O que a RESH oferece de diferente?

A RESH oferece uma nova forma de cuidado e proteção de cibersegurança, integrando tecnologia, comportamento humano e melhores práticas do mercado para garantir a proteção dos dados dos clientes e realizando testes de invasão para descobrir falhas antes que sejam exploradas por hackers. Garantimos tratamentos personalizados e coordenação total do cuidado.

Quais são as especialidades da RESH?

Realizamos Pentest, ptes, red team de invasão em período integral, análise de segurança cibernética, auditoria de conformidade da LGPD.

Como faço para agendar uma consulta?

Você pode agendar sua consulta através do forms no site.

BLOG

Pentest em sistemas de acesso físico

2 dez 2025

Segurança Cibernética, Tecnologia

POR:

Haline Farias

Como hackers as usam para violar a cibersegurança de uma empresa

Por que dispositivos de videoconferência são alvos críticos no pentest

O pentest em ambientes corporativos frequentemente negligencia um vetor de ataque cada vez mais explorado: os dispositivos de videoconferência.

Câmeras Logitech, docks e sistemas de VC representam portas abertas para espionagem industrial quando não estão no escopo de testes de segurança.

Firmware de dispositivos IoT é tipicamente heterogêneo e fechado, tornando mais difícil detectar vulnerabilidades no nível do firmware.

Além disso, câmeras IP são frequentemente usadas em cadeias de ataque para realizar reconhecimento ou hospedar malware que pode usar movimento lateral para acessar dados corporativos sensíveis.

Vulnerabilidades críticas em câmeras de videoconferência corporativa

Firmware desatualizado: A brecha mais comum

A National Vulnerability Database (NVD) do NIST documenta múltiplas CVEs relacionadas a dispositivos Logitech. Vulnerabilidades recentes receberam pontuações CVSS de até 8.7, permitindo acesso não autorizado remoto.

Principais vetores de ataque identificados em pentest de dispositivos de VC:

Exploração de firmware obsoleto: Versões antigas contêm falhas conhecidas que permitem execução remota de código
Bypass de autenticação: Tokens de acesso inadequadamente validados permitem controle total do dispositivo
Acesso administrativo sem credenciais: Interfaces web expostas com configurações padrão

Como hackers exploram câmeras em ataques corporativos

Ferramentas de administração remota (RATs) podem capturar cada pressionamento de tecla e gravar vídeo secretamente ao acessar a webcam do host. No contexto empresarial, isso significa:

Espionagem de reuniões estratégicas: Captação de informações confidenciais em tempo real
Roubo de credenciais: Visualização de senhas e dados sensíveis exibidos em tela
Reconhecimento de infraestrutura: Mapeamento de layout físico e identificação de alvos de valor

Metodologia de Pentest para sistemas de videoconferência

Fase 1: Descoberta e mapeamento de ativos

Um pentest eficaz em dispositivos de VC começa com inventário completo:

Identificação de todos os endpoints de videoconferência
Mapeamento de versões de firmware
Análise de superfície de ataque de cada dispositivo

Fase 2: Análise de firmware e configurações

A aplicação de metodologias de VAPT em dispositivos IoT é um desafio devido à variedade de tecnologias-alvo e criatividade necessária. Técnicas especializadas incluem:

Extração e análise estática de firmware
Identificação de credenciais hardcoded
Testes de injeção em interfaces administrativas
Verificação de criptografia em transmissões de vídeo

Fase 3: Testes de exploração e acesso remoto

Durante o pentest, simulamos ataques reais:

Tentativas de bypass de autenticação
Exploração de vulnerabilidades conhecidas (CVEs)
Testes de clickjacking em interfaces web
Avaliação de controles de acesso físico

Espionagem industrial: O risco real para empresas

Espionagem corporativa afeta todas as dimensões do negócio, desde segredos comerciais até documentos e acesso ao perímetro físico. Dispositivos de videoconferência comprometidos permitem:

Vazamento de estratégias corporativas: Reuniões executivas expostas a concorrentes
Comprometimento de propriedade intelectual: Captura de apresentações técnicas e dados de P&D
Monitoramento contínuo não autorizado: Vigilância persistente de ambientes críticos

Em fábricas, câmeras expostas podem revelar linhas de produção e processos proprietários, sendo uma benção para espionagem industrial.

O caso Arup: 25 milhões de dólares perdidos por deepfake em videoconferência

Em fevereiro de 2024, a multinacional de engenharia Arup sofreu um golpe que expôs uma nova dimensão de risco.

Um funcionário do departamento financeiro em Hong Kong transferiu US$ 25,6 milhões após participar de uma videoconferência fraudulenta.

Os criminosos usaram tecnologia deepfake para personificar o CFO da empresa, baseado no Reino Unido, além de outros colegas em uma chamada de vídeo.

O funcionário inicialmente suspeitou de phishing ao receber um e-mail sobre uma “transação confidencial”. Porém, ao ver o CFO e colegas reconhecíveis na videoconferência, acreditou na legitimidade da solicitação.

O trabalhador concordou em remeter um total de 200 milhões de dólares de Hong Kong através de 15 transações para cinco contas bancárias diferentes. O golpe só foi descoberto uma semana depois, quando o funcionário contatou a matriz para confirmação.

Como os hackers executaram o ataque:

Gravação prévia de reuniões de videoconferência legítimas
Criação de deepfakes convincentes usando IA generativa
Orquestração de videoconferência falsa com múltiplos “participantes”
Exploração de processos de aprovação financeira inadequados

Este caso demonstra como vulnerabilidades em sistemas de videoconferência podem ser exploradas para fraudes sofisticadas.

A cibersegurança corporativa deve considerar não apenas o acesso não autorizado a câmeras, mas também o uso malicioso de gravações para criar conteúdo sintético.

Como proteger sua Infraestrutura de videoconferência

Implementação de controles técnicos

Segmentação de rede: Isolamento de dispositivos IoT em VLANs dedicadas
Gestão proativa de patches: Atualização automática de firmware
Monitoramento de tráfego anômalo: Detecção de comunicações não autorizadas
Autenticação multifator: Proteção adicional para interfaces administrativas

Políticas organizacionais essenciais

Inventário atualizado de todos os dispositivos de VC
Política de descarte seguro de hardware
Treinamento de conscientização sobre espionagem através de câmeras
Auditorias periódicas de configurações
Processos de verificação múltipla para transferências financeiras: Após o caso Arup, implementar autenticação multi-canal para transações acima de valores críticos
Protocolos de confirmação fora de banda: Validação de solicitações executivas através de canais alternativos (telefone direto, SMS, autenticação presencial)

Porque incluir dispositivos IoT no escopo de Pentest

A RESH especializa-se em testes de segurança abrangentes. Nosso serviço de pentest em IoT identifica vulnerabilidades em toda a superfície de ataque corporativa, incluindo dispositivos de videoconferência frequentemente esquecidos.

Fabricantes de câmeras de segurança enfrentam pressão para lançar produtos rapidamente, o que frequentemente leva a segurança sendo tratada como algo secundário. Por isso, pentest especializado é essencial.

Conclusão: Pentest como proteção contra espionagem

Dispositivos de videoconferência representam um vetor de ataque crítico frequentemente negligenciado. Um pentest abrangente que inclua câmeras Logitech, docks e sistemas de VC é fundamental para prevenir espionagem industrial e proteger ativos corporativos críticos.

A cibersegurança moderna exige avaliação contínua de todos os endpoints conectados. Não permita que seus dispositivos de videoconferência se tornem o elo mais fraco na defesa corporativa.

Fontes:

Jayaram, H., Lui, J., Nguyen, P., & Zakarian, S. (2014). Preventing Covert Webcam Hacking in the Civilian and Governmental Sectors. MIT. https://courses.csail.mit.edu/6.857/2014/files/03-jayaram-lui-nguyen-zakarian-preventing-covert-webcam-hacking
National Institute of Standards and Technology (NIST). (2024). National Vulnerability Database. https://nvd.nist.gov
CISA. (2024). AVTECH IP Camera Vulnerabilities. Cybersecurity and Infrastructure Security Agency. https://www.cisa.gov/news-events/ics-advisories/icsa-24-214-07
Bistarelli, S., Mostarda, L., & Raimondi, F. (2023). PETIoT: PEnetration Testing the Internet of Things. ScienceDirect. https://www.sciencedirect.com/science/article/pii/S2542660523000306
CNN. (2024). Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’. https://www.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk
CFO Dive. (2024). Scammers siphon $25M from engineering firm Arup via AI deepfake ‘CFO’. https://www.cfodive.com/news/scammers-siphon-25m-engineering-firm-arup-deepfake-cfo-ai/716501/

Categorias

RESH

Julio Costa

Compartilhe:

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 meses	Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checbox-functional	11 meses	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcionais".
cookielawinfo-checbox-others	11 meses	Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-necessary	11 meses	Este cookie é definido pelo plugin GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessários".
viewed_cookie_policy	11 meses	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Ele não armazena nenhum dado pessoal.