proteger

  • Treinamento anti-vishing: Simule ligações de engenharia social. A CyberZ oferece esse serviço como parte do Teste de Phishing.
  • Abandone o MFA por SMS: Migre para TOTP (Google Authenticator) ou chaves físicas FIDO2.
  • Protocolo rígido de verificação antes de qualquer reset de senha ou desativação de MFA.
  • Zero Trust: Privilégios mínimos, sempre.
O Scattered Spider não hackeia sistemas. Ele hackeia pessoas — o elo mais fraco e mais negligenciado de qualquer programa de segurança corporativa.

Sua empresa está preparada para uma ligação como essa amanhã? Fale com nossos especialistas.

# scattered spider # engenharia social # varejo # SIM swapping # ransomware
Fonte original: Wall Street Journal
Compartilhar:
// Sua empresa está protegida?

Descubra suas vulnerabilidades antes que os invasores descubram. Fale com nossos especialistas.

Falar com Especialista