A fraude financeira através da engenharia social atingiu um novo patamar de sofisticação, com golpes altamente direcionados a setores críticos das empresas. Contas a Pagar (AP) e Processos de Pagamento estão entre os principais alvos devido ao seu acesso direto a fundos corporativos. Segundo dados do FBI, as organizações chegam a perder em média US$ 1,5 milhão por incidente relacionado a fraudes desse tipo.
O problema se agrava pela dependência de ferramentas de segurança fragmentadas e de controles financeiros isolados, que muitas vezes falham em fornecer uma visão contextual ampla para detectar e prevenir ataques avançados. Os criminosos, por sua vez, evoluíram suas táticas, explorando lacunas de segurança e explorando vulnerabilidades humanas por meio da inteligência artificial (IA).
Engenharia social: a maior ameaça cibernética da atualidade
A engenharia social tornou-se a tática predominante nos ataques cibernéticos modernos. Em 2024, cerca de 90% das ofensivas digitais envolveram táticas desse tipo, segundo pesquisas do setor. A IA tem potencializado essas ameaças ao permitir que criminosos escalem suas operações com golpes cada vez mais personalizados e convincentes.
Estima-se que as perdas com fraudes possam chegar a US$ 40 bilhões até 2027, frente aos US$ 12,3 bilhões registrados em 2023, conforme relatório da Deloitte. Esse crescimento exponencial reflete a capacidade das ferramentas de IA de coletar e analisar vastas quantidades de dados sobre as vítimas, permitindo ataques cada vez mais precisos.
O ciclo de vida da fraude: como a engenharia social opera
Para enfrentar esse desafio, é fundamental compreender o ciclo de vida da fraude e as principais táticas utilizadas pelos criminosos:
Deepfakes e a personificação de executivos
Fraudadores têm utilizado deepfakes para criar e-mails, vídeos e áudios que simulam com perfeição a identidade de executivos sêniores. A estratégia visa induzir funcionários a autorizar pagamentos fraudulentos sob pressão, convencidos de que estão lidando com uma ordem direta da liderança. O FBI relatou que golpes de Business Email Compromise (BEC) resultaram em perdas de US$ 2,95 bilhões apenas em 2023.
Phishing gerado por IA
A IA é amplamente utilizada para aprimorar campanhas de phishing. Criminosos conseguem criar mensagens altamente personalizadas, imitando o estilo de escrita das vítimas e explorando informações públicas ou vazadas. Esses ataques massivos e automatizados são extremamente eficazes na obtenção de credenciais de acesso e dados financeiros sigilosos.
Faturas falsas e alteração de pagamentos
Golpistas se passam por fornecedores reais para inserir faturas falsas ou modificar dados de pagamentos em sistemas corporativos. Pequenas alterações, como mudanças nos números de contas bancárias, muitas vezes passam despercebidas em meio à alta demanda de processamentos diários, resultando em desvios milionários.
Apropriação de contas e manipulação de sistemas
Usando credenciais roubadas, criminosos obtêm acesso direto aos sistemas de pagamento das empresas. Uma vez lá dentro, alteram instruções de transferência ou manipulam regras de automatização financeira para redirecionar recursos sem levantar suspeitas imediatas.
Como combater a engenharia social: estratégia de defesa
As organizações precisam ir além da segurança de e-mails e adotar uma abordagem holística para mitigar ameaças de engenharia social. Algumas ações fundamentais incluem:
1. Integração de dados para uma visão contextual ampla
A segurança deve ir além de sistemas isolados e integrar dados de e-mails, transações financeiras e interações com fornecedores. O cruzamento dessas informações possibilita a detecção de padrões anômalos e pode evitar fraudes antes que ocorram.
2. Monitoramento ativo de funções de alto risco
Setores financeiros e de suprimentos são alvos preferenciais dos criminosos. Implementar sistemas que monitorem continuamente essas áreas, com alertas para atividades suspeitas, pode reduzir riscos significativamente.
3. Uso de IA para detecção e prevenção
Da mesma forma que os fraudadores utilizam IA, as empresas também devem investir nessa tecnologia para identificar ameaças em tempo real. Ferramentas de machine learning podem analisar comportamento de usuários, detectar deepfakes e reconhecer anomalias que indicam fraude.
Conclusão
A engenharia social não é um desafio novo, mas sua evolução impulsionada por IA exige uma resposta igualmente sofisticada. Empresas que tratam a segurança como um aspecto isolado do e-mail estão vulneráveis a fraudes cada vez mais avançadas. A solução está em estratégias integradas, monitoramento contínuo e investimento em IA para detecção proativa. A segurança da informação é, acima de tudo, um fator humano – e sua proteção deve começar pelas pessoas.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
