A investigação da Polícia Federal sobre o banqueiro Daniel Vorcaro trouxe à tona o termo técnico spear phishing. A PF encontrou indícios de que pessoas ligadas ao empresário enviaram mensagens que imitavam comunicações internas do Ministério Público Federal para induzir servidores a digitar usuário e senha em páginas falsas.
A defesa de Vorcaro negou as acusações. O caso ilustra um tipo de golpe que está entre os mais utilizados contra governos e grandes empresas. João Brasio, diretor-executivo e fundador da Elytron Cybersecurity, explica que o spear phishing é uma forma mais direcionada do phishing tradicional, que geralmente envolve e-mails genéricos.
“Quando a gente fala de phishing, muita gente pensa naquele e-mail genérico disparado em massa, dizendo ‘sua conta foi bloqueada, clique aqui’”, afirma Brasio. O spear phishing, por sua vez, é construído sob medida, replicando o visual de um sistema interno da empresa ou órgão público.
“Por isso ele é tão perigoso: não parece um golpe. Ele parece uma comunicação legítima dentro do fluxo normal de trabalho da pessoa”, diz Brasio. A mensagem pode imitar o jeito de falar da área de tecnologia ou de um chefe, levando a vítima a uma página que copia o portal de login verdadeiro.
“Um único login roubado pode abrir acesso a informações extremamente sensíveis daquele órgão ou organização”, afirma o especialista. O custo-benefício para o criminoso é favorável, pois um ataque direcionado pode ser mais barato do que explorar uma falha técnica em um grande sistema.
Os golpistas realizam uma preparação antes de enviar as mensagens, buscando entender quem é a vítima, qual o cargo e que ferramentas usa no dia a dia. “Grande parte dessas informações vem de fontes abertas: LinkedIn, redes sociais, notícias, organogramas públicos, ou até documentos que tenham vazado em ataques anteriores”, explica Brasio.
Quando a vítima clica no link, chega a uma página que reproduz o layout do sistema oficial. “Na prática, a pessoa digita o usuário e a senha sem perceber que está em um site armadilha e, naquele momento, entrega as credenciais diretamente ao criminoso”, diz Brasio.
Alguns sinais podem ajudar a desconfiar de um golpe. Mensagens com tom de urgência, como avisos de bloqueio imediato, são comuns. Outro alerta é o pedido de login e senha por um link fora do fluxo normal da organização.
A recomendação é que, em vez de clicar no link da mensagem, o usuário deve acessar o sistema pelo caminho habitual. Se o alerta for legítimo, a solicitação aparecerá dentro do próprio sistema. A proteção não depende apenas da atenção individual. “Treinar as pessoas é muito importante, mas a tecnologia também é fundamental”, afirma Brasio.
A primeira camada de proteção é a autenticação em dois fatores. Mesmo que a senha seja roubada, o criminoso precisa de um segundo código para concluir o acesso. A segunda é o monitoramento do comportamento de login, que pode detectar acessos de países incomuns ou horários fora do padrão.
A terceira medida é estrutural: aplicar o princípio do menor privilégio, limitando o acesso dos funcionários apenas ao que realmente precisam. “Isso limita muito o estrago caso a conta dele seja comprometida”, diz Brasio.
A chegada da inteligência artificial adiciona uma nova camada a esse tipo de golpe. “Hoje já é possível o atacante gerar uma mensagem em português perfeito, copiar o tom do chefe da vítima, criar páginas falsas extremamente realistas e até usar áudio e vídeo para simular alguém conhecido”, afirma Brasio.
O spear phishing tende a ficar mais personalizado e rápido, pois a IA permite produzir muitos e-mails adaptados a cada alvo de forma automatizada. A recomendação é combinar verificação de identidade mais forte, monitoramento contínuo dos acessos e uma cultura interna de checagem.
Em operações sensíveis, pedidos fora do padrão deveriam ser confirmados por outro canal, como uma ligação ou mensagem em aplicativo corporativo. Para Brasio, essa mudança de postura tem nome na área de segurança: Zero Trust, ou confiança zero. A ideia é não confiar automaticamente em nada, nem mesmo em acessos que parecem legítimos dentro da própria rede da empresa.
“No mundo digital de hoje, desconfiar com método virou parte da segurança”, conclui Brasio.