top of page
Banner cabeçalho blog
Buscar

BEC com IA e deepfakes quando a fraude imita sua liderança e a cultura segura o negócio

  • Foto do escritor: Keine Alves
    Keine Alves
  • 26 de mar.
  • 7 min de leitura

Quando segurança parecia um muro


Me recordo que, ali entre 1998 e 2000, a segurança cibernética era tratada como um muro. Eu praticamente nasci nas telecomunicações e estava lá quando as empresas começaram a levar a sério a proteção de perímetro, colocando firewalls da Cisco e da CheckPoint no centro da infraestrutura e acreditando que, com esse limite bem desenhado, o risco ficava do lado de fora.


Naquele tempo dava para apontar, na topologia, onde a segurança morava. Dava para dizer sem hesitar, aqui é a borda, aqui está o controle, aqui dentro é o nosso território e lá fora mora o risco.


Isso trouxe ordem e trouxe avanço. Mas também plantou uma crença confortável que se arrastou por décadas. A crença de que bastava erguer um muro bom e o restante da organização podia seguir no automático, sem grandes preocupações.


Depois eu me aproximei do mundo do desenvolvimento e vi a segunda camada da realidade. Software ensina rápido que risco mora no detalhe e mora na pressa. Mora na exceção do só por hoje. Mora no acesso que vira rotina porque ninguém quer ser o chato que trava o fluxo. Foi aí que eu entendi um ponto que hoje eu repito para líderes sem romantizar.


O ataque mais eficiente não é o que vence a tecnologia. É o que convence uma pessoa a abrir a porta certa, na hora certa, com a justificativa certa.


Chegamos em 2026 e essa frase ficou mais verdadeira do que nunca.


A mensagem que parecia trabalho


Pensa numa manhã comum. Agenda cheia, gente pedindo coisa, decisão atrás de decisão. É nesse cenário que a engenharia social funciona melhor, porque ela não precisa de genialidade. Ela precisa de fadiga e de urgência.


A mensagem chega com educação, contexto, vocabulário interno e aquele cheiro de rotina. Ela fala de fornecedor, de pagamento, de ajuste bancário, de evitar travamento operacional. Nada ali parece ameaça. Parece trabalho.


O gestor lê rápido porque está resolvendo o dia no celular. Ele responde, pede confirmação, encaminha para o time e segue. Em poucos minutos o dinheiro muda de destino e a empresa só percebe quando a trilha já esfriou.


O que pesa nessa hora não é só o prejuízo. O que pesa é a sensação de ter sido conduzido por uma narrativa que parecia legítima.


E aqui está a virada que muita liderança ainda não internalizou. Esse golpe não é feito para ser estranho. Ele é feito para ser normal. É por isso que cultura precisa estar pronta para esse tipo de situação, porque o ataque moderno vive de situações comuns.


O que a IA mudou de verdade na engenharia social


Durante anos, phishing era uma pescaria com rede grande. Muita mensagem genérica, pouco acabamento, um jogo de volume esperando alguém cair.


Com IA, a engenharia social virou produção sob medida. O criminoso faz pesquisa, cruza informação pública, replica estilo de escrita, escolhe o melhor momento e escreve com a cara do seu ambiente.


O nome técnico que aparece em muitos desses casos é BEC, Business Email Compromise. Na prática, é fraude corporativa por mensagem, e-mail, WhatsApp, Teams ou qualquer canal onde a empresa toma decisão, movimenta dados sensíveis e libera dinheiro.


A IA turbina isso porque reduz o custo de convencer e aumenta a escala de personalização. O ataque deixa de ser barulhento e vira silencioso. Ele se mistura com a operação.


E aí acontece a coisa mais perigosa para quem lidera. O alvo não é o servidor. É o seu processo de decisão.


Quando a voz vira evidência falsa


Até pouco tempo, muitas empresas tinham um antídoto cultural simples. Se estiver estranho, confirma por telefone.


Só que agora a voz também pode ser fabricada. E quando a voz vira fabricável, a empresa precisa parar de usar impressão como prova.


Não é conversa de internet. Tem orientação oficial de órgãos americanos alertando organizações para o uso de deepfakes em golpes e fraudes, e há alertas do FinCEN sobre o aumento de relatos de deepfakes em esquemas de fraude nos últimos anos.


Quando você junta isso com o comportamento típico de ambientes corporativos, a conta fecha. Autoridade, urgência, sigilo e vergonha ainda são os quatro gatilhos que derrubam gente boa, competente e dedicada.


A IA não inventou esses gatilhos. Ela só ficou melhor em acioná-los com naturalidade, do jeito certo, na hora certa, com a palavra certa.


Casos que tiram o tema do PowerPoint e colocam na mesa do CEO

WPP e a tentativa de deepfake que queria parecer uma reunião normal


O CEO da WPP, Mark Read, relatou ter sido alvo de um golpe com deepfake e impersonificação, com conta falsa e tentativa de reunião por Teams, usando imagem pública e clonagem de voz para parecer legítimo.


O que interessa aqui não é o espetáculo da tecnologia. O que interessa é o formato do ataque. Ele tenta virar rotina. Ele tenta virar conversa de trabalho. Ele tenta virar solicitação razoável feita por alguém que você reconhece.


Esse é o ponto que assusta e que exige maturidade do topo. Quando o ataque consegue imitar liderança, cultura vira o último filtro confiável.


MGM e o custo de um processo humano frágil


A MGM sofreu um ataque em setembro de 2023 que derrubou sistemas e impactou operação, com estimativa de custo acima de 100 milhões de dólares segundo cobertura da AP. Vários relatos técnicos e análises de mercado apontaram engenharia social como porta de entrada, explorando contato com suporte e reset de acesso, que é o tipo de coisa que parece simples e administrativa até virar desastre.


O aprendizado é brutal e simples. Você pode ter tecnologia, sistemas bons, consultoria, processos escritos. Se o seu processo humano permite atalho sob pressão, alguém vai usar. E é aí que entra a importância de trabalhar cultura de segurança como cultura de trabalho.


Change Healthcare e a lição que dói porque é básica


Em 2024, o ataque contra a Change Healthcare teve impacto amplo no setor de saúde nos Estados Unidos. Em audiência no Senado, foi apontada falta de autenticação multifator em um servidor como um fator relevante para o acesso inicial, e foi reportado pagamento de resgate na casa de 22 milhões de dólares em bitcoin.


Você não precisa ser técnico para entender o que isso significa. Significa que o básico não estava blindado. E quando o básico falha, o criminoso não precisa de mágica.


A reflexão para líderes é direta. Controles essenciais não são detalhe de TI. São governança estruturada que precisa ser sustentada, cobrada e mantida de pé quando a pressa aperta.


 Brasil e o efeito dominó na cadeia de fornecedores


O caso da MedicSolution, no setor de saúde, foi reportado como ataque de ransomware atribuído ao grupo KillSec, com risco de vazamento e efeito em cadeia por ser fornecedor de software para clínicas e operações médicas.


Esse tipo de ataque é um recado claro para qualquer gestor. Não basta olhar para dentro da empresa, porque o risco também vem por parceiros, integrações e fornecedores que se conectam ao seu ambiente.


Quando o fornecedor cai, a sua empresa pode cair junto, mesmo que você esteja fazendo lição de casa. Cadeia é risco. Risco de cadeia é tema de liderança.


O que esses casos têm em comum


Eles não começam com uma explosão tecnológica. Eles começam com uma permissão concedida, uma confirmação apressada, uma exceção liberada, um canal errado usado como prova.


Eles começam com gente tentando resolver o dia. E o criminoso usando isso como alavanca.


Quando eu digo que sou especialista em tecnologia, que eu vim do mundo de telecom e que estive lá no início desse ciclo de firewalls e infraestrutura, eu trago o peso da experiência para cravar uma coisa. A tecnologia é indispensável. Mas ela não sustenta sozinha o comportamento organizacional.


Depois de mais de vinte e cinco anos nessa estrada, passando por infraestrutura, desenvolvimento e governança do comportamento, eu cheguei num ponto sem retorno. Segurança real mora no encontro entre técnica e cultura. Quem lidera precisa assumir esse encontro como parte do negócio.


Cultura de segurança como caminho seguro, sem teatro


Muita empresa confunde cultura de segurança com comunicação interna e treinamento anual. Isso é teatro.


Cultura, de verdade, é o que a empresa faz no cotidiano, inclusive quando está com pressa. É o padrão que resiste quando a urgência tenta mandar.


Eu gosto de usar uma referência tradicional porque ela é mais inteligente do que parece. A indústria aprendeu segurança com procedimento, checklist, dupla checagem e disciplina, porque improviso custava caro.


No digital, é a mesma lógica. O custo não é sangue, mas é paralisação, extorsão, perda de dados, desgaste de reputação e ruptura de confiança.


Então quando eu falo caminho seguro, eu falo de um modo de trabalhar. Um modo que reduz improviso e aumenta consistência.


O caminho seguro que eu cobraria de qualquer liderança


Primeiro, todo pedido sensível precisa ter validação por canal independente, como se prega nas regras de compliance. Dinheiro, alteração de dados bancários, acesso, credencial, envio de arquivo crítico, mudança de fornecedor. Qualquer coisa fora do padrão não se resolve no impulso.


Segundo, urgência com sigilo fora do processo vira suspeita por definição. O ataque moderno ama a frase resolve agora e não envolve mais ninguém, porque isso tira o time do fluxo de validação e transforma a decisão em ato solitário.


Terceiro, liderança não pode ser exceção. Se o topo pede atalho, a empresa aprende que o processo é decorativo. E o criminoso aprende que o topo é a melhor porta.


Quarto, treino curto e recorrente. Não é para humilhar ninguém, é para criar reflexo. O ser humano decide pelo hábito quando está cansado. E o ataque escolhe justamente a hora em que você está cansado.


Quinto, resposta a incidente precisa ser ensaiada. Quando a crise estoura, você não discute quem decide, você executa o que já foi decidido. Sem ensaio, entra pânico. Com pânico, você entrega vantagem para o atacante.


Sexto, fornecedor é parte do seu sistema. Se você não governa risco de cadeia, você terceiriza o risco sem perceber.


As perguntas que eu colocaria na mesa amanhã com a equipe


Se alguém clonar a minha voz e pedir um pagamento, qual é o processo que impede meu time de obedecer?


Quem pode aprovar pagamento e como isso é validado quando a solicitação foge do padrão.


Qual foi o último treino real, com simulação real, e qual foi o último teste completo de restauração de backup?


Quais fornecedores, se caírem, derrubam minha operação.


Onde a liderança ainda se permite ser exceção, mesmo sabendo que o ataque agora imita liderança.


Se as respostas forem frágeis, não adianta comprar mais ferramenta para aliviar a consciência. Tem que mudar o padrão de atuação.


Para fechar


O mundo em que a prova era a voz ao telefone acabou. O mundo em que a imagem na chamada era garantia acabou. A ameaça ficou adulta e a fraude aprendeu a vestir a roupa da rotina.


A resposta que funciona é antiga no melhor sentido. Disciplina, processo, checagem e cultura aplicada ao trabalho.


Quem lidera não precisa virar técnico. Quem lidera precisa virar guardião do caminho seguro, porque hoje a decisão é a fronteira real da segurança.

Keine Alves Líder educador, pesquisador e filósofo aplicado


Comentários

O real é simples:
sem filtro, sem ensaio, só experiência.

Direitos Reservados ©   I   Keine Alves   I   Política de privacidade

bottom of page