O NCSC insta as empresas a verificar os "processos de redefinição de senha" das centrais de atendimento de TI, pois hackers visam varejistas.

O Centro Nacional de Segurança Cibernética (NCSC) alertou que criminosos que lançam ataques cibernéticos a varejistas britânicos estão se passando por centrais de ajuda de TI para invadir organizações.

Hackers atacaram Marks & Spencer, Co-op e Harrods nas últimas duas semanas e, na sexta-feira, o grupo anônimo disse à BBC que haverá mais ataques em breve.

Agora, o NCSC, a agência governamental responsável pela segurança cibernética, emitiu orientação às organizações instando-as a rever suas "processos de redefinição de senha" da central de ajuda de TI para reduzir suas chances de serem hackeadas.

"Acreditamos que, seguindo as melhores práticas, todas as empresas e organizações podem minimizar as chances de serem vítimas de atores como este", disse.

Ele disse que as empresas deveriam reavaliar como sua central de ajuda de TI "autentica os membros da equipe" antes de redefinir senhas, especialmente funcionários seniores com acesso a partes de alto nível de uma rede de TI.

Destacou a especulação da imprensa em torno da "engenharia social" como uma forma de os hackers terem ganhado acesso às contas.

Criminosos usam técnicas de engenharia social para fazer as pessoas confiarem neles quando enviam e-mails, mensagens de texto ou ligam fingindo ser da central de ajuda de TI de uma empresa - em última análise, enganando os funcionários para que entreguem suas senhas de login e códigos de segurança.

Isso também funciona da outra forma - ligando para as pessoas que trabalham na central de ajuda e fingindo ser um funcionário bloqueado de sua conta.

Especialistas em segurança cibernética agora recomendam mais camadas de segurança para lidar com esse tipo de ataque.

"Ter palavras-código que são usadas quando um funcionário telefona para alterar suas credenciais, como "BluePenguin", é uma coisa que está sendo discutida na comunidade cibernética como uma forma de verificar se o membro da equipe é genuíno", disse Lisa Forte, da empresa de segurança cibernética Red Goat.

"Em última análise, volta-se para a mesma questão com as credenciais de login de sempre - precisamos de várias maneiras de fazê-lo para garantir que não seja fácil de contornar."

O conselho do NCSC é a dica mais forte até agora de que os hackers estão usando táticas mais comumente associadas a um coletivo de criminosos cibernéticos de língua inglesa apelidados de Scattered Spider.

O nome vem de "aranha" sendo o rótulo dado a criminosos cibernéticos financeiramente motivados, enquanto "espalhado" é porque eles não são uma gangue coesa e organizada.

Nos últimos dois anos, esses hackers díspares, em sua adolescência ou vinte e poucos anos, coordenaram e planejaram ataques no Discord e no Telegram para violar dezenas de empresas e roubar ou embaralhar dados para extorquir suas vítimas.

O NCSC não nomeia especificamente o grupo como responsável pela atual onda de ataques, mas reconhece que o Scattered Spider é conhecido por esses tipos de hacks.

Em outros conselhos do NCSC, os defensores cibernéticos estão sendo instados a ficar atentos aos "Logins arriscados".

Isso significa procurar quando e de onde os funcionários fizeram login - por exemplo, tarde da noite ou de locais estranhos.

Embora os criminosos cibernéticos possam estar em qualquer lugar do mundo, jovens hackers de língua inglesa no Reino Unido e nos EUA se tornaram adeptos do uso de engenharia social em seus ataques.

Os hackers Scattered Spider foram responsáveis por ataques de alto perfil, incluindo as ações coordenadas contra cassinos em Las Vegas, nos quais o MGM Grand Casinos e o Caesar's Palace foram atingidos em rápida sucessão.

Houve seis prisões no ano passado de hackers acusados de pertencer ao Scattered Spider nos EUA e no Reino Unido.

Em julho de 2024, um jovem de 17 anos de Walsall foi preso como parte de uma investigação do FBI sobre o hack do MGM - e meses depois, uma pessoa da mesma idade e local foi presa em conexão com outro hack no Transport for London.

A polícia não disse se o suposto hacker era a mesma pessoa.

Na sexta-feira, os hackers responsáveis pela atual onda de ataques falaram com a BBC.

Os criminosos negaram repetidamente que são hackers do Scattered Spider e só se autodenominariam DragonForce - o nome de um serviço de crimes cibernéticos que os hackers podem usar para software malicioso e extorsão.

Os hackers, que falavam inglês fluentemente, revelaram à BBC que haviam comprometido a Co-op e roubado uma grande quantidade de dados de clientes e funcionários.

Eles não discutiram os hacks do M&S. Mas acredita-se que o ransomware DragonForce tenha sido usado para embaralhar os servidores de TI da empresa.

Embora o NCSC tenha dito que "tinha informações", acrescentou que "ainda não está em posição de dizer se esses ataques estão relacionados".

"Estamos trabalhando com as vítimas e colegas da aplicação da lei para apurar isso", afirmou.