Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Impersonação de marca e de executivos: spoofing, look-alike e deepfakes

Capítulo 8

Tempo estimado de leitura: 14 minutos

+ Exercício

Impersonação de marca e de executivos é a prática de se passar por uma empresa, produto, serviço ou pessoa de autoridade (como CEO, CFO, diretor jurídico, gerente de compras) para induzir ações que beneficiem o fraudador. Diferente de golpes genéricos, esse tipo de fraude busca “parecer legítimo” em detalhes: domínio, identidade visual, tom de comunicação, assinatura, rotinas internas e até aparência e voz. O objetivo costuma ser obter credenciais, desviar pagamentos, coletar dados sensíveis, instalar malware ou manipular decisões (por exemplo, aprovar um fornecedor, liberar acesso, alterar cadastro bancário).

Conceitos essenciais: spoofing, look-alike e deepfakes

Spoofing (falsificação de identidade técnica)

Spoofing é quando o atacante falsifica um atributo técnico de identificação para que a mensagem ou chamada pareça vir de uma fonte confiável. Pode ocorrer em diferentes camadas:

  • E-mail spoofing: o campo “From” (remetente) é forjado para exibir um endereço ou nome confiável, mesmo que o e-mail não tenha sido enviado daquele domínio. Em muitos casos, o atacante usa servidores próprios e manipula cabeçalhos, explorando configurações fracas de autenticação.

  • Caller ID spoofing: o número exibido na chamada é falsificado para parecer o número oficial de uma empresa, de um ramal interno ou de um executivo.

  • Website spoofing: páginas falsas que imitam portais reais (login, suporte, cobrança, “atualização de cadastro”), frequentemente hospedadas em domínios parecidos ou subdomínios enganosos.

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

O ponto-chave do spoofing é que a “prova” de identidade é manipulada no nível técnico de apresentação. Por isso, a defesa exige controles técnicos (autenticação, validação, monitoramento) e procedimentos de verificação fora do canal.

Look-alike (domínios e identidades parecidas)

Look-alike é a criação de identidades “parecidas o suficiente” para enganar em uma leitura rápida. É muito comum em:

  • Domínios: troca de letras (ex.: “rn” no lugar de “m”), inclusão de hífen, mudança de TLD (ex.: .com para .net), uso de subdomínios que confundem (ex.: “empresa.seguranca-login.com”).

  • Perfis e páginas: contas em redes sociais com logotipo, nome e descrição similares aos oficiais.

  • Documentos: PDFs e formulários com layout idêntico ao de faturas, propostas e comunicados internos.

O look-alike não depende necessariamente de falsificar tecnicamente o remetente; ele explora a semelhança visual e a pressa. Em ambientes corporativos, isso aparece muito em pedidos de “atualização de dados bancários”, “segunda via de boleto”, “reenvio de nota fiscal” e “confirmação de cadastro de fornecedor”.

Deepfakes (mídia sintética: voz, vídeo e imagem)

Deepfakes são conteúdos gerados ou alterados por modelos de IA para simular a aparência, a voz ou a fala de uma pessoa real. Em fraudes de impersonação, deepfakes podem ser usados para:

  • Clonagem de voz: o atacante reproduz o timbre e a cadência de um executivo para dar ordens por áudio, chamada ou mensagem de voz.

  • Vídeo falso: simulação de um executivo em videoconferência pedindo uma ação urgente (transferência, compra de gift cards corporativos, envio de dados).

  • Imagem manipulada: documentos com foto “confirmatória”, selfies falsas para burlar processos de verificação, ou uso de imagem do executivo em comunicados falsos.

Deepfakes aumentam a credibilidade do golpe e reduzem a chance de a vítima “estranhar” o pedido. Porém, ainda deixam rastros: inconsistências de contexto, pressa incomum, canal inadequado, ausência de validação por processos internos e sinais técnicos (metadados, compressão, artefatos).

Como esses ataques se materializam no dia a dia

Impersonação de marca (empresa, banco, fornecedor, marketplace)

O atacante escolhe uma marca com grande base de clientes ou com relacionamento com a organização-alvo (por exemplo, um fornecedor real). Em seguida, cria um ponto de contato falso: domínio look-alike, perfil em rede social, número de telefone com caller ID spoofing, ou página de suporte. A abordagem típica envolve um “motivo plausível”: atualização de cadastro, problema de entrega, pendência fiscal, alteração de política, renovação de contrato, confirmação de pagamento.

Exemplo prático: um time financeiro recebe um e-mail de “cobranca@fornecedor-exemplo.com” pedindo para pagar uma fatura “em atraso”. O domínio parece correto, o PDF tem layout idêntico e o boleto aponta para um beneficiário diferente. Se o processo interno não exigir validação do beneficiário e do banco, o pagamento é desviado.

Impersonação de executivos (CEO/CFO fraud, diretoria, jurídico)

Aqui o foco é autoridade e acesso. O atacante tenta reproduzir o estilo do executivo (assinatura, forma de pedir, horário de contato, termos internos) e escolhe alvos com capacidade de executar: financeiro, tesouraria, compras, TI (reset de senha), RH (dados de funcionários), jurídico (documentos).

Exemplo prático: um colaborador recebe uma mensagem “do diretor” pedindo “envie agora a planilha de folha com CPF e dados bancários para auditoria”. O pedido parece plausível, mas viola o princípio de minimização e o fluxo de aprovação de compartilhamento de dados.

Sinais de alerta específicos (sem depender de “sensação”)

Indicadores de spoofing e look-alike

  • Domínio quase igual: letras trocadas, TLD diferente, hífen, subdomínio enganoso.

  • Reply-To diferente: o remetente exibido parece correto, mas a resposta vai para outro endereço.

  • Links com destino inesperado: texto do link diz uma coisa, mas o URL real aponta para outro domínio.

  • Alteração de dados de pagamento: mudança de banco, agência/conta, beneficiário, chave PIX, ou instruções “pague por outro meio”.

  • Pressão por exceção: “não siga o processo”, “não envolva mais ninguém”, “faça fora do sistema”.

Indicadores de deepfake (voz/vídeo)

  • Contexto incoerente: pedido fora do padrão do executivo (horário, canal, urgência, tipo de solicitação).

  • Qualidade variável: áudio com cortes, ruído estranho, entonação “plana”, pausas artificiais, respiração irregular.

  • Vídeo com sincronização imperfeita: lábios e fala levemente desalinhados, piscadas incomuns, bordas do rosto instáveis, iluminação inconsistente.

  • Resistência a verificação: o interlocutor evita perguntas simples de confirmação (“qual é o código combinado?”, “qual é o número do pedido?”) e insiste em urgência.

Passo a passo prático: como verificar pedidos de marca e de executivos

Os passos abaixo são desenhados para reduzir erro humano sem depender de “ser desconfiado”, e sim de checagens objetivas e repetíveis.

1) Validação rápida do canal (30–60 segundos)

  • Para e-mail: confira o domínio letra por letra; passe o mouse sobre links para ver o destino; verifique se há “Reply-To” diferente; observe se anexos exigem habilitar macros ou “conteúdo ativo”.

  • Para mensagens e redes sociais: verifique se o perfil é oficial (selo, histórico, URL); desconfie de contas recém-criadas ou com poucos seguidores e postagens.

  • Para chamadas: trate o número exibido como “não confiável” por padrão; caller ID pode ser falsificado.

2) Validação do pedido (o que está sendo solicitado)

  • Classifique o pedido: envolve dinheiro, credenciais, dados pessoais, mudança de cadastro, acesso a sistemas, ou quebra de processo? Se sim, ele exige verificação reforçada.

  • Procure “mudanças”: troca de conta bancária, novo beneficiário, novo e-mail de contato, novo fluxo de aprovação, “pagamento por fora”. Mudança é o ponto mais explorado.

3) Verificação fora do canal (out-of-band)

Regra operacional: nunca valide um pedido sensível respondendo no mesmo canal que originou a solicitação. Use um canal independente já conhecido.

  • Se veio por e-mail: ligue para um número do fornecedor/empresa obtido em contrato, site oficial previamente validado, ou cadastro interno (não use o número do e-mail).

  • Se veio por mensagem/voz: retorne a ligação para o número oficial salvo na agenda corporativa ou diretório interno.

  • Se veio por vídeo: peça confirmação por um canal corporativo autenticado (por exemplo, chat interno com SSO) e envolva um segundo aprovador.

4) Confirmação por “desafio” (challenge-response)

Crie um mecanismo simples e aplicável, especialmente para pedidos de executivos. Exemplos:

  • Código combinado: uma palavra-chave rotativa (semanal/mensal) conhecida apenas internamente para autorizações urgentes.

  • Pergunta contextual: “qual é o número do centro de custo?”, “qual é o nome do projeto?”, “qual é o valor exato aprovado na última reunião?”. O objetivo não é “pegar” a pessoa, e sim confirmar que ela tem contexto interno.

  • Dupla confirmação: o solicitante deve confirmar com outro executivo/gestor em canal independente.

5) Aplicação de controles de processo (antes de executar)

  • Pagamentos: exigir validação do beneficiário (nome/CPF/CNPJ), conciliação com cadastro aprovado, e aprovação em dois níveis para mudanças de conta. Se houver alteração de dados bancários, aplicar “período de resfriamento” (ex.: 24–48h) antes do primeiro pagamento.

  • Dados sensíveis: aplicar minimização (enviar apenas o necessário), criptografia, e registro de justificativa. Preferir compartilhamento via repositório corporativo com controle de acesso, não por anexo.

  • Acesso e credenciais: nunca enviar senha por mensagem; usar reset via fluxo oficial; exigir MFA; registrar ticket.

6) Registro e escalonamento

  • Documente: guarde e-mail original, cabeçalhos (quando possível), URLs, números de telefone, horários, e qualquer arquivo recebido.

  • Acione o time responsável: segurança, TI, financeiro, compliance, conforme o tipo de pedido. Quanto mais cedo, maior a chance de bloquear domínios, números e transações.

Passo a passo prático: checagens técnicas para equipes de TI e segurança

1) Autenticação de e-mail (SPF, DKIM e DMARC)

Para reduzir spoofing de e-mail em nome do seu domínio, é essencial configurar e manter:

  • SPF: define quais servidores podem enviar e-mail pelo seu domínio.

  • DKIM: assina criptograficamente mensagens para garantir integridade e autenticidade.

  • DMARC: define política (none/quarantine/reject) e relatórios para monitorar tentativas de falsificação.

Prática recomendada: evoluir DMARC de monitoramento para quarentena e, por fim, rejeição, após corrigir fontes legítimas de envio. Monitorar relatórios DMARC ajuda a identificar serviços que enviam em nome da organização e tentativas de abuso.

2) Proteção contra domínios look-alike

  • Monitoramento de domínios: acompanhar registros novos semelhantes à marca (typosquatting) e solicitar takedown quando aplicável.

  • Registro defensivo: comprar variações comuns do domínio (com hífen, TLDs relevantes) quando fizer sentido para o risco.

  • Bloqueio e alerta: alimentar gateways de e-mail e DNS com listas de domínios suspeitos; criar alertas para mensagens que contenham domínios recém-registrados.

3) Proteções no gateway e no endpoint

  • Inspeção de URL: reescrita e análise de links, sandbox para anexos, bloqueio de tipos de arquivo de alto risco quando possível.

  • Detecção de impersonação: regras que sinalizam nomes exibidos que imitam executivos, domínios parecidos, ou discrepâncias entre “From” e “Return-Path”.

  • Banner de e-mail externo: marcação visual para mensagens fora da organização, reduzindo confusão com comunicações internas.

4) Preparação para deepfakes

Deepfakes exigem mais processo do que “ferramenta mágica”. Medidas práticas:

  • Política de autorização: nenhuma transação sensível deve ser aprovada apenas por áudio/vídeo; exigir confirmação em canal autenticado e registro.

  • Treinamento por cenários: simulações internas com roteiros realistas (pedido urgente do “CEO”, alteração de dados bancários do “fornecedor”) focadas em checagem out-of-band e challenge-response.

  • Telemetria e retenção: manter logs de chamadas corporativas (quando permitido), registros de reuniões e trilhas de auditoria para investigação.

Playbooks de resposta: o que fazer quando a impersonação é detectada

Quando a vítima ainda não executou a ação

  • Interrompa o fluxo: não responda ao atacante; não clique em links; não abra anexos.

  • Reporte com evidências: encaminhe para o canal interno de incidentes com cabeçalhos completos, URLs e anexos (sem executar).

  • Bloqueie: TI/Sec deve bloquear domínio/URL, colocar remetente em quarentena, e criar regra para variações.

  • Alerta interno: comunicar rapidamente áreas afetadas (financeiro, compras, recepção, help desk) com exemplos do padrão observado.

Quando houve execução (pagamento, envio de dados, acesso concedido)

  • Pagamentos: acionar imediatamente o banco para tentativa de bloqueio/estorno; registrar boletim e notificar jurídico/compliance conforme política interna; preservar comprovantes e comunicações.

  • Credenciais: reset de senhas, revogação de sessões, rotação de chaves, revisão de regras de encaminhamento de e-mail, checagem de MFA e dispositivos confiáveis.

  • Dados: avaliar escopo (quais dados, quantas pessoas), acionar DPO/privacidade quando aplicável, e iniciar investigação de exfiltração.

  • Deepfake: preservar gravações/arquivos, registrar hash dos arquivos para integridade, e mapear quem recebeu o conteúdo e quais ações foram tomadas.

Exemplos de procedimentos internos que reduzem risco

Procedimento para alteração de dados bancários de fornecedor

  • Passo 1: solicitação deve vir por canal formal (portal, ticket, e-mail cadastrado) e conter documentação mínima.

  • Passo 2: validação out-of-band com contato já existente no cadastro (não o contato informado na solicitação).

  • Passo 3: aprovação dupla (compras + financeiro) e registro de evidências.

  • Passo 4: período de resfriamento antes do primeiro pagamento para a nova conta.

  • Passo 5: notificação automática ao e-mail/contato antigo informando que houve alteração (para detecção rápida de fraude).

Procedimento para pedidos “do executivo” fora do padrão

  • Passo 1: classificar o pedido (dinheiro/dados/acesso).

  • Passo 2: exigir confirmação em canal autenticado (chat corporativo com SSO, sistema de aprovações, assinatura digital corporativa).

  • Passo 3: aplicar challenge-response (código combinado ou pergunta contextual).

  • Passo 4: registrar em ticket e obter segunda aprovação quando envolver exceção.

Checklist operacional (para uso rápido)

  • O domínio do remetente é exatamente o oficial (sem trocas sutis)?

  • O pedido envolve mudança de dados de pagamento, envio de dados sensíveis ou acesso? Se sim, exige verificação reforçada.

  • Houve tentativa de evitar processos (“não registre”, “não envolva ninguém”)?

  • Foi feita verificação out-of-band usando contato já conhecido?

  • Para voz/vídeo: houve challenge-response e confirmação em canal autenticado?

  • As evidências foram preservadas e reportadas ao time responsável?

Mini laboratório (simulação guiada) para equipes

Cenário A: e-mail de “marca” com boleto

Objetivo: treinar detecção de look-alike e validação de beneficiário.

  • Passo 1: analisar o domínio e o “Reply-To”.

  • Passo 2: conferir se o CNPJ/beneficiário do boleto corresponde ao cadastro aprovado.

  • Passo 3: validar a cobrança por canal independente com o fornecedor real.

  • Passo 4: registrar o caso e solicitar bloqueio do domínio suspeito.

Cenário B: áudio “do CEO” pedindo transferência urgente

Objetivo: treinar resposta a deepfake de voz e quebra de urgência.

  • Passo 1: recusar execução imediata e informar que seguirá o procedimento.

  • Passo 2: solicitar confirmação via canal autenticado e aplicar challenge-response.

  • Passo 3: envolver segundo aprovador e registrar em sistema.

  • Passo 4: se suspeito, preservar o áudio e reportar como incidente.

Cenário C: videoconferência com “diretor” solicitando dados de RH

Objetivo: treinar minimização de dados e validação de identidade.

  • Passo 1: confirmar a solicitação em ticket e checar base legal/necessidade.

  • Passo 2: exigir aprovação do responsável por privacidade/compliance conforme política.

  • Passo 3: fornecer apenas dados mínimos via repositório corporativo com controle de acesso.

  • Passo 4: registrar quem acessou, quando e por qual justificativa.

// Modelo simples de script para verificação out-of-band (uso interno)
// 1) Identifique o pedido e o risco
// 2) Confirme por canal independente
// 3) Aplique challenge-response
// 4) Registre e só então execute

Perguntas de verificação (exemplos):
- Qual é o centro de custo do pedido?
- Qual é o número do contrato/fornecedor?
- Qual é o valor exato aprovado e a data?
- Qual é o código combinado desta semana?

Se qualquer resposta falhar: interromper, reportar e preservar evidências.

Agora responda o exercício sobre o conteúdo:

Ao receber um pedido sensível que parece vir de um executivo (ex.: transferência urgente), qual é a prática mais adequada para reduzir o risco de impersonação?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Verificação fora do canal reduz o risco de spoofing e deepfakes, pois evita validar o pedido no mesmo meio potencialmente comprometido. Combine isso com challenge-response e, quando necessário, dupla aprovação antes de executar ações sensíveis.

Próximo capitúlo

Sinais de alerta em comunicações: inconsistências, pressão e solicitações incomuns

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store