askformore@bittnet.ro
Clase Programate

Noua campanie de atac Google vizeaza BPO pentru furt date corporative

Introducere

Industria Business Process Outsourcing (BPO) a devenit, in ultimii ani, una dintre cele mai atractive tinte pentru grupurile de criminalitate cibernetica, datorita accesului direct la infrastructuri critice, volume mari de date sensibile si conectivitate permanenta cu companii globale. Google a emis recent un avertisment oficial privind o noua campanie complexa de atac care exploateaza aceste puncte vulnerabile pentru a patrunde in sisteme corporative si a sustrage informatii de mare valoare.
Aceasta campanie se remarca printr-un nivel ridicat de sofisticare, metode hibride de inginerie sociala si un set avansat de instrumente malware special create pentru a se infiltra in fluxurile de lucru ale companiilor de outsourcing si call-center.

Contextul campaniei de atac observate de Google

Conform cercetarilor echipei Google TAG (Threat Analysis Group), noua campanie are ca obiectiv principal infiltrarea in companiile BPO pentru a obtine acces la conturile, sistemele si datele corporative ale clientilor acestora. Atacatorii folosesc strategii de impersonare, tehnici de manipulare psihologica si un lant complex de infectare in mai multe etape, care le permite sa treaca neobservati prin majoritatea sistemelor de protectie traditionale.
Datorita rolului lor operational, angajatii BPO devin adesea tinte directe deoarece detin acces la portaluri interne, instrumente de suport tehnic, baze de date CRM si sisteme de autentificare corporative, toate fiind active extrem de valoroase pentru un atacator motivat.

Vectori de infectare si tehnici utilizate de atacatori

Google a identificat o serie de tactici, tehnici si proceduri (TTP) care caracterizeaza aceasta campanie. Metodele folosite sunt adaptabile si scalabile, permitand amenintarii sa se raspandeasca rapid prin retele slab securizate sau prin puncte de acces compromise. Printre tehnicile principale se numara:

  • Impersonare prin mesaje text si email – Atacatorii se prezinta ca reprezentanti oficiali ai marilor platforme tehnologice, solicitand candidatilor sau angajatilor sa finalizeze procese false de verificare, acces sau onboarding.
  • Distribuire de programe malware prin aplicatii aparent legitime – Victimele sunt convinse sa descarce software de test, portaluri de recrutare sau instrumente de acces la conturi care contin de fapt malware personalizat.
  • Infectii bazate pe tool-uri de acces la distanta – Odata instalate, aceste programe permit atacatorilor sa preia controlul sistemului, sa cloneze sesiuni, sa fure credentiale sau sa acceseze direct platformele corporative.
  • Compromiterea canalelor de comunicare uzuale – Atacatorii folosesc canale familiare precum WhatsApp, Telegram, email sau SMS pentru a crea incredere si a mentine contactul cu victima.

Aceste tehnici sunt completate de elemente avansate de obfuscation si mecanisme anti-analiza, facand detectia extrem de dificila pentru antivirusurile traditionale sau pentru sistemele de securitate de nivel entry.

Obiectivele finale ale atacatorilor

Conform evaluarii Google, scopul principal al campaniei este furtul de date corporative sensibile. Acest lucru poate include:

  • Credentiale de autentificare pentru platforme interne sau conturi client.
  • Date personale ale clientilor, de la informatii de identificare pana la date financiare.
  • Liste de acces, token-uri si sesiuni active ce pot fi folosite pentru escaladarea privilegiilor.
  • Informatii comerciale confidentiale legate de operatiuni, fluxuri de lucru si arhitecturi tehnice.

Ceea ce diferentiaza aceasta campanie este ca atacatorii nu urmaresc doar extragerea datelor din sistem, ci si mentinerea persistentei in retea pentru operatiuni viitoare sau colectarea continua de informatii. Astfel, companiile BPO devin nu doar victime, ci si vectori de atac catre corporatiile pe care le deservesc.

Modul de operare: cum ajung victimele compromise

Google descrie un ciclu operational clar al atacului, care incepe aproape intotdeauna cu un proces fals de recrutare sau onboarding. Atacatorii identifica profiluri profesionale adecvate pe platforme publice, apoi initiaza contactul sub pretextul unei oportunitati de angajare legitime.
Dupa ce victima accepta sa coopereze, aceasta este directionata catre un portal fals sau catre un instrument software ce necesita instalare locala. Acest software este in realitate incarcat cu componente malware precum rootkit-uri, infostealere sau instrumente de control la distanta.
Odata ce sistemul este compromis, atacatorii incep colectarea sistematica de date, inregistrarea tastelor, capturi de ecran si extragerea credentialelor salvate local. Daca victima lucreaza deja intr-o companie BPO, atacatorii folosesc accesul acesteia pentru a se infiltra in sistemele corporative mai mari, extinzand astfel raza atacului.

Tipuri de malware observate in campanie

Un aspect tehnic notabil al acestei campanii este diversitatea instrumentelor malware folosite. Analiza Google mentioneaza ca atacatorii folosesc un ecosistem modular de instrumente, care poate include:

  • Keyloggere pentru inregistrarea credentialelor si datelor introduse manual.
  • RAT-uri (Remote Access Tools) ce permit preluarea controlului complet asupra dispozitivului.
  • Stealer-e personalizate pentru extragerea PDF-urilor, fisierelor de configurare si cookie-urilor de sesiune.
  • Module pentru capturi de ecran automate activate atunci cand utilizatorul acceseaza portaluri corporative.
  • Scripturi de escaladare a privilegiilor folosite pentru a obtine acces administrator in sistem.

Malware-ul este distribuit in general prin fisiere ZIP, executabile semnate fraudulos sau aplicatii mobile Android care mimeaza instrumente interne ale companiilor. Acest lucru permite atacatorilor sa ocoleasca filtrele naive si sa creeze o senzatie falsa de autenticitate.

De ce sunt companiile BPO tinte ideale

BPO-urile prezinta un nivel ridicat de risc din perspectiva securitatii cibernetice, deoarece gestioneaza:

  • volume mari de date sensibile;
  • acces extins la platforme ale clientilor;
  • infrastructuri complexe cu multiple puncte de intrare;
  • procese interne in care viteza este adesea prioritara in fata securitatii.

Modelul operational al companiilor de outsourcing, bazat pe un numar mare de angajati cu roluri variate, creeaza un teren fertil pentru atacuri bazate pe inginerie sociala. Un singur angajat compromis reprezinta, pentru un atacator, o poarta catre infrastructuri mult mai mari si mult mai valoroase.

Recomandari Google pentru prevenirea atacurilor

Pentru a limita riscurile asociate acestei campanii, Google recomanda un set de masuri tehnice si operationale. Printre cele mai importante se numara:

  • Verificarea riguroasa a identitatii recrutorilor si evitarea instalarii de software la cerere.
  • Utilizarea exclusiv a portalurilor oficiale pentru procese de onboarding sau recrutare.
  • Implementarea autentificarii multi-factor (MFA) pe toate platformele interne si externe.
  • Monitorizarea si logarea avansata pentru detectarea activitatilor neobisnuite.
  • Segmentarea accesului pentru a limita impactul unui cont compromis.
  • Educatie continua in securitate pentru angajatii BPO, in special pentru cei cu acces la date sensibile.

Aceste masuri, combinate cu o politica de zero-trust si o evaluare periodica a fluxurilor de lucru, pot reduce substantial riscul unei compromiteri majore.

Concluzii

Noua campanie de atac identificata de Google reprezinta o amenintare reala si emergenta pentru companiile BPO si pentru structurile corporative globale pe care acestea le deservesc. Prin combinarea unor tehnici de manipulare psihologica cu instrumente malware avansate, atacatorii reusesc sa exploateze un punct critic din lantul operational al multor companii.
Pe masura ce astfel de atacuri devin tot mai frecvente si mai sofisticate, este esential ca organizatiile sa investeasca in consolidarea arhitecturii de securitate si in instruirea angajatilor, pentru a preveni compromiterea infrastructurii si scurgerea datelor sensibile.

Cu siguranta ai inteles care sunt noutatile din 2026 legate de securitate cibernetica. Daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri structurate pe roluri si categorii din CYBERSECURITY HUB. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.