Quando você recebe um SMS suspeito ou uma ligação pedindo confirmação de dados, costuma pensar no impacto que isso pode ter no seu trabalho? Em um Brasil em que quase um terço da população já foi vítima de golpes virtuais, crimes que antes pareciam distantes agora servem de porta de entrada para invasões corporativas. A credencial de um colaborador, como a senha, token ou passkey, tornou-se o item mais cobiçado pelos criminosos, pois ela liga diretamente a casa do funcionário ao data center da empresa.
Nos últimos meses, o noticiário brasileiro chamou atenção para um cenário alarmante: estudos apontam que entre um quarto e um terço dos brasileiros já sofreu golpes digitais. Esses crimes raramente ficam restritos à vida pessoal, pois quando se somam à cultura de reutilização de senhas e ao acesso remoto ao ambiente de trabalho, transformam a credencial do colaborador em uma nova moeda de negociação no submundo digital.
Ao longo deste artigo, vamos detalhar esses números, mostrar por que a identidade virou o novo perímetro e apontar um plano prático de ações para 2025.
Ouça o resumo do artigo:
A radiografia do golpe virtual no Brasil
O panorama brasileiro é preocupante. Segundo o Instituto DataSenado, 24 % dos brasileiros acima de 16 anos afirmam ter perdido dinheiro em crimes cibernéticos nos últimos 12 meses. Esse percentual representa cerca de 40,85 milhões de pessoas.
Já a pesquisa do Datafolha, divulgada em agosto de 2025, revela que 33,4 % da população, aproximadamente 56 milhões de indivíduos foram vítimas de golpes financeiros virtuais no último ano. O prejuízo econômico é gigantesco: apenas os golpes de pagamento por produto não entregue causaram perdas superiores a R$ 13 bilhões. Esses números refletem um ambiente de ameaças em expansão, em que operações de fraude ocorrem em escala industrial com uso de dados vazados e aluguel de informações.
Esses números refletem um ambiente de ameaças em expansão, em que operações de fraude ocorrem em escala industrial com uso de dados vazados e aluguel de informações:contentReference[oaicite:1]{index=1}.
“O mercado vem se digitalizando, e isso não tem volta. Bancos, varejo e o próprio governo digitalizaram serviços às pressas, muitas vezes sem a devida maturidade em defesa cibernética. Isso criou uma exposição digital muito maior das empresas. Hoje, o Brasil perde com ataques cibernéticos 740 bilhões de reais por ano, o equivalente a 8% do PIB.” — Arthur Gonçalves, CEO da Asper
Um retrato das brechas mais exploradas pelos criminosos revela a centralidade da identidade. O Verizon Data Breach Investigations Report (DBIR) 2024 mostra que 31 % das violações na última década envolveram credenciais roubadas e 68 % tiveram participação de algum elemento humano, como engenharia social ou erro.
O relatório Cost of a Data Breach 2024 da IBM complementa: ataques que utilizaram credenciais comprometidas ocorreram em 16 % dos incidentes estudados, com custo médio de US$ 4,81 milhões, enquanto phishing foi responsável por 15 % dos vetores, com custo médio de US$ 4,88 milhões.
Mais da metade dos incidentes analisados foram causados por falhas de TI (23 %) ou erro humano (22 %), reforçando que a maioria dos ataques começa com comportamentos inseguros e não com vulnerabilidades técnicas.
No contexto de trabalho remoto e do modelo bring‑your‑own‑device (BYOD), dispositivos pessoais e redes residenciais sem gestão corporativa ampliam a superfície de ataque: notebooks e smartphones conectados à VPN podem se tornar pontes para invasões se suas credenciais forem comprometidas.
Para completar o quadro, o custo de uma credencial exposta é alto. O próprio relatório da IBM indica que ataques que utilizaram credenciais comprometidas e phishing estão entre os vetores de violação mais caros, superando a marca de US$ 4,8 milhões por incidente e exigindo longos períodos de identificação e contenção. A pesquisa lembra que o impacto financeiro vai além do valor subtraído: envolve recuperação de sistemas, multas regulatórias e danos à reputação.
Por que a credencial do colaborador virou a nova moeda do crime
A diferença entre um golpe doméstico e um incidente corporativo é menor do que se imagina. No passado, golpistas buscavam apenas causar perdas diretas às vítimas finais.
Hoje, contudo, dados pessoais roubados são revendidos em mercados clandestinos e utilizados como ponto de partida para ataques mais sofisticados.
Quando um funcionário reutiliza a mesma senha para acessar seu e‑mail pessoal e a plataforma de gestão de projetos da empresa, uma brecha doméstica pode abrir caminho para um ataque lateral na rede corporativa.
As credenciais se tornam moeda de troca: criminosos compram logins e senhas em pacotes, testam em diversos serviços e descobrem quais combinam com sistemas empresariais.
Dois fenômenos reforçam esse risco.
Primeiro, a reutilização de senhas continua comum. Pesquisas apontam que um grande percentual de usuários combina variações de uma mesma senha em múltiplas contas, facilitando ataques de “credential stuffing”.
Segundo, o amadurecimento das ferramentas de engenharia social faz com que golpes pareçam legítimos. Criminosos usam dados de vazamentos anteriores para personalizar mensagens e ligações, simulando procedimentos de suporte técnico e convencendo o usuário a aprovar notificações de MFA — técnica conhecida como MFA fatigue.
O resultado é um ciclo vicioso: cada novo vazamento abastece o mercado ilegal com mais credenciais e informações pessoais; essas informações são utilizadas para ataques dirigidos, que aumentam a taxa de sucesso dos golpes; e cada golpe bem‑sucedido alimenta o próximo.
A linha tênue entre fraude de consumidor e crime corporativo desaparece, transformando a credencial do colaborador no elo fraco de uma cadeia que conecta o atacante à infraestrutura da empresa.
Os tipos de golpes mais frequentes dos últimos meses
Golpes ligados a SMS, ligações e mensagens
- Smishing (phishing por SMS): mensagens falsas que simulam bancos, serviços de entrega ou plataformas conhecidas para induzir a vítima a clicar em links ou fornecer dados.
- Vishing (voice phishing): ligações em que criminosos se passam por atendentes de banco, suporte técnico ou até mesmo gestores da empresa, pedindo códigos de autenticação, senhas ou dados pessoais.
- Quishing (QR code phishing): envio de QR codes maliciosos (via e-mail, WhatsApp ou SMS) que redirecionam a sites falsos para coleta de credenciais.
Golpes relacionados a credenciais corporativas
- Credential Stuffing: uso de credenciais vazadas da vida pessoal para tentar acesso em sistemas corporativos (explora a reutilização de senhas).
- Account Takeover (ATO): sequestro de contas pessoais ou corporativas a partir de credenciais obtidas em phishing ou vazamentos.
- SIM Swap: clonagem do chip do celular da vítima para interceptar SMS de autenticação ou chamadas do banco/empresa.
Golpes mais amplos que conectam pessoal e corporativo
- Business Email Compromise (BEC): fraude em e-mails corporativos usando credenciais roubadas para aplicar golpes financeiros ou espalhar malware.
- Fake Help Desk / Suporte Técnico falso: criminosos ligam ou enviam mensagens fingindo ser do time de TI para convencer colaboradores a fornecer senhas ou instalar softwares maliciosos.
- Malware via links em mensagens: download de aplicativos falsos ou anexos que instalam trojans de acesso remoto (RATs) ou keyloggers, capturando credenciais.
Do treinamento esporádico ao perímetro de identidade
Muitas organizações ainda tratam conscientização de segurança como um check-list: uma palestra anual, vídeos de e‑learning e uma cartilha distribuída em formato PDF.
Embora essas iniciativas sejam importantes, elas não acompanham a velocidade e a criatividade dos atacantes. Conforme destacou o Fórum Brasileiro de Segurança Pública, as operações de fraude hoje ocorrem em escala industrial com uso de dados vazados e aluguel de informações, exigindo um modelo de defesa mais dinâmico.
Em vez de encarar a segurança como evento pontual, empresas precisam adotar a mentalidade de que identidade, dispositivo e comportamento formam um único perímetro. Esse conceito central do Zero Trust parte da premissa de que ninguém, seja usuário ou aplicativo, deve ser automaticamente confiável.
Na prática, proteger o perímetro de identidade passa por três pilares complementares:
- Autenticação robusta e adaptativa – Implementar MFA em todas as aplicações críticas reduz drasticamente a chance de invasão.
Mecanismos adaptativos que consideram fatores como geolocalização, reputação do dispositivo e horário de acesso são capazes de bloquear acessos suspeitos sem prejudicar a experiência do usuário.
A adoção de MFA e políticas de acesso condicional dificulta o sucesso de ataques que exploram senhas reutilizadas. - Gestão de identidades e privilégios mínimos – Controlar a criação, alteração e revogação de contas é essencial para evitar privilégios excessivos e contas órfãs.
O DBIR mostra que quase um terço das violações envolve credenciais roubadas; portanto, limitar acessos ao estritamente necessário reduz o impacto de vazamentos.
Automatizar o ciclo de vida de usuários, revisar periodicamente permissões e separar funções sensíveis são práticas que fortalecem o perímetro. - Monitoramento contínuo e resposta proativa – A correlação entre eventos de phishing e tentativas de login anômalas ajuda a identificar comprometimentos em minutos.
Tecnologias de detecção e resposta, aliadas a testes contínuos de segurança, permitem visualizar rapidamente se uma credencial exposta está sendo utilizada em ataques reais.
Como a Asper ajuda a proteger o novo perímetro
A Asper integra essas práticas em soluções que conectam pessoas, processos e tecnologia.
Nosso portfólio inclui a gestão de identidades e acessos (IAM) com a plataforma SailPoint, que automatiza a concessão e a revogação de privilégios.
O motor de governança do SailPoint detecta anomalidades de acesso e indica usuários com permissões além do necessário, ajudando a eliminar credenciais mal utilizadas antes que se transformem em brechas.
Com CyberArk, oferecemos cofres digitais para dados sensíveis e autenticação multifator adaptativa. O cofre de senhas impede que credenciais privilegiadas fiquem expostas em planilhas ou nos navegadores dos colaboradores; já a MFA adaptativa aplica políticas de acesso diferenciadas de acordo com o perfil de risco, bloqueando logins suspeitos e gerando notificações em tempo real.
Lembramos que técnicas de engenharia social podem induzir o usuário a aprovar solicitações de MFA; por isso, combinamos o controle de credenciais à educação continuada e ao reforço de políticas de privilégio mínimo.
Nosso Cyber Fusion Center (CFC) correlaciona eventos de diversas fontes – campanhas de phishing, logs de VPN, ferramentas de endpoint e serviços em nuvem.
Quando um funcionário é alvo de uma tentativa de fraude, as equipes de threat intelligence e resposta automatizada conseguem avaliar rapidamente se houve comprometimento de credencial.
Caso detectado, processos orquestrados bloqueiam o usuário, revogam sessões ativas e emitem alertas. Essa visibilidade integrada torna a defesa contínua uma realidade e não apenas um exercício teórico.
Além disso, a Asper mantém uma postura consultiva: avaliamos a maturidade de segurança da organização e ajudamos a implantar políticas de Zero Trust que englobam redes, aplicativos, usuários e dispositivos.
Entendemos que cada empresa possui sua própria complexidade; por isso, combinamos frameworks de mercado a metodologias proprietárias de gestão de risco e compliance.
Não há resposta única para combater golpes e vazamentos, mas há um princípio universal: reduzir a confiança implícita em pessoas e sistemas e monitorar continuamente aquilo que é mais valioso.
Próximos passos para 2025
O aumento dos golpes virtuais, somado à escalada de ataques automatizados, exige que executivos tratem a identidade como o novo perímetro.
Se antes a atenção estava voltada a firewalls e antivírus, agora é preciso olhar para o que cada pessoa pode fazer dentro do ambiente corporativo, em que dispositivo e em que condições. O modelo de confiança estática, onde o colaborador recebe acesso irrestrito após um treinamento esporádico, não resiste à sofisticação das fraudes modernas.
Para enfrentar esse cenário em 2025, recomendamos que organizações:
- Façam um inventário completo de usuários e acessos, identificando contas órfãs e privilégios excessivos.
- Implemente MFA em todos os sistemas críticos e, quando possível, migre para métodos sem senha (passkeys) ou autenticação baseada em dispositivo.
- Crie campanhas de awareness recorrentes, usando simulações de phishing e conteúdos curtos para reforçar o comportamento seguro. Lembre-se de que 68 % das violações envolvem fatores humanos.
- Adote testes contínuos de segurança – inclusive avaliações de configuração de redes domésticas –, garantindo que redes sem fio e dispositivos pessoais estejam configurados com proteção adequada.
- Integre as áreas de segurança, TI e negócios para que o tema deixe de ser apenas uma preocupação técnica e passe a fazer parte da estratégia corporativa.
O fato de que um terço dos brasileiros já caiu em golpes virtuais é um alerta para toda a cadeia de valor. A fronteira entre o golpe pessoal e o incidente corporativo é cada vez mais tênue; credenciais são vendidas como commodities; a cultura de trabalho remoto aproxima a casa da empresa.
No entanto, também há motivos para otimismo: tecnologias maduras de identidade, autenticadores robustos e serviços gerenciados de segurança permitem mitigar boa parte desses riscos. Ao investir em proteção contínua e conscientizar equipes, as organizações podem transformar a credencial de cada colaborador de ponto fraco em ponto forte, blindando dados críticos e preservando a confiança de clientes e parceiros.
Assista à entrevista
Para entender melhor como a transformação digital acelerada aumentou a exposição das empresas, confira um trecho da entrevista com Arthur, CEO da Asper, concedida ao BM&C News junto a outros entrevistados.
Ele aprofunda os temas discutidos neste artigo e explica por que blindar o ambiente digital é uma prioridade estratégica.
