Deepfake: a nova geração de phishing que estão atacando as empresas e como teste de intrusão é fundamental para se proteger

Imagine receber uma mensagem de áudio do seu diretor financeiro. A voz é idêntica. O pedido parece urgente. Você transfere R$ 500 mil para uma conta. Horas depois, descobre que era um golpe.

Isso não é ficção.

Em 2024, uma empresa de engenharia perdeu US$ 25 milhões após um funcionário participar de uma videochamada com deepfakes do CFO e colegas. Todos eram falsos (Security.org, 2024).

O que é deepfake e por que você deveria se preocupar

Deepfake é uma tecnologia que usa inteligência artificial para criar vídeos, áudios e imagens falsas.

Com isso, ela consegue clonar rostos, vozes e até expressões de qualquer pessoa.

O problema? 

Apenas 3 segundos de áudio são suficientes para clonar uma voz com 85% de precisão.

Consequentemente, criminosos usam essa técnica para se passar por executivos, clientes ou fornecedores. Esqueça aqueles golpes via ligação telefônica.

O real risco é alguém se passar por você e dar ordens erradas para a sua equipe.

Os números assustam:

• Fraudes com deepfake cresceram 3.000% em 2023 (Keepnet Labs, 2025)
• 10% das empresas já enfrentaram tentativas de fraude com deepfake
• Perdas chegaram a US$ 450 mil em média por empresa (Regula, 2025)
• 80% das empresas não possuem protocolos contra esse tipo de ataque

WhatsApp e Telegram: o novo campo de batalha

O phishing tradicional usava e-mails com erros de português. Hoje, criminosos atacam pelo WhatsApp, Telegram e videochamadas.

Por que esses canais? São pessoais.

As pessoas baixam a guarda. Não esperam um ataque do “chefe” mandando áudio às 22h.

Um caso real mostra a gravidade. A LastPass identificou uma tentativa de ataque contra um funcionário. 

O criminoso usou deepfake de voz do CEO e enviou mensagens pelo WhatsApp pedindo ações urgentes (Adaptive Security, 2024).

O funcionário desconfiou porque o WhatsApp não era o canal oficial da empresa. Infelizmente nem todo colaborador teria essa percepção.

Engenharia social turbinada por IA

Engenharia social é a arte de manipular pessoas para obter informações confidenciais. Com IA, essa manipulação ficou quase perfeita.

Portanto, criminosos aprenderam a coletar dados de redes sociais, vazamentos e fontes públicas. Depois, criam mensagens personalizadas que parecem legítimas.

Consequentemente, as plataformas de Phishing-as-a-Service facilitam ainda mais. Ferramentas como Tycoon 2FA permitem que qualquer pessoa lance ataques sofisticados.

Não é mais necessário conhecimento técnico (Cisco Talos, 2025).

O pior? Esses ataques conseguem burlar o MFA (autenticação multifator). 

Diante disso, o criminoso intercepta a sessão e rouba os cookies de autenticação. Mesmo com senha forte e token, a conta é comprometida.

Seus dados já estão na dark web

Antes de um ataque de engenharia social, criminosos pesquisam suas informações. E provavelmente seus dados já estão disponíveis na dark web.

O site Have I Been Pwned registra mais de 12 bilhões de credenciais vazadas (Troy Hunt, 2025).

Só em 2024, vazamentos massivos expuseram dados de empresas como Hot Topic (57 milhões de registros) e Internet Archive (31 milhões).

Um estudo de 2024 identificou 27 bilhões de credenciais vazadas sendo usadas ativamente em ataques de força bruta (Darknet.org.uk, 2025).

A pergunta não é “se” seus dados vazaram. É “quantos vazamentos” já expuseram sua empresa.

O impacto na LGPD e nos seus negócios

Vazamentos de dados geram consequências graves para empresas brasileiras. A LGPD prevê multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração (ANPD, 2023).

Mas o dano vai além da multa. Inclui:

• Perda de confiança de clientes
• Danos à reputação da marca
• Custos com resposta a incidentes
• Processos judiciais de titulares de dados

Um projeto de lei em tramitação propõe aumentar a multa máxima para 4% do faturamento e R$ 100 milhões por violação (Senado Federal, 2024).

Como o pentest de engenharia social protege sua empresa

O pentest de engenharia social da RESH simula ataques reais contra sua equipe. 

Testamos vulnerabilidades em canais que você não esperaria: WhatsApp, Telegram, ligações telefônicas e até interações presenciais.

O objetivo é identificar falhas antes que criminosos as explorem.

Nosso teste avalia:

• Reação dos colaboradores a mensagens de phishing
• Capacidade de identificar deepfakes e vozes clonadas
• Eficácia dos processos de verificação de identidade
• Vulnerabilidades em políticas de acesso

Após o teste, entregamos um relatório detalhado com recomendações práticas.

OSINT e monitoramento da dark web

A RESH também oferece serviços de inteligência de ameaças (Threat Intelligence).

Usamos técnicas de OSINT para monitorar a dark web em busca de dados da sua empresa.

Identificamos:

• Credenciais vazadas de colaboradores
• Menções à sua marca em fóruns criminosos
• Dados corporativos à venda
• Tentativas de fraude em planejamento

O monitoramento contínuo permite ação preventiva. Você corrige vulnerabilidades antes que elas sejam exploradas.

Proteja sua identidade digital agora

A combinação de deepfake, engenharia social e vazamentos de dados criou um cenário de ameaças sem precedentes. Empresas que ignoram esses riscos se tornam alvos fáceis.

A RESH pode ajudar. Entre em contato para uma avaliação gratuita da exposição da sua empresa.

Não espere ser a próxima vítima.

Fontes

1. Security.org. (2024). 2024 Deepfakes Guide and Statistics. Disponível em: https://www.security.org/resources/deepfake-statistics/
   
2. Keepnet Labs. (2025). Deepfake Statistics & Trends 2025. Disponível em: https://keepnetlabs.com/blog/deepfake-statistics-and-trends
   
3. Regula Forensics. (2025). Survey on the Impact of Deepfakes on ID Verification. Disponível em: https://regulaforensics.com/blog/impact-of-deepfakes-on-idv-regula-survey/
   
4. Adaptive Security. (2024). LastPass Employee Foils AI Voice Phishing Deepfake Attack. Disponível em: https://www.adaptivesecurity.com/blog/lastpass-ai-voice-phishing-attack-karim-toubba
   
5. Cisco Talos. (2025). State-of-the-art phishing: MFA bypass. Disponível em: https://blog.talosintelligence.com/state-of-the-art-phishing-mfa-bypass/
   
6. Troy Hunt. (2025). 2 Billion Email Addresses Were Exposed. Have I Been Pwned. Disponível em: https://www.troyhunt.com/2-billion-email-addresses-were-exposed-and-we-indexed-them-all-in-have-i-been-pwned/
   
7. Darknet.org.uk. (2025). Leveraging OSINT from the Dark Web. Disponível em: https://www.darknet.org.uk/2025/07/leveraging-osint-from-the-dark-web-a-practical-how-to/
   
8. ANPD. (2023). ANPD aplica a primeira multa por descumprimento à LGPD. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd
   
9. Senado Federal – Mecias de Jesus. (2024). Projeto de Lei propõe aumento de multas por vazamento de dados pessoais. Disponível em: https://meciasdejesus.com.br/2024/04/projeto-de-lei-propoe-aumento-de-multas-por-vazamento-de-dados-pessoais/
   

Perguntas frequentes

1. O que a RESH oferece de diferente?

A RESH oferece uma nova forma de cuidado e proteção de cibersegurança, integrando tecnologia, comportamento humano e melhores práticas do mercado.

Ajudando a garantir a proteção dos dados dos clientes e realizando testes de invasão para descobrir falhas antes que sejam exploradas por hackers. Garantimos tratamentos personalizados e coordenação total do cuidado.

2. Quais são as especialidades da RESH?

Realizamos Pentest, PTES, red team de invasão em período integral, análise de segurança cibernética, auditoria de conformidade da LGPD.

3. Como faço para agendar uma consulta?

Você pode agendar sua consulta através do formulário disponível no site resh.com.br.

4. O que é deepfake e como ele é usado em ataques?

Deepfake é uma tecnologia de inteligência artificial que cria vídeos, áudios e imagens falsas extremamente realistas.

Criminosos usam deepfakes para se passar por executivos, clientes ou fornecedores em golpes de engenharia social, solicitando transferências financeiras ou acesso a sistemas.

5. Como saber se meus dados foram vazados na dark web?

Ferramentas como Have I Been Pwned permitem verificar se seu e-mail aparece em vazamentos conhecidos. Porém, para monitoramento profissional e contínuo.

A RESH oferece serviços de OSINT e Threat Intelligence que rastreiam dados corporativos na dark web e alertam sobre exposições antes que sejam exploradas.

6. O que é pentest de engenharia social?

É um teste controlado que simula ataques de engenharia social contra sua equipe. Inclui phishing por e-mail, mensagens em WhatsApp e Telegram, ligações telefônicas e até interações presenciais.

O objetivo é identificar vulnerabilidades humanas antes que criminosos reais as explorem.

7. O MFA protege contra ataques de deepfake?

O MFA tradicional oferece proteção limitada.

usam técnicas como adversary-in-the-middle para interceptar sessões e roubar cookies de autenticação, burlando o MFA.

Recomenda-se usar autenticação resistente a phishing como FIDO2/WebAuthn, além de treinamento constante da equipe.

8. Quais são as multas da LGPD por vazamento de dados?

A LGPD prevê multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

Além disso, a empresa pode sofrer advertências, publicização da infração, bloqueio de dados e proibição de atividades de tratamento.

Um projeto de lei propõe aumentar a multa máxima para 4% e R$ 100 milhões.