LGPD, Privacidade e Proteção de Dados: Ataques phishing não-convencionais

Os ataques de phishing evoluíram além dos e-mails tradicionais, explorando plataformas corporativas e dinâmicas de trabalho modernas. Saiba como identificar riscos para sua organização e algumas formas para mitigá-los.

Outros temas relevantes para você:

Phishing

Os ataques de phishing evoluíram além dos e-mails tradicionais, explorando plataformas corporativas e dinâmicas de trabalho modernas. Em 2025, técnicas não convencionais como o uso de subdomínios legítimos, integrações em aplicativos de colaboração e esquemas de voz direcionados a ambientes remotos ganharam destaque. Abordaremos casos recentes, riscos emergentes e estratégias de proteção.

Phishing é uma técnica de engenharia social utilizada por criminosos para enganar indivíduos, com o objetivo de obter informações confidenciais, como senhas, números de cartão de crédito e detalhes bancários. Esses ataques geralmente ocorrem por meio de comunicações fraudulentas que parecem vir de fontes confiáveis, como instituições financeiras, redes sociais ou empresas de tecnologia.

No mercado corporativo, o objetivo normalmente é ganhar acesso aos sistemas internos (roubo de credenciais) e, a partir daí, realizar outros ataques mais direcionados, precisos e danosos.

Os criminosos usam mensagens aparentemente reais para manipular as vítimas, muitas vezes criando um senso de urgência, se passando por membros da gestão ou de TI para induzir ações rápidas sem questionamento.

Ataques de phishing frequentemente são usados como um meio para instalar malware nos dispositivos das vítimas. Quando um usuário clica em um link ou abre um anexo suspeito em uma mensagem de phishing, pode instalar malware em seu dispositivo. Esse malware pode roubar informações adicionais, coletar dados digitados, danificar o sistema ou escalar para um ataque de ransomware.

No passado, os ataques visavam e-mails, SMS, mensagens em redes sociais, ligações telefônicas ou sites falsos. Recentemente os ataques evoluíram visando plataformas de trabalho corporativa e colaborativa. Veja alguns exemplos abaixo:

Exploração de Subdomínios do Zendesk em Ataques de Phishing

Pesquisas recentes da CloudSEK revelaram que criminosos registram subdomínios gratuitos do Zendesk durante períodos de teste para criar URLs falsas que imitam empresas reais (ex: suporte.empresaX.zendesk.com). Esses domínios são usados para:

Enviar e-mails de phishing disfarçados de tickets de suporte, que contornam filtros de spam.
Hospedar páginas de “centro de ajuda” falsas.
Direcionar funcionários e clientes sem verificação de e-mail, facilitando o roubo de credenciais.

Um ataque em 2022 expôs outra vulnerabilidade: funcionários do Zendesk caíram em campanhas de SMS phishing, permitindo que invasores acessassem dados de logs de clientes.

Ameaças via Microsoft Teams com Comunicação Externa

Não há a menor dúvida que a configuração “permissiva” do Teams para aceitar conversas de outras organizações é positiva para fomentar e facilitar a colaboração entre clientes e fornecedores que utilizam o M365. Infelizmente, a habilitação de conversas externas tornou-se (também) um vetor para ataques.

Como as mensagens vêm de dentro do canal oficial de comunicação, muitas vezes os colaboradores podem acabar clicando em links em anexos, sem o mesmo cuidado que fariam com e-mails ou vetores de ataques mais comuns.

Cibercriminosos já utilizaram a plataforma para se passarem por membros de times de suporte, por exemplo, e incentivarem usuários a clicarem em links para malwares.

Cibercriminosos fazendo-se passar por e-mails legítimos da DocuSign

Os ataques de phishing utilizando o DocuSign têm se tornado cada vez mais sofisticados e frequentes. Criminosos cibernéticos estão abusando da API do DocuSign para enviar faturas falsas que imitam empresas conhecidas, como Norton e PayPal, aproveitando-se de domínios legítimos para burlar medidas de segurança de e-mail.Além disso, houve um aumento de 98% em ataques de phishing que utilizam falsificações do DocuSign para atingir empresas que interagem com agências estaduais e municipais nos Estados Unidos.Esses e-mails fraudulentos frequentemente solicitam que as vítimas insiram suas credenciais de login corporativo para assinar documentos falsos, resultando no comprometimento de dados corporativos.

Ataques de Phishing em 2025

Ataques em 2025 tendem e tenderão a serem cada vez mais rebuscados. Chatbots e ferramentas de clonagem de voz por IA já podem ser usadas para fazer-se passar por executivos e/ou colegas de trabalho. Contra-medidas criativas também devem ser avaliadas pelos times de TI e segurança das organizações para garantir respostas às potenciais ameaças.

Proteção de Dados: Como proteger sua empresa de ataques de phishing?

A base de uma estratégia eficaz de segurança começa com uma combinação de ferramentas e de treinamento aos colaboradores. Veja alguns exemplos abaixo que sua organização pode tomar para reduzir a possibilidade de ataques:

Uso de ferramentas para gestão de endpoints, antivírus e firewalls de nível corporativo, com atualizações frequentes.
Monitoramento de logs e atividades de usuários.
Impedir o uso e instalação de software não homologado, pirata e de fontes desconhecidas.
Usar autenticação multifator e/ou uso de soluções “passwordless”.
Treinamento constante da força de trabalho, uma vez que é importante estar atento a mensagens que pareçam suspeitas ou urgentes, em qualquer meio. Usuários devem estar atentos aos mínimos sinais de desvios dos padrões comumente em uso, processos das ferramentas e comportamento de colegas de trabalho (ex. tom de e-mails, forma de escrita, etc).
Bloquear URLs de provedores de serviço que não são aqueles utilizados pela organização.
Implementar filtros de e-mails e regras corporativas para o tratamento de potenciais violações.
Implementar regras corporativas para o reporte de potenciais riscos e incidentes. Tais políticas precisam ser de amplo conhecimento pela organização.
Políticas de backups frequentes, com guarda de dados em locais redundantes e desconectados. Potencialmente através de backups imutáveis. Backups testados para garantir a pronta recuperação.
Planos de continuidade de negócio e recuperação de desastres. Planos testados para garantir a pronta recuperação.

Para limitar mensagens no Teams, o processo é simples:

Microsoft Teams Admin Center > External Access.
Desative a opção “Permitir comunicação com usuários externos”.
Para necessidades específicas, restrinja domínios autorizados em “Allow List”.

O papel do DPO na prevenção de incidentes de privacidade e segurança

O Data Protection Officer (DPO) tem um papel importante na preparação conjunta de treinamentos para privacidade e proteção de dados, incluindo como se precaver de exposições. Deve também ser proativo na preparação de planos de continuidade de negócio e nas ações de coordenação de respostas a incidentes, incluindo notificação a autoridades e afetados.

O DPO deve ter um papel proativo e consultivo a todas as áreas de organização e deve estar acessível a todo e qualquer colaborador.

O DPO é um profissional necessário para toda e qualquer organização, independente de segmento, com exceções aos Agentes de Pequeno Porte.

A Macher Tecnologia como sua consultoria para a LGPD, Privacidade e Proteção de Dados

A prevenção contra ataques cibernéticos exige estratégias bem definidas, políticas rigorosas e alinhamento entre tecnologia, governança e privacidade. Empresas que não se antecipam a essas ameaças correm riscos elevados de interrupção de negócios, perda de dados e impactos reputacionais severos.Independentemente do setor de atuação, uma postura proativa de segurança é essencial. Organizações que investem na prevenção e resposta a incidentes garantem não apenas proteção contra-ataques, mas também vantagem competitiva no mercado.Se sua empresa ainda não estruturou um programa de segurança digital, o momento de agir é agora. A Macher Tecnologia está pronta para apoiar organizações na proteção contra ameaças digitais.Se você busca soluções completas para privacidade, proteção de dados e cybersecurity, entre em contato conosco. Nossa equipe está pronta para ajudar sua empresa a navegar pelos requerimentos e oportunidades da LGPD e implementar práticas eficazes de segurança e conformidade.

Converse com nossos consultores agora!

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO

Consultoria e projetos de adequação
Treinamentos para a LGPD
Adequação de sistemas (sites, aplicações, mobile apps, etc)
Gestão de Projetos / PMO
DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
ACADEMIA LGPD: Treinamentos "learning pills" de conscientização para a Lei Geral de Proteção de Dados e Cibersegurança.
Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
Revisão ou auditoria pontual em projetos e processos
Terceirização de serviços e times

DPO AS A SERVICE

Encarregado como Serviço (DPO-as-a-Service)
Centro de Serviços Compartilhados para a LGPD e times de suporte
Operação Assistida para seu DPO interno - Assessoria e Consultoria para a LGPD
Data Mapping
Mapeamento de Processos
Gestão de Projetos e Riscos
Serviços de Cybersecurity
Revisão de Cláusulas Contratuais para a LGPD
DPIA, DPA, ROPA, LIA
Suporte à GDPR