O Mito do "Hacker de Capuz" vs. A Realidade
Esqueça invasões cinematográficas com código verde na tela preta. 91% dos ataques cibernéticos bem-sucedidos começam com um e-mail. Não um e-mail genérico — um e-mail personalizado, escrito com dados reais sobre a vítima.
Anatomia de um Spear Phishing Contra um CEO
- Reconhecimento (OSINT): O atacante pesquisa o CEO no LinkedIn, Instagram, artigos e eventos. Descobre que ele participou de uma conferência na semana passada.
- Construção do Pretexto: Cria um e-mail fingindo ser o organizador da conferência, anexando as "fotos oficiais do evento" em um arquivo ZIP.
- Payload: O ZIP contém um arquivo .lnk (atalho) disfarçado de PDF que executa um PowerShell reverso.
- Comprometimento: O atacante agora tem acesso ao e-mail corporativo do CEO.
- BEC (Business Email Compromise): Do e-mail do CEO, envia instruções ao financeiro para transferir R$ 200k para uma "nova conta do fornecedor".
Sinais de Alerta (Red Flags)
- Urgência artificial: "Preciso disso AGORA", "A reunião é em 30 minutos".
- Mudança de conta bancária: Qualquer solicitação de alteração de dados de pagamento deve ser confirmada por telefone.
- Domínio quase idêntico:
empresa.comvsernpresa.com(m → rn). - Anexos inesperados: Especialmente de contatos que normalmente não enviam arquivos.
Defesas Culturais (Mais Importantes que Tecnologia)
- Verificação em dois canais: Qualquer solicitação financeira requer confirmação por meio diferente.
- Cultura "sem medo de perguntar": O estagiário deve se sentir à vontade para questionar um e-mail do CEO.
- Simulações mensais: Phishing simulado com relatórios de quem clicou.
- DMARC/SPF/DKIM: Políticas de e-mail que impedem spoofing do seu domínio.
A maior vulnerabilidade de qualquer empresa é a confiança humana. Na RET, treinamos times para operar com "paranóia saudável" — verificar tudo, confiar em nada por padrão.
