{"id":5335,"date":"2025-10-08T12:40:51","date_gmt":"2025-10-08T12:40:51","guid":{"rendered":"https:\/\/blog.truthscan.com\/?p=5335"},"modified":"2026-03-06T10:12:23","modified_gmt":"2026-03-06T10:12:23","slug":"ameaca-do-deepfake-a-salesforce","status":"publish","type":"post","link":"https:\/\/blog.truthscan.com\/br\/ameaca-do-deepfake-a-salesforce\/","title":{"rendered":"A amea\u00e7a do Deepfake \u00e0 Salesforce: Quando a confian\u00e7a se torna uma arma"},"content":{"rendered":"

Em junho de 2025, um funcion\u00e1rio do Google recebeu o que parecia ser uma liga\u00e7\u00e3o de rotina do suporte de TI.<\/p>\n\n\n\n

A voz na linha parecia profissional, confiante e completamente familiar.\u00a0<\/p>\n\n\n\n

O t\u00e9cnico pediu ao funcion\u00e1rio que aprovasse um novo aplicativo no sistema Salesforce da empresa.<\/p>\n\n\n\n

Em poucos minutos, os invasores tiveram acesso e roubaram 2,55 milh\u00f5es de registros de clientes do CRM do Google.<\/p>\n\n\n\n

O que tornou isso poss\u00edvel foi o uso da tecnologia de \u00e1udio deepfake, com vozes geradas por IA t\u00e3o convincentes que enganaram uma das formas mais confi\u00e1veis de autentica\u00e7\u00e3o, o reconhecimento da voz de um colega.<\/p>\n\n\n\n

Esse incidente, vinculado ao grupo ShinyHunters, mostra como os invasores est\u00e3o usando a intelig\u00eancia artificial para invadir os sistemas das empresas.<\/p>\n\n\n\n

Como a espinha dorsal do gerenciamento de relacionamento com o cliente para milh\u00f5es de organiza\u00e7\u00f5es em todo o mundo, o Salesforce se tornou um dos principais alvos de uma nova gera\u00e7\u00e3o de ataques de engenharia social com tecnologia de IA.<\/p>\n\n\n\n

Por que a Salesforce se tornou um alvo de Deepfake<\/strong><\/h2>\n\n\n\n

O crescimento da Salesforce tamb\u00e9m a transformou em um grande alvo para o roubo de dados.<\/p>\n\n\n\n

Como tudo \u00e9 centralizado, uma \u00fanica viola\u00e7\u00e3o pode expor milh\u00f5es de registros de clientes de muitas empresas diferentes.<\/p>\n\n\n\n

Como observa Tim West, chefe de intelig\u00eancia contra amea\u00e7as da WithSecure:<\/p>\n\n\n\n

\"Grupos de hackers como o Scattered Spider utilizam engenharia social para obter acesso a ambientes SaaS. Seus ataques podem parecer tecnicamente simples, mas isso n\u00e3o os torna menos perigosos.\"<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

De acordo com a nova pesquisa da WithSecure, a atividade mal-intencionada dentro dos ambientes do Salesforce aumentou acentuadamente no primeiro trimestre de 2025, com um aumento de vinte vezes nas detec\u00e7\u00f5es em compara\u00e7\u00e3o com o final de 2024.<\/p>\n\n\n\n

Como os Deepfakes alimentaram uma viola\u00e7\u00e3o da Salesforce<\/strong><\/h2>\n\n\n\n

O que torna os ataques recentes especialmente perigosos \u00e9 o fato de a tecnologia deepfake ter mudado de uma ferramenta de nicho para algo que qualquer pessoa pode usar como arma.<\/p>\n\n\n\n

Ao contr\u00e1rio das viola\u00e7\u00f5es de dados tradicionais que invadem diretamente os bancos de dados, os criminosos cibern\u00e9ticos agora est\u00e3o usando engenharia social baseada em voz, ou \"vishing\". Com o aumento de deepfakes e clonagem de voz por IA, esses ataques est\u00e3o se tornando muito mais dif\u00edceis de detectar.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

A campanha da ShinyHunters contra os clientes da Salesforce segue um manual eficaz que combina a engenharia social tradicional com o engano de IA de ponta:<\/p>\n\n\n\n

Fase 1: coleta de intelig\u00eancia de voz<\/strong><\/h3>\n\n\n\n

Os invasores come\u00e7am coletando amostras de \u00e1udio de fontes p\u00fablicas, apresenta\u00e7\u00f5es de executivos, chamadas em confer\u00eancia, v\u00eddeos da empresa ou publica\u00e7\u00f5es em m\u00eddias sociais. <\/p>\n\n\n\n

Com apenas 20 a 30 segundos de \u00e1udio n\u00edtido, eles podem criar clones de voz convincentes.<\/p>\n\n\n\n

Fase 2: a chamada de vishing do Deepfake<\/strong><\/h3>\n\n\n\n

Durante uma chamada de vishing, o invasor convence a v\u00edtima a acessar a p\u00e1gina de configura\u00e7\u00e3o do aplicativo conectado do Salesforce e aprovar uma vers\u00e3o falsa do aplicativo Data Loader, disfar\u00e7ada com uma marca ligeiramente alterada.<\/p>\n\n\n\n

Com isso, a v\u00edtima, sem saber, permite que os invasores roubem dados confidenciais do Salesforce.<\/p>\n\n\n\n

A sofistica\u00e7\u00e3o \u00e9 not\u00e1vel. Em alguns casos, os invasores usaram \u00e1udio deepfake para se fazer passar por funcion\u00e1rios e persuadir a equipe de help desk a autorizar o acesso indevido. <\/p>\n\n\n\n

Isso representa uma evolu\u00e7\u00e3o significativa do phishing de voz tradicional, em que os invasores simplesmente fingiam ser figuras de autoridade, para a personifica\u00e7\u00e3o aprimorada por IA, em que eles podem realmente soar como indiv\u00edduos espec\u00edficos.<\/p>\n\n\n\n

Fase 3: Explora\u00e7\u00e3o do OAuth<\/strong><\/h3>\n\n\n\n

Quando o aplicativo malicioso \u00e9 autorizado, os invasores ignoram totalmente a autentica\u00e7\u00e3o multifator. <\/p>\n\n\n\n

Depois que o aplicativo falso \u00e9 aprovado, os invasores obt\u00eam tokens OAuth de longa dura\u00e7\u00e3o, o que lhes permite ignorar a autentica\u00e7\u00e3o multifator e operar sem disparar os alertas de seguran\u00e7a normais.<\/p>\n\n\n\n

Fase 4: Extra\u00e7\u00e3o de dados silenciosos<\/strong><\/h3>\n\n\n\n

O Grupo de Intelig\u00eancia contra Amea\u00e7as do Google alertou que um agente de amea\u00e7as usou uma ferramenta Python para automatizar o processo de roubo de dados para cada organiza\u00e7\u00e3o visada, com pesquisadores cientes de mais de 700 organiza\u00e7\u00f5es potencialmente afetadas.<\/p>\n\n\n\n

Por que somos vulner\u00e1veis \u00e0s vozes da IA<\/strong><\/h2>\n\n\n\n

O sucesso desses ataques explora uma caracter\u00edstica humana fundamental: nossa tend\u00eancia de confiar no que ouvimos. <\/p>\n\n\n\n

De acordo com um estudo global recente, 70% das pessoas dizem n\u00e3o ter certeza de que podem identificar uma voz real em compara\u00e7\u00e3o com uma voz clonada.<\/p>\n\n\n\n

Essa vulnerabilidade \u00e9 agravada em ambientes corporativos em que a equipe de help desk \u00e9 treinada para ser prestativa e complacente, e o trabalho remoto normalizou as intera\u00e7\u00f5es somente por \u00e1udio.<\/p>\n\n\n\n

De acordo com o Relat\u00f3rio de Amea\u00e7as Globais de 2025 da CrowdStrike, houve um aumento de 442% nos ataques de phishing de voz (vishing) entre o primeiro e o segundo semestre de 2024, impulsionado por t\u00e1ticas de phishing e personifica\u00e7\u00e3o geradas por IA.<\/p>\n\n\n\n

O alerta de $25 milh\u00f5es<\/strong><\/h2>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

As implica\u00e7\u00f5es dos ataques aprimorados por deepfake v\u00e3o muito al\u00e9m da Salesforce. <\/p>\n\n\n\n

O roubo de $25 milh\u00f5es de deepfake na empresa de engenharia Arup no in\u00edcio de 2024, em que os invasores usaram IA para se passar por v\u00e1rios executivos em uma chamada de v\u00eddeo, demonstrou que nenhuma organiza\u00e7\u00e3o est\u00e1 imune a essa amea\u00e7a. <\/p>\n\n\n\n

Ataques semelhantes tamb\u00e9m tiveram como alvo executivos de diferentes setores, incluindo uma tentativa de se passar pelo CEO da Ferrari, Benedetto Vigna, usando chamadas de voz clonadas por IA que imitavam seu sotaque do sul da It\u00e1lia.<\/p>\n\n\n\n

Esses incidentes representam o que os especialistas em seguran\u00e7a chamam de \"fraude de CEO 2.0\", ataques que v\u00e3o al\u00e9m da simples personifica\u00e7\u00e3o de e-mail para criar enganos multissensoriais que podem enganar at\u00e9 mesmo executivos experientes.<\/p>\n\n\n\n

Seguran\u00e7a da plataforma vs. vulnerabilidade humana<\/strong><\/h2>\n\n\n\n

A Salesforce foi r\u00e1pida em enfatizar que essas viola\u00e7\u00f5es n\u00e3o representam vulnerabilidades em sua plataforma em si. <\/p>\n\n\n\n

A Salesforce reconheceu a campanha do UNC6040 em mar\u00e7o de 2025, alertando que os invasores estavam se passando pelo suporte de TI para enganar os funcion\u00e1rios e faz\u00ea-los fornecer credenciais ou aprovar aplicativos conectados maliciosos. <\/p>\n\n\n\n

A empresa enfatizou que esses incidentes n\u00e3o envolveram ou se originaram de nenhuma vulnerabilidade em sua plataforma.<\/p>\n\n\n\n

Isso mostra um grande desafio para todos os provedores de SaaS: descobrir como impedir ataques que se baseiam na confian\u00e7a humana em vez de falhas t\u00e9cnicas.<\/p>\n\n\n\n

A Salesforce implementou v\u00e1rias medidas defensivas:<\/p>\n\n\n\n

    \n
  • Fortalecimento de aplicativos conectados: Desativa\u00e7\u00e3o autom\u00e1tica de aplicativos conectados n\u00e3o instalados para novos usu\u00e1rios<\/li>\n\n\n\n
  • Restri\u00e7\u00f5es de fluxo OAuth: Desativa\u00e7\u00e3o de conex\u00f5es obtidas usando determinados processos de autoriza\u00e7\u00e3o<\/li>\n\n\n\n
  • Monitoramento aprimorado: Detec\u00e7\u00e3o aprimorada de padr\u00f5es suspeitos de autoriza\u00e7\u00e3o de aplicativos<\/li>\n\n\n\n
  • Educa\u00e7\u00e3o do usu\u00e1rio: Publica\u00e7\u00e3o de orienta\u00e7\u00f5es sobre o reconhecimento de tentativas de engenharia social<\/li>\n<\/ul>\n\n\n\n

    Em agosto de 2025, a Salesforce fechou todas as integra\u00e7\u00f5es com as tecnologias da Salesloft, incluindo o aplicativo Drift, depois de descobrir que os tokens OAuth haviam sido roubados em ataques relacionados. <\/p>\n\n\n\n

    Os especialistas em seguran\u00e7a agora alertam que as equipes precisam ouvir pistas sutis, como pausas estranhas, ru\u00eddo de fundo ou falhas de \u00e1udio, que podem revelar quando uma voz foi gerada por IA.<\/p>\n\n\n\n

    A resposta da empresa: Al\u00e9m das solu\u00e7\u00f5es tecnol\u00f3gicas<\/strong><\/h2>\n\n\n\n

    As organiza\u00e7\u00f5es est\u00e3o come\u00e7ando a reconhecer que a defesa contra ataques aprimorados por deepfake exige mais do que solu\u00e7\u00f5es tecnol\u00f3gicas; exige uma reformula\u00e7\u00e3o fundamental dos processos de confian\u00e7a e verifica\u00e7\u00e3o.<\/p>\n\n\n\n

    Comunica\u00e7\u00e3o de confian\u00e7a zero<\/strong><\/h3>\n\n\n\n

    O RealityCheck da Beyond Identity oferece a cada participante um crach\u00e1 de identidade vis\u00edvel e verificado, apoiado por autentica\u00e7\u00e3o de dispositivo criptogr\u00e1fico e verifica\u00e7\u00f5es cont\u00ednuas de risco, atualmente dispon\u00edvel para o Zoom e o Microsoft Teams. <\/p>\n\n\n\n

    Essas solu\u00e7\u00f5es representam uma mudan\u00e7a em dire\u00e7\u00e3o aos modelos \"nunca confie, sempre verifique\" para a comunica\u00e7\u00e3o empresarial.<\/p>\n\n\n\n

    Programas de treinamento aprimorados<\/strong><\/h3>\n\n\n\n

    As organiza\u00e7\u00f5es que usam a plataforma de simula\u00e7\u00e3o de deepfake da Resemble AI relatam uma redu\u00e7\u00e3o de at\u00e9 90% nos ataques bem-sucedidos ap\u00f3s a implementa\u00e7\u00e3o da plataforma, que utiliza simula\u00e7\u00f5es hiper-realistas para ilustrar como os ataques de deepfake se desenvolvem no mundo real.<\/p>\n\n\n\n

    Verifica\u00e7\u00e3o multicanal<\/strong><\/h3>\n\n\n\n

    As principais organiza\u00e7\u00f5es est\u00e3o implementando protocolos que exigem verifica\u00e7\u00e3o por meio de v\u00e1rios canais para todas as solicita\u00e7\u00f5es de alto risco, independentemente da autenticidade da comunica\u00e7\u00e3o inicial.<\/p>\n\n\n\n

    Quando a voz n\u00e3o \u00e9 mais a verdade<\/strong><\/h2>\n\n\n\n

    A amea\u00e7a de deepfake ao Salesforce e a outros sistemas corporativos representa um ponto de inflex\u00e3o na hist\u00f3ria da seguran\u00e7a cibern\u00e9tica. <\/p>\n\n\n\n

    Pela primeira vez, os invasores n\u00e3o podem apenas se passar por figuras de autoridade; eles podem realmente se parecer com elas e convencer at\u00e9 mesmo profissionais de seguran\u00e7a treinados a tomar medidas que comprometam a seguran\u00e7a organizacional.<\/p>\n\n\n\n

    Em uma era de enganos gerados por IA, a confian\u00e7a precisa ser conquistada por meio de verifica\u00e7\u00e3o, e n\u00e3o presumida por meio da familiaridade.<\/p>\n\n\n\n

    As empresas que entenderem isso e investirem nas ferramentas, nos processos e na cultura certos estar\u00e3o na melhor posi\u00e7\u00e3o para proteger a seguran\u00e7a e a confian\u00e7a em um mundo digital cada vez mais incerto.<\/p>\n\n\n\n

    Nessa nova realidade, a voz do outro lado da linha pode n\u00e3o ser quem parece ser.<\/p>\n\n\n\n

    Na era dos deepfakes, a vigil\u00e2ncia constante \u00e9 o pre\u00e7o da seguran\u00e7a.<\/p>","protected":false},"excerpt":{"rendered":"

    Em junho de 2025, um funcion\u00e1rio do Google recebeu o que parecia ser uma liga\u00e7\u00e3o de rotina de [...]<\/p>","protected":false},"author":15,"featured_media":5339,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_lock_modified_date":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[31],"tags":[],"class_list":["post-5335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-helpful-ai-content-tips"],"_links":{"self":[{"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/posts\/5335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/comments?post=5335"}],"version-history":[{"count":3,"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/posts\/5335\/revisions"}],"predecessor-version":[{"id":5343,"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/posts\/5335\/revisions\/5343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/media\/5339"}],"wp:attachment":[{"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/media?parent=5335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/categories?post=5335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.truthscan.com\/br\/wp-json\/wp\/v2\/tags?post=5335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}