BLOG

Como o deepfake simula um diretor para autorizar a exfiltração e vazamento de dados

POR:

Haline Farias

Imagem de uma pessoa fazendo cadastro do seu rosto para se passar por um diretor de uma empresa e aplicar um golpe de deepfake

A tecnologia deepfake transformou a engenharia social em uma ameaça sem precedentes para o C-Level corporativo e uma ameaça séria que faz vazamento de dados sistêmicos. 

Atualmente, criminosos conseguem clonar a voz de um executivo com apenas três segundos de áudio e criar vídeos convincentes que imitam perfeitamente o CFO ou CISO da sua empresa. 

O resultado? Transferências milionárias autorizadas por diretores que nunca estiveram na videochamada.

Em fevereiro de 2024, a empresa de engenharia Arup perdeu US$ 25 milhões em uma única fraude. 

Um funcionário do setor financeiro participou de uma videoconferência com deepfakes do CFO e outros executivos seniores, todos gerados por inteligência artificial. Durante a chamada, o “CFO” autorizou 15 transferências para contas em Hong Kong. 

Além disso, os criminosos haviam baixado vídeos dos executivos previamente e usado IA para adicionar vozes falsas, criando uma simulação perfeita.

A evolução do BEC: de e-mail para deepfake direcionado

O Business Email Compromise (BEC) evoluiu drasticamente. Segundo dados da Deloitte (2024), fraudes baseadas em IA generativa devem crescer de US$ 12 bilhões em 2023 para US$ 40 bilhões até 2027. 

Portanto, o que antes era um ataque por e-mail agora se transformou em simulações multimídia sofisticadas.

De acordo com relatório da Keepnet Labs (2024), deepfakes agora atacam pelo menos 400 empresas por dia através de fraudes que imitam CEOs. 

Com isso, os prejuízos médios por incidente ultrapassam US$ 500 mil, enquanto grandes corporações enfrentam perdas de até US$ 680 mil por ataque. 

No entanto, apenas 20% das empresas possuem protocolos específicos para lidar com deepfakes.

A técnica não é nova, mas tornou-se assustadoramente acessível. Em 2019, uma empresa de energia do Reino Unido perdeu €220 mil através de um deepfake de voz do CEO. 

Atualmente, ferramentas públicas permitem criar clones de voz com precisão de 85% usando apenas três segundos de áudio extraído de webinars, podcasts ou vídeos corporativos no YouTube.

Por que o C-Level virou alvo prioritário

Executivos do alto escalão representam o ponto mais vulnerável da arquitetura de segurança corporativa. Além disso, eles possuem três características que os tornam alvos perfeitos:

  • Autoridade para aprovar transações financeiras de grande valor sem questionamento extensivo
  • Presença digital abundante em palestras, entrevistas e eventos corporativos que fornecem material para deepfakes
  • Tendência a usar comunicação direta e urgente, padrão facilmente replicável por atacantes

Segundo o Institute for Financial Integrity (2024), 25,9% dos executivos relataram que suas organizações sofreram pelo menos um incidente de deepfake direcionado a dados financeiros e contábeis no último ano. 

Contudo, 31% dos executivos acreditam que deepfakes não aumentam o risco de fraude em suas empresas.

O vazamento de dados corporativos através dessas fraudes gera consequências devastadoras. Portanto, empresas que operam no Brasil enfrentam penalidades severas sob a LGPD. 

De acordo com a Autoridade Nacional de Proteção de Dados (2024), multas podem chegar a 2% do faturamento anual no Brasil, limitadas a R$ 50 milhões por infração. 

Diante disso, a exfiltração de dados autorizada por um deepfake pode resultar tanto em perdas financeiras diretas quanto em sanções regulatórias.

Como funciona um ataque de deepfake ao C-Level

Os atacantes seguem uma metodologia precisa em três fases:

Fase 1: Reconhecimento e coleta de material
Criminosos vasculham LinkedIn, YouTube, podcasts corporativos e conferências públicas para coletar áudio e vídeo de executivos. 

Além disso, analisam padrões de comunicação através de e-mails vazados ou posts em redes sociais corporativas.

Fase 2: Criação do deepfake
Usando ferramentas de IA generativa, os atacantes processam o material coletado. 

Segundo a Trend Micro (2024), embora deepfakes de vídeo em tempo real ainda exijam processamento intensivo, os criminosos pré-gravam clips curtos de 10 a 30 segundos que são reproduzidos durante chamadas. 

Com isso, mantêm a ilusão de interação ao vivo.

Fase 3: Execução da fraude
O ataque combina múltiplos vetores: e-mail de preparação, chamada de vídeo com o deepfake e pressão psicológica baseada em urgência. 

De acordo com dados da Security.org (2024), 80% das empresas não possuem protocolos para lidar especificamente com deepfakes, tornando a taxa de sucesso alarmantemente alta.

LGPD e a responsabilidade sobre dados exfiltrados

A legislação brasileira não faz distinção entre vazamento de dados causado por vulnerabilidade técnica ou por engenharia social. 

Portanto, empresas permanecem totalmente responsáveis pela proteção de dados pessoais, mesmo quando a exfiltração ocorre através de deepfakes.

Segundo a Baker McKenzie (2024), a ANPD pode aplicar sanções que incluem bloqueio de dados, suspensão de atividades de processamento por até seis meses (renováveis) e publicação da violação. 

Além disso, indivíduos afetados possuem direito de ação privada para buscar reparação civil por danos materiais e morais.

Com isso, o custo real de um ataque deepfake vai muito além da transferência fraudulenta inicial.

A empresa enfrenta custos de notificação obrigatória, investigação forense, implementação de controles de segurança, possível suspensão de operações e danos reputacionais irreversíveis.

Pentest de engenharia social: a única defesa eficaz

Controles técnicos tradicionais falham contra deepfakes porque o ataque explora confiança humana, não vulnerabilidades de sistema. 

Portanto, apenas o teste de phishing e simulações avançadas de engenharia social conseguem identificar e mitigar essas vulnerabilidades.

Um pentest de engenharia social direcionado ao C-Level inclui:

  • Simulações de deepfake com chamadas de vídeo e áudio clonados de executivos reais
  • Testes de reconhecimento para avaliar quanto material sobre o C-Level está publicamente disponível
  • Campanhas de phishing direcionadas que imitam comunicações executivas
  • Avaliação de protocolos de verificação para solicitações financeiras urgentes

De acordo com TCM Security (2024), organizações que implementam pentests regulares de engenharia social reduzem em 73% os cliques prejudiciais em três anos. 

Além disso, funcionários treinados através de simulações realistas aumentam em 70% a taxa de reporte de tentativas de ataque.

Proteção imediata: o que implementar agora

Diante da escalada de ataques deepfake, empresas precisam agir com urgência:

Implementar verificação em múltiplas camadas
Solicitações financeiras acima de determinado valor devem exigir confirmação através de dois canais diferentes. 

Por exemplo, se a solicitação vem por videochamada, exigir confirmação adicional via sistema interno ou código de autenticação previamente estabelecido.

Reduzir exposição digital do C-Level
Limitar gravações públicas de executivos em alta definição e orientar sobre o compartilhamento de conteúdo de áudio e vídeo. 

Contudo, isso deve ser balanceado com necessidades de comunicação corporativa.

Estabelecer código de verificação verbal
Criar frases ou códigos que executivos usam em situações de alta urgência. 

Atualmente, essa prática simples impede deepfakes pré-gravados, já que atacantes não podem prever códigos estabelecidos internamente.

Treinar equipes financeiras especificamente
 Segundo o FS-ISAC (2024), departamentos financeiros devem receber treinamento especializado sobre deepfakes, incluindo detecção de inconsistências em chamadas de vídeo e procedimentos de escalação quando solicitações parecem suspeitas.

Simulação de ataque: provando a vulnerabilidade antes do criminoso

A RESH oferece simulações de ataque deepfake direcionadas especificamente ao C-Level. O serviço prova, de forma controlada, como um atacante conseguiria:

  • Clonar a voz e aparência de executivos usando material publicamente disponível
  • Enganar equipes financeiras através de chamadas de vídeo falsificadas
  • Explorar protocolos de aprovação para autorizar transferências ou exfiltração de dados
  • Contornar controles de segurança existentes através de manipulação psicológica

Assim sendo, empresas obtêm evidência concreta da vulnerabilidade de sua comunicação executiva antes que criminosos explorem essa brecha. 

O relatório detalhado identifica gaps específicos em protocolos de verificação, exposição digital do C-Level e suscetibilidade de equipes críticas.

Conclusão: o deepfake não é ficção científica

A fraude de US$ 25 milhões da Arup provou que deepfakes corporativos são uma realidade presente, não uma ameaça futura. 

Além disso, com incidentes aumentando 3.000% em 2023 e ferramentas se tornando cada vez mais acessíveis, todas as empresas estão em risco.

Portanto, a questão não é se sua empresa será atacada, mas quando. Controles técnicos sozinhos não protegem contra deepfakes. 

Somente através de pentest especializado em engenharia social é possível identificar vulnerabilidades na comunicação executiva e implementar defesas eficazes antes do ataque real.

A proteção de dados sob a LGPD exige que empresas adotem medidas proativas de segurança. 

Diante disso, simular o ataque antes do criminoso não é apenas uma best practice – é uma obrigação regulatória e uma necessidade de sobrevivência corporativa.

Fontes e referências

TCM Security – Social Engineering And External Pentests – https://tcm-sec.com/social-engineering-and-external-pentests/ – 2024

Quero proteger minha empresa

Categorias

RESH

Julio Costa

Compartilhe:

Artigos Relacionados

Como o deepfake simula um diretor para autorizar a exfiltração e vazamento de dados
Bypass de MFA em 3 minutos: por que seu código SMS é a rota de vazamento mais rápida
Have I Been Pwned? OSINT para descobrir vazamento de dados
Como o deepfake simula um diretor para autorizar a exfiltração e vazamento de dados
Bypass de MFA em 3 minutos: por que seu código SMS é a rota de vazamento mais rápida
Have I Been Pwned? OSINT para descobrir vazamento de dados