Imagine o cenário: um novo desenvolvedor remoto, contratado há 81 dias após um processo seletivo exemplar, é a origem de um vazamento de dados. Seu currículo era impecável, e ele brilhou na entrevista por vídeo. O problema é que sua identidade digital é uma fabricação sofisticada. A empresa não contratou um funcionário; contratou a sua própria violação de segurança. Este cenário define o que chamamos de Onboarding Malicioso, uma evolução da ameaça interna onde atacantes externos se tornam insiders por design.
Eles não exploram uma falha de software, mas sim a confiança, o ativo mais vulnerável de uma organização. O custo médio anual para gerenciar riscos internos atingiu $17,4 milhões de dólares por organização em 2025, um aumento de 109% desde 2018, segundo o Ponemon Institute. A frequência também escala, cerca de 83% das organizações sofreram ao menos um ataque interno no último ano, e 48% afirmam que a frequência aumentou.
A ascensão do trabalho remoto criou a tempestade perfeita, substituindo verificações presenciais por interações puramente digitais que os adversários exploram com maestria. O que antes era uma “fraude de contratação” para o RH tornou-se um vetor de “acesso inicial” para o CISO.
Esta fusão cria um perigoso ponto cego. As defesas corporativas são construídas para repelir ataques externos, enquanto os processos de RH são desenhados para integrar talentos com base na confiança. Os atacantes que praticam o onboarding malicioso não quebram as defesas do perímetro, pois são convidados a entrar pela porta da frente. O perímetro de defesa não começa mais no firewall; ele começa no formulário de candidatura a uma vaga.
Ouça o resumo do artigo:
Onboarding malicioso vs insider tradicional: o que muda
Um insider tradicional é o colaborador, prestador de serviço ou parceiro com acesso legítimo a sistemas, dados e processos da empresa, que se torna uma ameaça à segurança da informação por agir de forma intencional ou negligente.
Esse perfil difere de outros tipos de insider, como:
- Onboarding malicioso: quando o atacante entra na empresa já com a intenção criminosa, usando identidades falsas.
- Insider acidental: quando há comprometimento de dados sem má-fé, apenas por descuido.
No caso do insider tradicional, algumas características comuns são:
- Vínculo real com a organização (funcionário, terceiro, fornecedor)
- Motivações diversas: financeiras, vingança, ideológicas ou coerção
- Acesso pré-existente: já possui permissões internas que podem ser exploradas
- Capacidade de causar impacto significativo: exfiltração de dados, sabotagem de sistemas, vazamento de informações estratégicas
Esse tipo de ameaça costuma ser mais difícil de detectar porque o insider já está dentro do perímetro de confiança da empresa.
Por isso, estratégias de defesa incluem:
- Monitoramento de comportamento (User Behavior Analytics)
- Aplicação do princípio do menor privilégio
- Revisões periódicas de acessos
- Políticas de conscientização e cultura de segurança
Onboarding malicioso: anatomia da infiltração no processo seletivo
A sofisticação dos ataques de onboarding malicioso reside na capacidade dos adversários de construir personas digitais críveis, superando as verificações tradicionais.
O manual de operações do cibercrime moderno para infiltração corporativa é multifacetado e tecnologicamente avançado, transformando o processo de recrutamento em um campo minado.
O manual moderno de infiltração
As táticas, técnicas e procedimentos (TTPs) empregados para forjar candidatos convincentes evoluíram drasticamente:
- Identidades Sintéticas e IA Generativa: Ferramentas de IA geram currículos perfeitos e perfis falsos em redes como o LinkedIn, com históricos de trabalho verossímeis e alinhados com os requisitos da vaga.
Essas personas digitais são construídas com uma atenção meticulosa aos detalhes, incluindo postagens esporádicas e conexões plausíveis para simular uma presença online autêntica, dificultando a detecção por verificações manuais. - Deepfakes em Entrevistas por Vídeo: A ameaça dos deepfakes tornou-se operacional. Quase metade das organizações (47%) já enfrentou tentativas de fraude com deepfakes, onde adversários utilizam manipulação de áudio e vídeo em tempo real para enganar recrutadores.
A tecnologia permite que um operador sobreponha o rosto e a voz de outra pessoa durante uma chamada de vídeo, respondendo a perguntas de forma convincente enquanto sua verdadeira identidade permanece oculta. - Operações Patrocinadas por Estados: A ameaça transcende o crime individual. Relatórios de inteligência dos EUA documentaram a infiltração de operadores de TI norte-coreanos em empresas americanas, posando como engenheiros de software para fins de espionagem e financiamento de atividades ilícitas.
Esses grupos operam com um nível de organização e recursos que lhes permite manter a farsa por meses, exfiltrando propriedade intelectual e capital.
Essas técnicas exploram a falha fundamental dos processos de verificação legados, onde documentos escaneados e chamadas de vídeo podem ser facilmente adulterados.
Para auxiliar na identificação desses infiltrados, a tabela abaixo consolida os principais indicadores de risco:
Onboarding malicioso: do crachá à exfiltração de dados
Uma vez contratado, o atacante opera com uma legitimidade que um invasor externo jamais teria. Utilizando o framework MITRE ATT&CK®, podemos mapear a jornada do infiltrado desde o acesso inicial até a exfiltração de dados.
Fase 1: Abuso do Acesso Inicial – O Risco do “Joiner”
O processo Joiner-Mover-Leaver (JML) define como os acessos são concedidos, modificados e revogados. A fase “Joiner” (entrada) é o ponto de maior vulnerabilidade. O infiltrado não precisa “invadir” a rede; as chaves de acesso são-lhe entregues.
O problema central nesta fase é a falha na aplicação do Princípio do Menor Privilégio (PoLP) desde o primeiro dia. Frequentemente, novos funcionários recebem um “pacote de boas-vindas” de acessos que excede em muito suas necessidades iniciais, concedendo ao atacante uma ampla superfície de ataque interna.
Fase 2: Escalação de Privilégios (TA0004) e Movimentação Lateral (TA0008)
Com o pé dentro da porta, o objetivo do atacante é expandir seu controle. Ele busca escalar seus privilégios de um usuário comum para um administrador de sistema, explorando fraquezas internas como sistemas desatualizados ou configurações inadequadas.
Uma vez que privilégios mais altos são obtidos, o atacante se move “lateralmente” pela rede, saltando de seu endpoint para servidores críticos, como bancos de dados de clientes ou repositórios de propriedade intelectual.
Esse tráfego, muitas vezes utilizando ferramentas legítimas como o PowerShell, é extremamente difícil de ser detectado por soluções tradicionais, pois se disfarça como atividade normal de um funcionário.
Fase 3: Coleta (TA0009) e Exfiltração (TA0010)
Esta é a fase final, onde o impacto financeiro se materializa. O custo médio de uma violação de dados causada por um insider malicioso é de $4,92 milhões de dólares.
Os métodos de exfiltração podem variar, desde transferências lentas e de baixo volume para evitar a detecção, até o envio de grandes volumes de dados para serviços de nuvem pessoais, muitas vezes utilizando canais criptografados.
As armas mais poderosas de um insider malicioso são a confiança e o tempo. A confiança, inerente ao seu status de “funcionário”, concede-lhe acesso e reduz a suspeita. O tempo permite um reconhecimento paciente e uma exfiltração furtiva.
O relatório DBIR da Verizon mostra que atores internos são um fator significativo em violações de setores críticos como o Financeiro (31%) e Administração Pública (59%).
Com um tempo médio de contenção de 81 dias, os atacantes têm uma janela imensa para operar sem serem detectados. O desafio não é impedir um “hack”, mas sim detectar o “abuso de acesso legítimo”.
Mapeamento MITRE ATT&CK – Outras técnicas usadas no onboarding malicioso
- T1078 – Valid Accounts: uso de credenciais legítimas obtidas por meio de contratação
- T1562 – Impair Defenses: movimentação discreta evitando alertas de segurança
- T1119 – Automated Collection: coleta automática de dados sensíveis
- T1041 – Exfiltration Over C2 Channel: envio de informações para fora da rede corporativa
- T1136 – Create Account: criação de novos acessos internos para manter presença mesmo após desligamento
Exemplos Reais
- FBI e CISA já alertaram para campanhas em que atacantes se passam por desenvolvedores remotos em empresas de tecnologia, com o objetivo de desviar propriedade intelectual.
- Em 2023, investigações revelaram que grupos ligados a estados-nação estavam usando identidades falsas em plataformas de emprego para infiltrar colaboradores em empresas de software.
Blindagem contra o inimigo interno: A estratégia de defesa da Asper
Enfrentar uma ameaça que explora a confiança exige uma estratégia de defesa Zero Trust — “nunca confie, sempre verifique”.
A abordagem da Asper Cibersegurança é construída sobre a orquestração de múltiplas camadas de defesa, projetadas para proteger a organização de dentro para fora.
Camada 1: Fortalecendo a porta de entrada com Governança de Identidade (IGA)
A primeira linha de defesa atua no processo “Joiner”.
A Asper implementa soluções de Governança e Administração de Identidades (IGA), como a plataforma SailPoint, para garantir que o Princípio do Menor Privilégio seja aplicado desde o primeiro segundo.
O SailPoint automatiza o provisionamento de acessos com base na função, garantindo que um novo colaborador receba apenas as permissões estritamente necessárias.
Qualquer acesso adicional deve ser solicitado, justificado e aprovado através de um fluxo de trabalho auditável, limitando severamente o “raio de explosão” inicial de um atacante.
Camada 2: Contenção de privilégios e monitoramento de acessos críticos (PAM)
Para neutralizar a tentativa de Escalação de Privilégios, a Asper implementa o Gerenciamento de Acessos Privilegiados (PAM) com a solução CyberArk.
O CyberArk funciona como um cofre digital que gerencia todas as credenciais privilegiadas. O acesso a essas contas críticas é concedido apenas sob demanda e de forma temporária (Just-in-Time).
Cada sessão é isolada, monitorada e gravada, criando uma trilha de auditoria completa e impedindo que o atacante escale seus privilégios de forma silenciosa.
Camada 3: Detecção comportamental contínua (EDR/XDR)
A camada mais dinâmica da defesa é a detecção de anomalias em tempo real, provida por soluções de Detecção e Resposta de Endpoint (EDR/XDR) como o CrowdStrike Falcon Complete, operado pelo Cyber Fusion Center da Asper.
Diferente de antivírus tradicionais, o CrowdStrike estabelece uma linha de base do comportamento normal de cada usuário e monitora continuamente em busca de desvios.
Ele é capaz de detectar, por exemplo, um desenvolvedor tentando acessar servidores financeiros às 3 da manhã, a execução de ferramentas de escaneamento de rede ou um volume anormal de dados sendo transferido para um serviço de nuvem externo.
O cérebro da operação – O Cyber Fusion Center (CFC) da Asper
A tecnologia, por si só, é apenas uma parte da solução. O Cyber Fusion Center (CFC) da Asper é o cérebro humano e tecnológico que orquestra todas as camadas de defesa.
A força do CFC está na sua capacidade de correlacionar sinais fracos. Um alerta de baixa severidade do SailPoint (um pedido de acesso incomum) pode não ser significativo isoladamente.
No entanto, quando os analistas do CFC correlacionam esse evento com uma bandeira comportamental do CrowdStrike (uma tentativa de desabilitar logs) e um alerta do CyberArk (uma tentativa fracassada de acessar uma conta privilegiada), um padrão claro de ataque interno emerge.
Ao detectar uma ameaça crível, o CFC pode acionar respostas automatizadas em segundos: o endpoint do usuário é isolado da rede e suas credenciais são revogadas, neutralizando a ameaça antes que a exfiltração de dados ocorra.
Essa resposta cirúrgica e imediata é o que transforma a segurança de um centro de custo reativo em um habilitador de negócios proativo.
Sua próxima contratação é um ativo ou um risco?
Na era do trabalho remoto e da inteligência artificial generativa, a linha entre recrutamento e segurança foi permanentemente apagada. Cada novo colaborador representa, simultaneamente, um potencial ativo e um potencial vetor de ataque. A confiança, antes um pilar, tornou-se a maior vulnerabilidade.
Modelos de segurança baseados em um perímetro confiável estão obsoletos. A premissa da cibersegurança moderna deve ser a de que uma violação pode já estar na folha de pagamento. Essa mudança de mentalidade exige uma arquitetura de defesa que não se baseie em onde o usuário está, mas em quem ele é e o que está fazendo.
Neste cenário, a Asper Cibersegurança se posiciona como um Trust Advisor estratégico. A resiliência contra ameaças como o onboarding malicioso não reside em uma única tecnologia, mas na orquestração inteligente de múltiplas camadas de defesa, combinando governança de identidade, controle de privilégios e detecção comportamental, tudo sob a supervisão do nosso Cyber Fusion Center.
A confiança no seu processo de contratação é a sua maior vulnerabilidade. Antes que seu próximo funcionário se torne seu próximo incidente, fale com nossos especialistas e descubra como a abordagem de defesa em profundidade da Asper pode blindar sua organização de dentro para fora.
