A investigação da Polícia Federal sobre o banqueiro Daniel Vorcaro colocou um termo técnico no centro do noticiário: spear phishing.

A PF afirma ter encontrado indícios de que pessoas ligadas ao empresário enviaram mensagens que imitavam comunicações internas do Ministério Público Federal para induzir servidores a digitar usuário e senha em páginas falsas. Em nota, a defesa de Vorcaro negou as acusações.

O caso ilustra um tipo de golpe que hoje está entre os mais usados contra governos e grandes empresas.

“Quando a gente fala de phishing, muita gente pensa naquele e-mail genérico disparado em massa, dizendo ‘sua conta foi bloqueada, clique aqui’”, afirma João Brasio, diretor-executivo e fundador da Elytron Cybersecurity.

Nesse cenário, o criminoso manda milhares de mensagens e conta que uma pequena fração das vítimas clique no link.

O spear phishing segue a mesma lógica básica, mas com outra escala. Em vez de um disparo em massa, o ataque é construído sob medida. O golpista replica o visual de um sistema interno da empresa ou de um órgão público.

“Por isso ele é tão perigoso: não parece um golpe. Ele parece uma comunicação legítima dentro do fluxo normal de trabalho da pessoa”, diz Brasio.

A mensagem imita o jeito de falar da área de tecnologia ou de um chefe e leva a vítima a uma página que copia o portal de login verdadeiro.

“Um único login roubado pode abrir acesso a informações extremamente sensíveis daquele órgão ou organização”, afirma o especialista.

Para o criminoso, a relação custo-benefício é favorável: um ataque direcionado pode sair muito mais barato do que comprar ou explorar uma falha técnica sofisticada em um grande sistema.

Golpe direcionado

Antes de clicar em “enviar”, há uma etapa de preparação. Os golpistas buscam entender quem é a vítima, qual o cargo, com quem trabalha e que ferramentas usa no dia a dia.

“Grande parte dessas informações vem de fontes abertas: LinkedIn, redes sociais, notícias, organogramas públicos, ou até documentos que tenham vazado em ataques anteriores.”

Com essas peças, o grupo monta mensagens verossímeis. Pode ser um e-mail que parece vir do setor de TI pedindo atualização urgente de senha ou um aviso de mudança de política interna.

Quando a vítima clica no link, chega a uma página que reproduz o layout do sistema oficial. “Na prática, a pessoa digita o usuário e a senha sem perceber que está em um site armadilha e, naquele momento, entrega as credenciais diretamente ao criminoso”, diz Brasio.

Para quem está do outro lado da tela, a diferença entre um acesso legítimo e um golpe bem feito é pequena. Ainda assim, alguns sinais ajudam a desconfiar.

O primeiro é o tom de urgência: mensagens dizendo que o acesso será bloqueado no mesmo dia ou que é preciso agir imediatamente porque a “chefia” está cobrando são comuns.

Outro alerta é o pedido de login e senha por um link fora do fluxo normal da organização. “Se a empresa não costuma mandar e-mails com link direto para página de login e, de repente, aparece uma mensagem assim, isso pode ser um indicativo de armadilha.”

Detalhes técnicos também contam: um domínio de e-mail quase igual ao oficial, mas com uma letra extra, um traço a mais ou um link que leva a um endereço estranho. A recomendação é simples: em vez de clicar no link da mensagem, o usuário deve entrar no sistema pelo caminho de sempre. Se o alerta for legítimo, a solicitação aparecerá dentro do próprio sistema.

A proteção não depende só da atenção individual. “Treinar as pessoas é muito importante, mas a tecnologia também é fundamental”, afirma Brasio.

A primeira camada é a autenticação em dois fatores. Mesmo que a senha seja roubada, o criminoso precisa de um segundo código para concluir o acesso.

A segunda é o monitoramento do comportamento de login: sistemas de segurança conseguem detectar acessos de países incomuns, horários fora do padrão ou descargas atípicas de dados.

A terceira medida é estrutural: aplicar o princípio do menor privilégio. “Cada funcionário deve ter acesso apenas ao que realmente precisa para realizar o seu trabalho. Isso limita muito o estrago caso a conta dele seja comprometida”, diz o especialista.

Ainda é comum encontrar organizações em que muitas pessoas têm acesso a quase todos os sistemas, o que aumenta o impacto de um vazamento de credenciais.

Efeitos da IA

A chegada da inteligência artificial adiciona uma camada nova a esse tipo de golpe. “Hoje já é possível o atacante gerar uma mensagem em português perfeito, copiar o tom do chefe da vítima, criar páginas falsas extremamente realistas e até usar áudio e vídeo para simular alguém conhecido”, afirma Brasio.

Na prática, o spear phishing tende a ficar mais personalizado e mais rápido, porque a IA permite produzir muitos e-mails adaptados a cada alvo de forma automatizada.

Diante desse cenário, a recomendação passa por mudanças técnicas e de comportamento. “Não dá mais para confiar apenas em senha ou apenas em treinamento de equipe. O caminho hoje é combinar verificação de identidade mais forte, monitoramento contínuo dos acessos e uma cultura interna de checagem”, diz o diretor da Elytron.

Em operações sensíveis, pedidos fora do padrão deveriam ser confirmados por outro canal, como uma ligação ou mensagem em aplicativo corporativo.

Para Brasio, essa mudança de postura tem nome na área de segurança: Zero Trust, ou confiança zero. A ideia é não confiar automaticamente em nada, nem mesmo em acessos que parecem legítimos dentro da própria rede da empresa. “No mundo digital de hoje, desconfiar com método virou parte da segurança.”