Neste artigo
Em 2024, fraudes do tipo BEC (Business Email Compromise) custaram US$ 2,77 bilhões em incidentes reportados ao FBI, e o caso de maior repercussão envolveu deepfake: a engenharia britânica Arup perdeu cerca de US$ 25,6 milhões depois que um funcionário em Hong Kong participou de uma videoconferência inteira com colegas sintéticos. Para a liderança de uma PME brasileira, a mensagem é direta: o ataque não exige invasão técnica, usa a presença digital pública dos seus executivos como matéria-prima.
Este artigo é um guia operacional para líderes não-técnicos de pequenas e médias empresas entenderem por que a identidade digital do C-level virou um ativo crítico, quais vetores estão ativos em 2025-2026 e como reduzir a exposição com controles processuais de baixo custo. O foco é prevenção em escopo enxuto, sem jargão.
Por que o C-level de PME virou alvo prioritário
Há uma assimetria estrutural entre grandes corporações e PMEs no tema de fraude executiva. Empresas listadas têm dual approval institucionalizado, jurídico interno, equipes de fraude e contratos com brand protection. PMEs operam com menos camadas de aprovação, decisão rápida, e o relacionamento direto entre o CEO e o financeiro é parte da cultura, exatamente a fricção menor que o atacante explora.
O Verizon Data Breach Investigations Report de 2024 confirma que o elemento humano (erro ou engenharia social) está presente em cerca de 68% dos breaches analisados, e que pretexting, pretexto criado pelo atacante para uma fraude direcionada, passou a responder por aproximadamente um quarto dos incidentes financeiramente motivados, com mediana de perda de US$ 50.000 por evento.
Assimetria de defesa entre grande corporação e PME
Em uma corporação madura, qualquer pedido financeiro fora do fluxo padrão dispara uma série de validações automáticas e manuais. Em uma PME típica, o mesmo pedido pode ser executado por um único analista financeiro que tem acesso direto ao CEO via WhatsApp. O atacante conhece essa estrutura, e a presença digital pública do executivo (LinkedIn, entrevistas, podcasts) fornece o material necessário para reproduzi-lo de forma convincente.
A questão para a liderança da PME não é se há exposição, mas onde ela está e quais controles compensam essa exposição sem inviabilizar a operação. Reduzir a presença pública do CEO geralmente não é viável, a empresa precisa do executivo visível para marketing, vendas e parcerias.
A pegada digital pública como vetor de reconhecimento
Cada elemento da presença pública do executivo é matéria-prima para o atacante. Foto em alta resolução do LinkedIn alimenta face-swap. Trechos de podcast, webinar gravado ou entrevista institucional fornecem amostras de voz que tecnologias atuais de clonagem reproduzem com 3 a 30 segundos de áudio limpo. O organograma público em "Sobre nós" e os perfis dos diretores no LinkedIn revelam a cadeia de aprovação que será imitada.
O atacante também usa essa pegada para identificar a vítima ideal dentro da empresa, geralmente alguém do financeiro ou do secretariado executivo com acesso a operações de pagamento e relacionamento direto com o C-level.
O peso financeiro real do ataque direcionado
O caso Arup é o exemplo mais conhecido de 2024, mas tentativas frustradas também são reveladoras. Em maio de 2024, a holding de marketing WPP relatou tentativa contra seu CEO Mark Read usando voz clonada, vídeo público do YouTube e uma reunião do Microsoft Teams com operador off-camera. Em julho de 2024, a Ferrari teve tentativa similar contra o CEO Benedetto Vigna, frustrada quando um executivo desconfiou e fez uma pergunta de contexto que o impostor não soube responder.
Para a PME, o impacto raramente atinge dezenas de milhões, mas valores entre R$ 50 mil e R$ 2 milhões em fraudes únicas são consistentes com o que aparece em coberturas locais. No agregado, a Febraban reportou R$ 10,1 bilhões em perdas com fraudes bancárias no Brasil em 2024, alta de 17% sobre 2023, com Pix-fraude crescendo 43%.
Vetores principais contra a presença executiva
Não é um vetor isolado, é uma composição. O ataque moderno usa email, voz, vídeo e mensagens em paralelo. Entender os quatro principais separadamente ajuda a desenhar controle para cada um.
Clonagem de voz e vishing executivo
O caso pioneiro documentado é de 2019: uma empresa britânica de energia transferiu cerca de US$ 243 mil para uma conta húngara depois que um diretor recebeu o que acreditou ser uma ligação do CEO da matriz alemã, com voz clonada. Em 2019, a técnica era manchete; em 2026, serviços comerciais de voice cloning produzem áudio convincente com poucos segundos de amostra e a barreira de entrada caiu para o nível de uma assinatura mensal.
A técnica está catalogada no MITRE ATT&CK como T1566.004 (Spearphishing Voice). Em PME, o vetor típico é uma ligação para o financeiro pedindo transferência urgente "antes do fechamento do banco", usando voz que o destinatário reconhece como a do CEO. A urgência é sempre componente central.
Perfis falsos em LinkedIn e redes sociais
Perfis com foto pública do executivo e nome ligeiramente alterado são criados em escala. O alvo é puxar conversa com fornecedores, clientes ou colaboradores em canal alternativo (WhatsApp, Telegram) e, a partir daí, sustentar uma narrativa de aquisição confidencial, mudança de conta bancária do fornecedor ou pedido de favor financeiro. O MITRE ATT&CK classifica essa categoria como T1585.001 (Social Media Accounts).
Reportar perfis falsos é possível em todas as plataformas grandes, mas o tempo de takedown varia de horas a semanas. Por isso, o controle mais barato é monitoramento contínuo, não esperar o terceiro relatar o problema para a empresa.
Comprometimento de e-mail corporativo (BEC clássico)
O BEC tradicional não precisa de IA generativa. Funciona com spoofing de domínio próximo (cousin domain), comprometimento de conta legítima (EAC, Email Account Compromise) ou simples substituição do display-name. O FBI registra BEC e EAC conjuntamente porque, para a vítima, o efeito é idêntico: um email que parece legítimo solicitando ação financeira.
Os controles fundamentais aqui são SPF, DKIM e DMARC implantados de forma correta. Vamos detalhar adiante, mas é importante reconhecer que DMARC protege apenas o exact domain do remetente, não cobre cousin domains nem contas legítimas comprometidas. Quem usa SPF, DKIM e DMARC corretamente reduz uma classe inteira de ataques, não todas elas.
Deepfake em videochamadas (Zoom, Teams, Meet)
O caso Arup foi o divisor. O funcionário em Hong Kong recebeu convite legítimo para reunião do Microsoft Teams, entrou na chamada, viu o CFO e outros colegas, recebeu instruções de pagamento e executou 15 transferências totalizando aproximadamente HK$ 200 milhões. Todos os participantes na chamada, exceto a vítima, eram deepfakes em tempo real combinados com voz clonada.
A técnica usa virtual cameras alimentadas por face-swap em tempo real e voice clones. O caminho para a videochamada normalmente passa por um pedido inicial inocente, um convite do "executivo" para uma reunião confidencial, e a vítima entra sem desconfiar. Para detalhes técnicos sobre o vetor, veja nosso artigo dedicado a deepfake em fraude corporativa.
Brand protection vs executive protection: o que muda
Em corporações grandes, há duas disciplinas separadas, com fornecedores especializados em cada uma. Para PME, isso pode ser confuso, e dá para entender a diferença com poucos minutos de atenção, para então decidir o que faz sentido contratar.
Brand protection foca na marca
Brand protection monitora uso indevido da marca da empresa em domínios, perfis sociais, marketplaces, anúncios pagos, lojas de aplicativo e dark web. O alvo de defesa é a identidade corporativa: logo, nome comercial, slogans, identidade visual. Os incidentes típicos são domínios cousin para phishing de clientes, perfis falsos da empresa em redes sociais e listings fraudulentos em marketplaces.
Executive protection foca na identidade da pessoa
Executive protection monitora menções, perfis falsos, exposição de dados pessoais, vazamento de credenciais e tentativas de personificação direcionadas a indivíduos específicos da liderança. O alvo de defesa é a identidade do executivo enquanto pessoa: foto, voz, vídeo, vínculos familiares, padrões de comunicação. Os incidentes típicos são perfis falsos no LinkedIn, áudio sintético circulando em grupos do WhatsApp e tentativa de BEC usando o nome do CEO.
Por que a PME precisa dos dois em escopo enxuto
A escolha não é entre um e outro, é definir escopo enxuto que cubra os dois sem inflar custo. Em PMEs, o atacante mistura os vetores: pode começar com cousin domain (brand) e terminar com voice clone do CEO (executive). Defender só um lado deixa a porta do outro escancarada.
| Dimensão | Brand Protection | Executive Protection |
|---|---|---|
| Alvo de defesa | Marca, domínio, logo, identidade visual | Pessoa: foto, voz, vídeo, vínculos |
| Incidente típico | Domínio cousin, perfil falso da empresa | Perfil falso do CEO, voice clone, deepfake |
| Vetor financeiro | Phishing de clientes, fraude em marketplace | BEC, fraude de pagamento, dual approval bypass |
| Controle preventivo central | DMARC, registro de marca, monitoramento de domínios | Treinamento, callback, code-word, dual approval |
| Resposta a incidente | Takedown via plataforma/registrador | Takedown + comunicação interna + bloqueio bancário |
Controles técnicos acessíveis para PMEs
Aqui está a parte boa para quem opera com orçamento de PME: os controles de maior retorno são processuais ou de configuração, não exigem produto caro. Quatro frentes resolvem a maior parte do problema.
Autenticação de e-mail (SPF, DKIM, DMARC)
SPF (RFC 7208), DKIM (RFC 6376) e DMARC (RFC 7489) são as três camadas que, juntas, dizem ao mundo "este é um email legítimo da minha empresa". DMARC em p=reject instrui receptores a rejeitar mensagens que não passem na verificação, eliminando uma classe inteira de ataques baseados em spoofing de exact domain. A adoção global de DMARC chegou a aproximadamente 47% dos domínios em 2025, mas apenas cerca de 2,5% deles operam efetivamente em p=reject, a maioria está em modo "none" ou "quarantine", oferecendo proteção parcial.
Para PME, configurar SPF, DKIM e DMARC corretamente é trabalho de algumas horas com o provedor de email (Google Workspace, Microsoft 365 ou similar) e custo zero adicional. O ganho de segurança é desproporcional ao esforço. NIST SP 800-177 Rev. 1 e a CISA Binding Operational Directive 18-01 são as referências canônicas para essa implantação.
Importante: DMARC NÃO protege contra cousin domains (ex: acme-corp.co em vez de acme-corp.com), contra contas legítimas comprometidas (EAC) e contra canais alternativos como WhatsApp e SMS. É camada fundamental, não bala de prata.
Verificação out-of-band para solicitações financeiras
É o controle mais barato e mais eficaz contra BEC e fraude por deepfake. A regra é simples: qualquer pedido de transferência, mudança de conta bancária de fornecedor ou aprovação financeira recebido por email, WhatsApp, ligação ou videoconferência exige confirmação por canal independente. O destinatário liga de volta para um número conhecido (não o que veio no email), aguarda confirmação em uma reunião presencial ou usa uma palavra-código previamente combinada.
Esse controle resolve voice cloning, deepfake de vídeo, BEC clássico e perfis falsos em uma só política. O custo é treinamento e disciplina. A resistência inicial costuma vir do próprio executivo, que se incomoda com a fricção, e essa resistência precisa ser superada antes do primeiro incidente real.
Monitoramento de menções e perfis falsos
Ferramentas gratuitas (Google Alerts para nome do CEO e da empresa, busca recorrente no LinkedIn) cobrem o nível básico. Para PME com exposição maior, empresa B2B com CEO ativo em mídia, por exemplo, vale considerar plataformas pagas de brand protection com componente executivo. O critério de escolha é cobertura de canais (LinkedIn, WhatsApp, Telegram, dark web) e tempo médio de takedown.
Treinamento focado no financeiro e secretariado executivo
Programa genérico de awareness para toda a empresa não resolve. O treinamento que reduz risco real é específico para os papéis que executam transações: analista financeiro, controladoria, secretariado executivo, contas a pagar. O conteúdo prático é menor do que se imagina, três cenários (BEC clássico, voice clone, deepfake de videoconferência), com simulações e protocolo de resposta documentado. Para PMEs, vale conferir nosso checklist de segurança para pequenas empresas.
Playbook de 90 dias para reduzir exposição
Um plano realista para PME cabe em 90 dias e dispensa contratação de equipe interna de segurança. Três passos, com entregáveis claros.
Inventário da presença digital do C-level (dias 1-30)
Liste, para cada executivo de C-level e do conselho, todas as exposições públicas: perfil no LinkedIn, biografia no site institucional, entrevistas em podcasts, vídeos em YouTube, menções em mídia, palestras gravadas. Identifique amostras de voz e vídeo em qualidade que viabilize clonagem. O entregável é um documento simples (planilha) com cada executivo, cada ativo público, e uma classificação de risco (baixo, médio, alto).
Em paralelo, mapeie o organograma público e identifique os papéis-alvo: financeiro, controladoria, secretariado executivo, contas a pagar. Esses são os recipientes mais prováveis de um pedido fraudulento. O entregável complementar é a lista nominal desses papéis e seus substitutos eventuais (férias, afastamento).
Hardening rápido, DMARC, MFA, palavra-código (dias 30-60)
Implante SPF, DKIM e DMARC no domínio principal, começando em p=none por 2-4 semanas para observar relatórios (RUA), migrando para p=quarantine e em seguida p=reject. Habilite MFA resistente a phishing (FIDO2, Passkeys) nas contas do C-level e do financeiro. Documente e treine uma palavra-código verbal interna, rotativa mensalmente, para validação de pedidos urgentes, sem nunca compartilhar a palavra por escrito em canal digital.
Documente o protocolo de callback obrigatório para mudanças de conta bancária de fornecedor e para qualquer transferência acima de um limite definido pela direção. O entregável é uma instrução normativa interna assinada pelo CEO, com vigência clara.
Plano de resposta a incidente de impersonation (dias 60-90)
Crie um playbook curto (uma página) com: quem aciona o quê nas primeiras 4 horas; lista de telefones diretos do banco corporativo, jurídico externo e contato em delegacia especializada (DRCI no estado); modelo de comunicação interna; modelo de comunicação para clientes ou fornecedores afetados. Inclua processo para acionar o mecanismo especial de devolução do Pix em fraudes bancárias, quando aplicável.
Realize uma simulação de mesa (tabletop) com financeiro, jurídico e direção, usando um cenário plausível para a empresa (ex: voice clone do CEO pedindo transferência urgente para fornecedor recém-aprovado). O entregável é o playbook validado e um registro da simulação.
Resposta quando o incidente acontece
Mesmo com controles, incidentes acontecem. A diferença entre prejuízo total e contenção parcial está na velocidade de resposta nas primeiras horas.
Primeiras 24h: preservação e contenção
Preserve evidências (cópia de emails, áudio de ligações se houver gravação, capturas de tela, headers de mensagem). Notifique imediatamente o banco corporativo para tentativa de bloqueio cautelar do recebimento, para fraudes via Pix, há mecanismo especial de devolução previsto pelo Banco Central. Avise jurídico interno ou externo. Não comunique externamente ainda; alinhe primeiro com o que de fato aconteceu.
Takedown e coordenação com plataformas
Se houver perfil falso ou domínio cousin envolvido, registre takedown nas plataformas correspondentes. LinkedIn, Facebook/Meta e Google têm canais para perfis falsos e fraude com tempos de resposta variáveis. Registradores brasileiros (registro.br) e internacionais (ICANN registrars) tratam domínios cousin via processos formais, geralmente mais lentos. Se necessário, jurídico aciona ordem judicial.
Comunicação interna e externa
Comunicação interna é prioritária: o resto da empresa precisa saber que houve tentativa para não cair em variantes do mesmo ataque. Comunicação externa (clientes, fornecedores, parceiros) depende de impacto: se houve vazamento de dado pessoal, há obrigação de notificação à ANPD nos termos da LGPD. Se houve impersonation do CEO em rede social com prejuízo a terceiros, comunique terceiros afetados.
Quer apoio para implantar esse playbook na sua PME?
Nossa consultoria executa o inventário de presença digital do C-level, implanta DMARC corretamente, treina seu financeiro e cria o playbook de resposta, em prazo de 90 dias e em modalidade adequada a PME. Fale com a Inteligência Brasil para um diagnóstico inicial sem custo.
Perguntas Frequentes
Não. DMARC protege apenas contra spoofing do exact domain do remetente. Não cobre cousin domains (ex: acme-corp.co em vez de acme-corp.com), contas legítimas comprometidas (EAC), spoofing de display-name em alguns clientes de e-mail ou canais alternativos como WhatsApp e SMS. É camada fundamental, não solução isolada.
Não como controle único. Detectores como Reality Defender, Pindrop e Microsoft Video Authenticator têm precisão útil em forensics e em fluxos automatizados, mas a corrida adversária é constante. Use como camada complementar, nunca como controle primário de decisão financeira, que deve depender de verificação out-of-band, não de algoritmo de detecção.
Whaling é o alvo (executivo de alto valor). BEC é o resultado financeiro (fraude via fluxo de e-mail). Deepfake é a técnica (mídia sintética). Os três se sobrepõem na prática: um ataque whaling pode usar deepfake e gerar perda BEC. Para a vítima e para o regulador, o que conta é o impacto financeiro e o controle violado.
Depende do impacto. Se houver vazamento ou comprometimento de dado pessoal, aplica-se o art. 48 da LGPD, com comunicação à ANPD quando houver risco ou dano relevante. Fraudes via Pix têm rito específico definido pelo Banco Central, com bloqueio cautelar e mecanismo especial de devolução em condições previstas em regulamentação.
Os controles de maior retorno são processuais e custam pouco: callback obrigatório para mudança de conta de fornecedor, dual approval acima de limite definido, palavra-código verbal para pedidos urgentes do C-level e DMARC bem configurado (custo zero com qualquer provedor de e-mail corporativo). O investimento principal é tempo de configuração e treinamento, não licença de software.
Não é viável zerar a exposição em PME que faz marketing institucional. A defesa correta é assumir que voz e imagem são públicas e construir controles que não dependam delas: autenticação out-of-band, palavra-código rotativa e recusa institucionalizada de pedido urgente fora do canal padrão. Mesma lógica que se aplica à assinatura física: ela é pública, mas o cheque exige outros controles.
Conclusao
Para PMEs brasileiras em 2026, a presença digital executiva é simultaneamente ativo de marketing e vetor de fraude. A defesa não passa por reduzir exposição, passa por construir controles que tornam a exposição irrelevante para o atacante. Verificação out-of-band, DMARC corretamente implantado, treinamento focado no financeiro e um playbook de 90 dias resolvem a maior parte do risco com custo proporcional à realidade da PME.
O custo de implantar esses controles é baixo. O custo de operar sem eles, em 2026, deixou de ser teórico, está documentado em casos como Arup, WPP e Ferrari, e nos R$ 10,1 bilhões em fraudes bancárias reportados pela Febraban em 2024. A janela para agir antecipadamente, antes do primeiro incidente real, está aberta agora.
- FBI IC3 PSA 240911, Business Email Compromise: The $55 Billion Scam
- FBI IC3 PSA 241203, Criminals Use Generative AI to Facilitate Financial Fraud
- FBI, IC3 Annual Internet Crime Report 2024 (press release)
- RFC 7489, Domain-based Message Authentication, Reporting, and Conformance (DMARC)
- RFC 7208, Sender Policy Framework (SPF) v1
- RFC 6376, DomainKeys Identified Mail (DKIM) Signatures
- NIST SP 800-177 Rev. 1, Trustworthy Email
- NIST CSF 2.0, Cybersecurity Framework
- CISA BOD 18-01, Enhance Email and Web Security
- MITRE ATT&CK T1566.004, Spearphishing Voice (Vishing)
- MITRE ATT&CK T1656, Impersonation
- CNN, Engineering firm Arup confirms loss in Hong Kong deepfake scam (mai/2024)
- MIT Sloan Management Review, How Ferrari hit the brakes on a deepfake CEO
- EasyDMARC, 2025 DMARC Adoption Report
- Poder360/Febraban, Golpes bancários causaram R$ 10,1 bi de prejuízo em 2024
