O Problema de US$ 55,5 Bilhões Que Ninguém Comenta

O comprometimento de e-mail corporativo — ou BEC, na sigla em inglês — é o crime cibernético mais devastador financeiramente no mundo. Segundo o Internet Crime Complaint Center do FBI, o BEC causou US$ 55,5 bilhões em perdas globais acumuladas, com US$ 2,77 bilhões roubados somente em 2024. Mesmo assim, a maioria das empresas nunca ouviu falar disso, e menos ainda têm defesas implementadas.

O BEC funciona porque explora a confiança, não a tecnologia. Um invasor se passa por um CEO, um fornecedor ou um colega e convence alguém a transferir dinheiro, compartilhar credenciais ou alterar dados de pagamento. Os e-mails parecem reais. As ligações soam reais. E agora, com clonagem de voz e vídeo deepfake, elas podem literalmente ser reais — pelo menos para a percepção humana.

US$ 2,77 bi
perdidos em comprometimento de e-mail corporativo somente em 2024 (FBI IC3)

O Deepfake da Arup: US$ 25 Milhões Perdidos em Uma Videochamada

Em fevereiro de 2024, um funcionário do departamento financeiro da Arup — uma empresa multinacional de engenharia com 18.000 funcionários — em Hong Kong entrou em uma videoconferência com o que parecia ser o CFO da empresa e vários colegas. Cada rosto na chamada era um deepfake. Os participantes gerados por IA deram instruções para transferir US$ 25 milhões em cinco transações. O funcionário obedeceu. Quando a fraude foi descoberta, o dinheiro havia desaparecido em múltiplas contas bancárias.

Este não foi um ataque sofisticado de estado-nação. Foi uma quadrilha criminosa usando ferramentas de deepfake disponíveis comercialmente. O ataque funcionou porque o funcionário podia ver e ouvir pessoas que pareciam e soavam exatamente como seus colegas de trabalho. A verificação visual e auditiva — a base da confiança humana — havia sido completamente comprometida.

"Estamos vendo deepfake de vídeo e voz sendo cada vez mais usados como parte de fraudes BEC. O que antes exigia falsificar um endereço de e-mail agora envolve falsificar uma pessoa inteira." — Divisão Cibernética do FBI, 2024

MGM Resorts: Uma Ligação Telefônica, US$ 100 Milhões em Danos

Em setembro de 2023, o grupo hacker Scattered Spider ligou para o helpdesk de TI da MGM Resorts e se passou por um funcionário. A ligação durou cerca de 10 minutos. Usando informações coletadas do LinkedIn, o golpista convenceu o técnico do helpdesk a redefinir as credenciais do funcionário. Essa única ligação deu aos invasores acesso a toda a rede da MGM.

O resultado: máquinas caça-níqueis pararam em toda Las Vegas, cartões-chave de hotel deixaram de funcionar e as operações da MGM travaram por 10 dias. O custo estimado ultrapassou US$ 100 milhões. Tudo porque um funcionário do helpdesk de TI não conseguiu verificar quem realmente estava do outro lado da linha.

Ataques de vishing — phishing por voz — aumentaram 442% no último ano, segundo a empresa de segurança Hoxhunt. Helpdesks de TI são o alvo nº 1 porque têm as chaves do reino: redefinição de senhas, cadastro de MFA e acesso a contas.

Por Que a Segurança Tradicional Falha Aqui

Empresas gastam bilhões em firewalls, detecção de endpoints e autenticação multifator. Mas nenhuma dessas proteções funciona contra um funcionário de confiança sendo manipulado socialmente por telefone. A MFA não ajuda quando o invasor convence o TI a redefini-la. Filtros de e-mail não capturam uma ligação telefônica. A segurança de endpoint não impede um humano de autorizar uma transferência.

  • Autenticação multifator — invasores manipulam o TI para redefini-la
  • Filtros de segurança de e-mail — irrelevantes quando o ataque vem por telefone ou vídeo
  • Identificador de chamadas — facilmente falsificado para mostrar qualquer número
  • Verificação visual em videochamadas — derrotada por deepfakes em tempo real
  • Treinamento de conscientização de segurança — ensina funcionários a identificar phishing por e-mail, não falsidade ideológica por voz ao vivo

A Camada Que Falta: Verificação Verbal

Uma palavra de segurança é algo que um deepfake não consegue replicar porque não é derivada de nenhuma informação pública. É um segredo compartilhado — um conhecimento que existe apenas na mente das pessoas que o combinaram pessoalmente. Nenhuma quantidade de pesquisa no LinkedIn, clonagem de voz ou deepfake de vídeo consegue produzi-lo.

A Publicação Especial 800-63B do NIST — as diretrizes de identidade digital do governo dos EUA — aprova explicitamente a autenticação fora-de-banda baseada em voz através da rede telefônica pública. O princípio é sólido: verificar identidade através de um canal separado usando conhecimento compartilhado que o invasor não pode interceptar.

Como Implementar Palavras de Segurança no Trabalho

  • Estabeleça uma palavra de segurança da equipe compartilhada pessoalmente em uma reunião geral — nunca por e-mail ou chat
  • Crie uma política: qualquer transação financeira acima de um limite (ex.: R$ 25.000) exige confirmação verbal com a palavra de segurança
  • O helpdesk de TI deve verificar a palavra de segurança do departamento antes de redefinir senhas ou MFA
  • Troque a palavra de segurança trimestralmente — anuncie a nova na próxima reunião presencial
  • Pagamentos a fornecedores: estabeleça palavras de segurança com fornecedores-chave para solicitações de alteração de pagamento
  • Comunicações da diretoria: se o CEO ligar com um pedido urgente, a palavra de segurança deve ser fornecida antes de qualquer ação

Falsidade Ideológica de Fornecedor: O Vetor BEC de Crescimento Mais Rápido

Segundo a Abnormal AI, 60% dos ataques BEC modernos agora envolvem falsidade ideológica de fornecedor em vez de falsidade ideológica de executivo. Um invasor compromete o e-mail de um fornecedor, monitora os padrões de faturamento e então envia uma mensagem convincente: "Nossa conta bancária mudou. Por favor, atualize seus registros e envie o próximo pagamento para esta nova conta."

Uma palavra de segurança compartilhada entre sua equipe de contas a pagar e cada fornecedor crítico interromperia isso completamente. Antes de qualquer alteração de dados de pagamento ser processada, o fornecedor deve fornecer a palavra de verificação compartilhada — por telefone, para um contato conhecido, em um número conhecido.

O Trabalho Remoto Piorou Tudo

Quando as equipes trabalhavam no mesmo escritório, você podia ir até a mesa de alguém e confirmar um pedido pessoalmente. O trabalho remoto e híbrido eliminou essa opção. Agora, toda verificação acontece por canais digitais — os mesmos canais que deepfakes podem comprometer. Palavras de segurança restauram a camada de confiança presencial nas interações remotas.

Comece hoje: use o Construtor de Protocolo do Safewords.io para criar um protocolo de verificação no trabalho. Escolha "Trabalho" como tipo de grupo, adicione os membros da sua equipe e defina quando a palavra de segurança deve ser exigida. Imprima o cartão de segurança e compartilhe na próxima reunião de equipe.