A evolução dos cibercriminosos e das alegações de engenharia social

Um australiano denuncia um crime cibernético a cada seis minutos. Só em 2024, as perdas denunciadas por golpes totalizaram impressionantes 2,74 mil milhões de dólares australianos. Entre elas, os golpes de comprometimento de e-mail comercial (BEC), também conhecidos como golpes de engenharia social, representaram 91,6 milhões de dólares australianos. Esses números destacam tanto a escala crescente quanto a sofisticação dos crimes cibernéticos — e os desafios cada vez maiores que eles representam para seguradoras, empresas e indivíduos.

De camisolas com capuz a estruturas corporativas

Quando imaginamos um cibercriminoso, a imagem que nos vem à mente geralmente vem dos filmes: uma figura solitária vestindo um capuz, trabalhando no escuro com um ecrã brilhante. Embora esses criminosos ainda existam, o cibercriminoso moderno é muito diferente.

Hoje, muitos operam dentro de organizações estruturadas que espelham negócios legítimos. Os criminosos são recrutados, recebem salários e até bónus e férias. Os processos de recrutamento ocorrem na dark web, onde os cibercriminosos devem apresentar referências e passar por testes de competências, tal como no mundo corporativo. 

Grupos patrocinados pelo Estado, principalmente na Coreia do Norte e na Rússia, levam isso a outro nível, investindo pesadamente em tecnologia e pesquisa para refinar as suas capacidades. Essa evolução permitiu-lhes lançar golpes cada vez mais complexos e convincentes em grande escala.

O surgimento da engenharia social sofisticada

Há uma década, as tentativas de engenharia social envolviam normalmente e-mails desajeitados, repletos de erros ortográficos, instruções vagas e endereços de e-mail incompatíveis. Esses golpes eram relativamente fáceis de detectar.

Hoje, os cibercriminosos usam mineração de dados, pesquisa de código aberto e informações comerciais roubadas para criar ataques muito mais convincentes. Ao vasculhar plataformas como o LinkedIn, os criminosos identificam profissionais financeiros com autoridade para movimentar dinheiro e adaptam as comunicações de acordo com isso. Esses e-mails agora refletem a correspondência legítima, adotando o tom, a linguagem e até mesmo os apelidos usados dentro da empresa.

Em alguns casos, os criminosos passam semanas dentro de uma rede comprometida, estudando fluxos de trabalho, relações com fornecedores e faturas futuras para criar golpes altamente direcionados. O resultado: menos sinais de alerta e maior chance de sucesso.

O papel da IA e das deepfakes

A inteligência artificial acelerou drasticamente a evolução da engenharia social. A tecnologia deepfake agora permite que criminosos reproduzam de forma convincente vozes e até mesmo rostos de executivos.

Num caso de grande repercussão, um funcionário de uma empresa multinacional em Hong Kong autorizou um pagamento de 200 milhões de dólares de Hong Kong (cerca de 39,5 milhões de dólares australianos) após participar numa chamada pelo Zoom com o que parecia ser a alta administração. O único problema? Os executivos eram deepfakes gerados por IA.

Os deepfakes já não são as falsificações desajeitadas e robóticas de alguns anos atrás. Hoje, eles são altamente realistas, tornando difícil — mesmo para profissionais treinados — distinguir a diferença. Combinados com gravações de voz roubadas e videoclipes que podem ser recolhidos da Internet, os criminosos agora podem criar imitações altamente convincentes.

Do ponto de vista das reclamações, isso representa desafios significativos. Os golpes por voz e vídeo deixam poucos rastros documentais, dificultando a verificação. Além disso, as vítimas podem não perceber que foram enganadas até muito tempo depois, reduzindo a probabilidade de recuperar os fundos com sucesso através dos bancos.

Ameaças emergentes: agentes de IA

A próxima fronteira do cibercrime deverá ser os agentes de IA — sistemas autónomos capazes de raciocinar, aprender e tomar decisões sem intervenção humana. Ao contrário dos assistentes de IA atuais, que requerem comandos, os agentes de IA podem agir de forma independente.

Num contexto de cibercriminalidade, isso significa que um agente de IA poderia:

• Pesquise alvos na Internet
• Crie bases de dados CRM de profissionais da área financeira
• Redigir correspondência convincente
• Envie milhares de e-mails fraudulentos em grande escala

E tudo isso sem supervisão humana. O custo é mínimo, o alcance é enorme e, mesmo que apenas uma tentativa seja bem-sucedida, os retornos podem ser significativos.

Respostas legislativas e bancárias

Os governos e as instituições financeiras estão a responder. Em fevereiro de 2025, foi aprovada na Austrália a Lei-Quadro de Prevenção de Golpes, exigindo que os bancos implementem controlos mais rigorosos para detetar, prevenir e impedir golpes.

Entre os desenvolvimentos, destaca-se a criação do Acordo Scam-Safe pela Associação Bancária Australiana, que inclui um investimento de 100 milhões de dólares em tecnologia de verificação de nomes, que verifica se o nome da conta corresponde ao BSB e ao número da conta introduzidos. Outras iniciativas incluem o aumento dos avisos, a retenção de pagamentos para novas contas bancárias e perguntas de segurança adicionais.

Prevemos que, para as PME, estes controlos possam introduzir desafios operacionais que devem ser considerados e, sempre que possível, planeados com antecedência. Quaisquer atrasos nos pagamentos, por exemplo, podem perturbar o fluxo de caixa dos fornecedores.  

Implicações para os pedidos de indemnização ao seguro

Do ponto de vista dos seguros, a redação das apólices também evoluiu. Muitas apólices agora incluem exclusões ou franquias mais altas se determinados controlos de verificação não estiverem em vigor ou não forem seguidos. Por exemplo, as seguradoras podem exigir:

• Verificação por telefone de quaisquer alterações nos dados bancários do fornecedor
• Segregação de funções no processamento de faturas
• Procedimentos documentados para aprovações de pagamento

Os tribunais têm ecoado essa posição. Em 2025, um tribunal na Austrália Ocidental responsabilizou uma empresa pelo pagamento de uma fatura fraudulenta, após os seus métodos de verificação terem sido considerados insuficientes. A expectativa é clara: as empresas devem tomar medidas razoáveis para se protegerem.

O que as organizações podem fazer

Apesar da sofisticação dos ataques, as empresas podem reduzir significativamente os seus riscos com os processos certos em vigor:

• Protocolos de verificação: Confirme sempre as alterações nos dados bancários por telefone, utilizando números de telefone independentes.
• Empoderamento dos funcionários: incentive os funcionários a questionar pedidos incomuns, mesmo que venham de «executivos seniores».
• Formação: Atualize regularmente os funcionários sobre ameaças emergentes e sinais de alerta.
• Controlos de TI: Implemente autenticação multifatorial, restrinja privilégios de administrador e imponha alterações regulares de senha.

Em última análise, a vigilância a nível individual e organizacional continua a ser a defesa mais forte.

Como a Sedgwick pode ajudar

O aumento dos crimes cibernéticos sofisticados destaca a crescente complexidade da gestão de sinistros. Cada caso requer uma análise cuidadosa, não apenas das perdas financeiras, mas também da conformidade com os termos da apólice, processos de verificação e perspectivas de recuperação.

Na Sedgwick, a nossa equipa de contabilidade forense tem a experiência necessária para enfrentar esses desafios. Como um dos maiores grupos de contadores forenses da Austrália, apoiamos seguradoras, empresas e clientes jurídicos com quantificação e resolução precisas e abrangentes de reclamações cibernéticas e de engenharia social. Além do crime cibernético, os nossos especialistas trabalham em uma ampla gama de reclamações especializadas, garantindo clareza, precisão e resultados confiáveis em situações complexas.

Se quiser saber mais sobre como a Sedgwick pode ajudá-lo com reclamações relacionadas a segurança cibernética, engenharia social ou especialidades, entre em contacto com Beth Fieldhouse[email protected], Lucy Tang[email protected]ou Emma Levett[email protected].