Cibercriminosos não estão apenas interessados em explorar vulnerabilidades em corporações por phishing ou ransomware – agora, o foco é realizar atacar internos. Empresas estão registrando cada vez mais agentes maliciosos se passando por funcionários legítimos. A lógica é simples: usar o onboarding, processo que introduz o colaborador recém-contratado, para obter acesso legítimo a sistemas críticos.

Relatos recentes mostram como “novos funcionários” entram com currículos impecáveis, referências convincentes e entrevistas bem-sucedidas — só que tudo é falso. Em pouco tempo, já participam de reuniões, acessam repositórios de código e lidam com dados internos. Quando a fraude é descoberta, o invasor já levou o que precisava.

IA Generativa possibilita currículos e perfis falsos em redes sociais

Esse novo tipo de ataque só é possível porque a inteligência artificial generativa deu às quadrilhas ferramentas para criar identidades inteiras do zero. Com IA é possível gerar currículos realistas com histórico de trabalho verossímil, criar perfis em redes sociais com fotos e conexões falsas, e produzir vídeos deepfake para entrevistas por vídeo – com vozes e rostos artificiais. 

Um levantamento da Gartner aponta que, até 2028, um em cada quatro candidatos será falso devido ao aumento de perfis criados por IA generativa.

Segundo a CNBC, Vijay Balasubramaniyan, CEO da startup Pindrop Security, afirmou que a própria empresa fez um processo seletivo com um candidato que usava um deepfake. Esse movimento lembra uma peça de teatro digital: o “candidato” não é uma pessoa real, mas uma combinação de ferramentas avançadas projetadas para enganar recrutadores.

O problema não se limita a indivíduos isolados: há operações coordenadas por Estados e grupos criminosos. Relatórios de inteligência dos EUA apontaram mais de 320 casos de agentes norte-coreanos se infiltrando como trabalhadores de TI falsos em empresas internacionais — um aumento de 220% em um ano.

Esses agentes usaram desde deepfakes até chamadas falsas para entrevistas, passando por “fazendas de laptops” nos EUA, projetadas para simular conexões locais e disfarçar a origem dos acessos. Muitas vezes, os alvos são empresas da Fortune 500, onde os ganhos de espionagem ou roubo de propriedade intelectual podem ser massivos.

A principal preocupação nesse tipo de golpe são as próprias empresas e suas políticas internas de proteção de dados e permissões de usuários. Tradicionalmente as empresas, até mesmo gigantes de tecnologia, tratam funcionários com total confiança – eles têm acesso total a e-mails, ferramentas e repositórios críticos de código. 

Como proteger sua empresa?

Especialistas defendem a aplicação do conceito de Zero Standing Privileges (ZSP), baseado em princípios de Zero Trust:

• Acesso mínimo por padrão: novos funcionários só devem ter acesso ao que realmente precisam para começar.
• Just-In-Time (JIT) e Just-Enough-Privilege (JEP): permissões extras só são dadas quando necessárias e por tempo limitado.
• Auditoria constante: cada concessão de privilégio deve ser rastreada e registrada.
• Revogação automática: ao final de cada tarefa ou período, acessos expiram sem necessidade de intervenção manual.

Quer saber mais sobre ataques como esse? Siga o TecMundo nas redes sociais e no YouTube. Para receber notícias de tecnologia e segurança, assine nossa newsletter.