Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
segmentação

Fui vítima de deepfake em 15 minutos. Eis como funciona a engenharia social impulsionada por inteligência artificial.

Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
14 de maio de 2026
23 minutos. ler

Eu trabalho na área de segurança cibernética. Eu ganho a vida falando sobre engenharia social, ataques assistidos por IA e ameaças baseadas em identidade. Conheço as estratégias dos atacantes.  

Então, quando Rachel Tobac, tricampeã da Competição de Engenharia Social da DEFCON e CEO da Social Proof Security, se ofereceu para demonstrar um ataque ao vivo contra mim durante nosso webinar recente, imaginei que sabia mais ou menos o que estava por vir.

Eu estava muito enganado.

Em quinze minutos, Rachel construiu um dossiê de ataque completo, um pretexto de spear-phishing tão pessoal que me fez rir, uma versão clonada da minha voz e um vídeo deepfake do meu rosto pedindo minha senha a um colega. Ela usou apenas ferramentas de IA prontas para uso, que coletavam dados disponíveis publicamente.

Esse é o cenário de ameaças em 2026. Isso significa que a pergunta que toda equipe de segurança deve fazer não é mais como impedir que todos os invasores entrem, mas sim como garantir que, quando alguém clicar, o dano seja contido.

Quinze minutos foi tudo o que bastou para criar um pretexto para o ataque.

Rachel começou pelo básico: encontrar meus dados de contato.  

Utilizando sites de corretagem de dados como o Rocket Reach e o ContactOut, ela obteve meus endereços de e-mail e números de telefone em segundos. Ela então confirmou que eles estavam ativos, abusando dos fluxos de redefinição de senha no Facebook, eBay e Twitter.  

Essa foi uma metodologia de ataque padrão, sem necessidade de invasão. Só essa parte levou alguns minutos para ela.

A partir daí, ela inseriu esses dados de contato em um repositório de dados de violação de segurança chamado Dehashed. Ela me encontrou em oito violações de dados diferentes e obteve informações de relacionamentos, incluindo:

  • Três números de telefone
  • Três endereços físicos
  • Dois endereços de e-mail
  • Um nome de usuário
  • Minha data de nascimento
  • Uma senha em texto simples  

Tecnicamente, ter essa informação na internet não foi culpa minha. Violações de dados acontecem com organizações em que eu confiava meus dados. Mas o agressor não se importa de quem é a culpa.

Em seguida, vinha o pretexto, que era o cenário que ela usava para me fazer clicar, retornar a ligação ou fornecer uma credencial.  

Ela descobriu nas minhas redes sociais públicas que sou um ávido fã de críquete e um ouvinte assíduo de um podcast de comédia chamado The Grade Cricketer. Ela criou um e-mail se passando por dois dos apresentadores, Sam Perry e Ian Higgins, me convidando para participar de um breve segmento de entrevista com ouvintes.  

O link naquele e-mail era malicioso.

E aqui está a parte constrangedora. Eu já enviei e-mails para Sam e Ian antes, pedindo que eles discutissem um tópico no programa. Sou um verdadeiro superfã.  

Quando Rachel revelou o pretexto na tela, minha reação sincera foi que eu teria clicado imediatamente — não por descuido, mas por empolgação. Todo o meu treinamento profissional em segurança teria evaporado no momento em que eu pensasse que meu podcast favorito finalmente tinha respondido.

“As pessoas não percebem que existem pequenas preciosidades na internet que me permitem criar um pretexto crível e gratificante”, disse Rachel.

O podcast sobre críquete foi a minha grande descoberta.  

Rachel demonstrou que a engenharia social eficaz funciona ao encontrar aquilo que nos torna humanos, seja uma paixão, um relacionamento ou um momento de entusiasmo, e ao explorá-lo com precisão.  

Quanto mais você compartilha publicamente, mais material bruto você entrega a um atacante.

Então eu fui enganado por deepfake.

Em seguida, veio o clone de voz.  

Rachel encontrou um episódio de um podcast em que participei há cinco meses. Utilizando aproximadamente um minuto desse áudio, ela clonou minha voz com uma ferramenta de IA.  

Era a minha voz, pedindo a um colega que lesse minha senha em voz alta porque meu gerenciador de senhas havia parado de funcionar bem antes de uma reunião do conselho.

Em seguida, ela sobrepôs isso a um vídeo deepfake em tempo real do meu rosto. O pacote completo incluía o que parecia ser uma chamada do Zoom, meu rosto na tela, minha voz na linha e um cenário plausível de alta pressão.  

Eu mesma li a frase para que o público pudesse comparar. A versão deepfake ficou mais fluida do que a minha apresentação real.  

Rachel presumiu que alguém no trabalho, especialmente alguém que me vê apenas ocasionalmente em reuniões, teria muito mais probabilidade de concordar do que alguém que me ouve todos os dias e conhece meu ritmo exato.

O que mais me impressionou foi a cronologia. A clonagem da voz levou apenas alguns minutos. O deepfake foi gerado em tempo real.  

Há três anos, Rachel nos contou que a elaboração de um dossiê OSINT lhe tomava quase cem horas. Hoje, a IA reduz esse tempo para vinte ou trinta minutos.  

A mesma compressão ocorre em toda a cadeia de ataque. O fluxo de trabalho do atacante foi industrializado.

“A IA altera a escalabilidade e a credibilidade do ataque”, disse ela. "Isso permite que você use o rosto de outra pessoa, use a voz de outra pessoa e se torne uma pessoa diferente de forma muito mais convincente."

A ascensão da engenharia social impulsionada por IA

O momento do podcast de críquete foi constrangedor, mas também mostra como a IA mudou fundamentalmente o conjunto de ferramentas dos atacantes.

Há três anos, Rachel nos contou que construir o tipo de dossiê que ela montou sobre mim em quinze minutos levou quase cem horas. Hoje, a IA comprime isso em todas as etapas da cadeia de ataque.

O fluxo de trabalho do atacante foi industrializado e o nível de habilidade necessário para a sua implementação caiu drasticamente. Um atacante com recursos moderados agora pode executar o tipo de ataque direcionado e personalizado que antes exigia grande conhecimento especializado.

O que torna isso especialmente perigoso é que as táticas não mudaram, mas a IA melhorou significativamente a velocidade, a escala e a credibilidade.  

Segundo Rachel, a IA tornou os ataques existentes praticamente impossíveis de detectar. E nenhum treinamento prepara alguém para um ataque que lhe parece tão pessoal.

Como a cadeia de ataque se parece de ponta a ponta.

Nosso terceiro palestrante foi Andrew Lemon, CEO da Red Threat, que completa o panorama do lado do atacante como hacker de equipe vermelha.  

Depois que Rachel obtém acesso à rede, o trabalho de Andrew é mostrar até onde os invasores podem se espalhar.

Os padrões que ele observa com mais frequência incluem:

  • Redes planas que permitem movimento lateralirrestrito
  • Contas de serviço com privilégios excessivos que podem ser usadas como fachada para acessar funções de administrador de domínio.
  • Compartilhamentos de arquivos desprotegidos repletos de dadosconfidenciais.
  • Sistemas legados localizados completamente fora do perímetro de monitoramento

Na nuvem, os desenvolvedores implementam ferramentas de IA e produtos mínimos viáveis rapidamente, enquanto a segurança fica para depois. A prova de conceito se transforma em infraestrutura de produção sem nenhum controle implementado.

Como disse Andrew: "Não há nada mais permanente do que uma mudança temporária."

A segmentação é a decisão arquitetônica que, segundo Andrew, mais o frustra como hacker. Suas opções se esgotam rapidamente quando os usuários estão confinados aos seus próprios segmentos de rede, quando a movimentação lateral é bloqueada por políticas internas e quando os ataques de retransmissão não conseguem ultrapassar os limites das VLANs.  

Ele descreveu semanas passadas em segmentos isolados, sem nada para atacar além de switches e impressoras. Esse é o resultado esperado para um exercício de equipe vermelha.

O que aprendi sobre cibersegurança ao ser atacado

Tendo estado do outro lado desse tipo de ataque, mesmo em um ambiente controlado, eis o que mudou na minha forma de pensar.

Sua superfície de ataque pública é maior do que você imagina, assim como a de seus funcionários. Tudo o que você sabe online é matéria-prima para um hacker. Isso significa que precisamos criar protocolos que não dependam da suposição de que os funcionários reconhecerão um ataque sofisticado e personalizado quando ele ocorrer.  

Mais importante ainda, invista naquilo que limita o impacto após o roubo das credenciais. A microsegmentação é o controle mais crítico neste caso. Quando as cargas de trabalho só conseguem se comunicar com os sistemas específicos que precisam alcançar, um invasor com credenciais roubadas encontra um obstáculo quase que imediatamente.

O objetivo é tornar a jornada do atacante, desde a obtenção das credenciais iniciais até as consequências significativas, tão demorada e ruidosa que a contenção entre em ação muito antes que o dano seja causado.  

Como ela mesma disse, quando se depara com um ambiente armado com ferramentas de contenção de violações, como a microsegmentação, sua reação é que esse confronto será doloroso.  

Para um criminoso sem obrigação contratual de continuar tentando, esse atrito costuma ser suficiente.

Assista ao webinar sob demanda, e entre em contato conosco hoje Para aprender como o Illumio pode ajudar você a criar microsegmentações.

Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
14 de maio de 2026
23 minutos. ler
microsegmentação
Entre em contato conosco
Compartilhar

Artigos relacionados

A opinião de um ciberpsicólogo sobre a cultura da culpa da cibersegurança
segmentação

A opinião de um ciberpsicólogo sobre a cultura da culpa da cibersegurança

Saiba como o estresse, as ameaças da IA e o comportamento humano tornam o Zero Trust essencial para a resiliência cibernética.

Leia mais
Resiliência cibernética
Volte às noções básicas de segurança para se preparar para os riscos de IA
Resiliência cibernética

Volte às noções básicas de segurança para se preparar para os riscos de IA

Conheça as opiniões de dois especialistas em segurança cibernética sobre como a IA funciona, onde estão suas vulnerabilidades e como os líderes de segurança podem combater seu impacto.

Leia mais
Resiliência cibernética
O que o Projeto Glasswing significa para as pessoas que gerenciam a segurança cibernética
Resiliência cibernética

O que o Projeto Glasswing significa para as pessoas que gerenciam a segurança cibernética

Entenda como o Projeto Glasswing e a descoberta de vulnerabilidades orientada por IA, impulsionada pela Mythos, estão remodelando a segurança cibernética e por que a contenção de violações com segmentação é agora crucial.

Leia mais
Resiliência cibernética
Principais notícias sobre cibersegurança de novembro de 2024
segmentação

Principais notícias sobre cibersegurança de novembro de 2024

Descubra as principais histórias de cibersegurança de novembro de 2024, incluindo insights de especialistas sobre segurança de infraestrutura crítica, riscos de saúde de terceiros e ataques baseados em identidade.

Leia mais
Nenhum item encontrado.
Simplifique as implantações de SDN e firewall com microssegmentação baseada em host
segmentação

Simplifique as implantações de SDN e firewall com microssegmentação baseada em host

A rede definida por software (SDN) e a segmentação geralmente são discutidas simultaneamente porque ambas priorizam a automação.

Leia mais
Nenhum item encontrado.
Como a Cathay Pacific acelerou o sucesso da segmentação e da conformidade com a Illumio
segmentação

Como a Cathay Pacific acelerou o sucesso da segmentação e da conformidade com a Illumio

Assista a este vídeo com Kerry Peirse sobre como a Cathay Pacific implementou a microssegmentação em menos de 3 meses. Pare o movimento lateral, atenda às demandas de conformidade.

Leia mais
Conformidade
Clientes

Experimente o Illumio Insights hoje mesmo

Veja como a observabilidade com IA ajuda você a detectar, entender e conter ameaças mais rapidamente.