{"id":5335,"date":"2025-10-08T12:40:51","date_gmt":"2025-10-08T12:40:51","guid":{"rendered":"https:\/\/blog.truthscan.com\/?p=5335"},"modified":"2026-03-06T10:12:23","modified_gmt":"2026-03-06T10:12:23","slug":"deepfake-ameaca-a-salesforce","status":"publish","type":"post","link":"https:\/\/blog.truthscan.com\/pt\/deepfake-ameaca-a-salesforce\/","title":{"rendered":"A amea\u00e7a do Deepfake \u00e0 Salesforce: Quando a confian\u00e7a se torna uma arma"},"content":{"rendered":"

Em junho de 2025, um funcion\u00e1rio da Google recebeu o que parecia ser uma chamada de rotina do apoio inform\u00e1tico.<\/p>\n\n\n\n

A voz na linha parecia profissional, confiante e completamente familiar.\u00a0<\/p>\n\n\n\n

O t\u00e9cnico pediu ao empregado para aprovar uma nova aplica\u00e7\u00e3o no sistema Salesforce da empresa.<\/p>\n\n\n\n

Em poucos minutos, os atacantes tiveram acesso e roubaram 2,55 milh\u00f5es de registos de clientes do CRM da Google.<\/p>\n\n\n\n

O que tornou isto poss\u00edvel foi a utiliza\u00e7\u00e3o de tecnologia de \u00e1udio deepfake, com vozes geradas por IA t\u00e3o convincentes que enganaram uma das formas de autentica\u00e7\u00e3o mais fi\u00e1veis, o reconhecimento da voz de um colega.<\/p>\n\n\n\n

Este incidente, associado ao grupo ShinyHunters, mostra como os atacantes est\u00e3o agora a utilizar a intelig\u00eancia artificial para invadir os sistemas das empresas.<\/p>\n\n\n\n

Sendo a espinha dorsal da gest\u00e3o das rela\u00e7\u00f5es com os clientes para milh\u00f5es de organiza\u00e7\u00f5es em todo o mundo, a Salesforce tornou-se um dos principais alvos de uma nova gera\u00e7\u00e3o de ataques de engenharia social baseados em IA.<\/p>\n\n\n\n

Porque \u00e9 que a Salesforce se tornou um alvo de Deepfake<\/strong><\/h2>\n\n\n\n

O crescimento da Salesforce tamb\u00e9m a transformou num grande alvo de roubo de dados.<\/p>\n\n\n\n

Uma vez que tudo est\u00e1 centralizado, uma \u00fanica viola\u00e7\u00e3o pode expor milh\u00f5es de registos de clientes de muitas empresas diferentes.<\/p>\n\n\n\n

Como observa Tim West, Diretor de Threat Intelligence da WithSecure:<\/p>\n\n\n\n

\"Grupos de hackers como o Scattered Spider utilizam a engenharia social para obter acesso a ambientes SaaS. Os seus ataques podem parecer tecnicamente simples, mas isso n\u00e3o os torna menos perigosos.\"<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

De acordo com a nova pesquisa da WithSecure, a atividade maliciosa dentro dos ambientes do Salesforce aumentou acentuadamente no primeiro trimestre de 2025, com um aumento de vinte vezes nas detec\u00e7\u00f5es em compara\u00e7\u00e3o com o final de 2024.<\/p>\n\n\n\n

Como os Deepfakes alimentaram uma viola\u00e7\u00e3o da Salesforce<\/strong><\/h2>\n\n\n\n

O que torna os ataques recentes especialmente perigosos \u00e9 o facto de a tecnologia deepfake ter passado de uma ferramenta de nicho para algo que qualquer pessoa pode utilizar como arma.<\/p>\n\n\n\n

Ao contr\u00e1rio das viola\u00e7\u00f5es de dados tradicionais que entram diretamente nas bases de dados, os cibercriminosos est\u00e3o agora a utilizar a engenharia social baseada na voz, ou \"vishing\". Com o aumento dos deepfakes e da clonagem de voz por IA, estes ataques est\u00e3o a tornar-se muito mais dif\u00edceis de detetar.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

A campanha da ShinyHunters contra os clientes da Salesforce segue um manual eficaz que combina a engenharia social tradicional com o engano de IA de ponta:<\/p>\n\n\n\n

Fase 1: Recolha de informa\u00e7\u00f5es de voz<\/strong><\/h3>\n\n\n\n

Os atacantes come\u00e7am por recolher amostras de \u00e1udio de fontes p\u00fablicas, apresenta\u00e7\u00f5es de executivos, chamadas em confer\u00eancia, v\u00eddeos de empresas ou publica\u00e7\u00f5es em redes sociais. <\/p>\n\n\n\n

Com apenas 20-30 segundos de \u00e1udio n\u00edtido, podem criar clones de voz convincentes.<\/p>\n\n\n\n

Fase 2: A chamada de vishing do Deepfake<\/strong><\/h3>\n\n\n\n

Durante uma chamada de vishing, o atacante convence a v\u00edtima a ir \u00e0 p\u00e1gina de configura\u00e7\u00e3o da aplica\u00e7\u00e3o ligada da Salesforce e a aprovar uma vers\u00e3o falsa da aplica\u00e7\u00e3o Data Loader, disfar\u00e7ada com uma marca ligeiramente alterada.<\/p>\n\n\n\n

Com isso, a v\u00edtima, sem saber, permite que os atacantes roubem dados confidenciais do Salesforce.<\/p>\n\n\n\n

A sofistica\u00e7\u00e3o \u00e9 not\u00e1vel. Nalguns casos, os atacantes utilizaram \u00e1udio deepfake para se fazerem passar por funcion\u00e1rios e persuadir o pessoal do help desk a autorizar o acesso indevido. <\/p>\n\n\n\n

Isto representa uma evolu\u00e7\u00e3o significativa do phishing de voz tradicional, em que os atacantes se limitavam a fingir ser figuras de autoridade, para a imita\u00e7\u00e3o melhorada por IA, em que podem efetivamente parecer indiv\u00edduos espec\u00edficos.<\/p>\n\n\n\n

Fase 3: Explora\u00e7\u00e3o do OAuth<\/strong><\/h3>\n\n\n\n

Assim que a aplica\u00e7\u00e3o maliciosa \u00e9 autorizada, os atacantes contornam completamente a autentica\u00e7\u00e3o multi-fator. <\/p>\n\n\n\n

Depois de a aplica\u00e7\u00e3o falsa ser aprovada, os atacantes obt\u00eam tokens OAuth de longa dura\u00e7\u00e3o, que lhes permitem contornar a autentica\u00e7\u00e3o multi-fator e operar sem disparar os alertas de seguran\u00e7a normais.<\/p>\n\n\n\n

Fase 4: Extra\u00e7\u00e3o de dados silenciosos<\/strong><\/h3>\n\n\n\n

O Threat Intelligence Group da Google alertou para o facto de um agente de amea\u00e7as ter utilizado uma ferramenta Python para automatizar o processo de roubo de dados para cada organiza\u00e7\u00e3o visada, tendo os investigadores conhecimento de mais de 700 organiza\u00e7\u00f5es potencialmente afectadas.<\/p>\n\n\n\n

Porque \u00e9 que somos vulner\u00e1veis \u00e0s vozes da IA<\/strong><\/h2>\n\n\n\n

O sucesso destes ataques explora uma carater\u00edstica humana fundamental: a nossa tend\u00eancia para confiar no que ouvimos. <\/p>\n\n\n\n

De acordo com um estudo global recente, 70 por cento das pessoas dizem n\u00e3o estar confiantes de que conseguem identificar uma voz real versus uma voz clonada.<\/p>\n\n\n\n

Esta vulnerabilidade \u00e9 agravada em ambientes empresariais onde o pessoal do servi\u00e7o de assist\u00eancia \u00e9 treinado para ser prest\u00e1vel e complacente, e o trabalho remoto normalizou as intera\u00e7\u00f5es apenas com \u00e1udio.<\/p>\n\n\n\n

De acordo com o Relat\u00f3rio de Amea\u00e7as Globais 2025 da CrowdStrike, houve um aumento de 442% nos ataques de phishing de voz (vishing) entre o primeiro e o segundo semestre de 2024, impulsionado por t\u00e1ticas de phishing e personifica\u00e7\u00e3o geradas por IA.<\/p>\n\n\n\n

A chamada de aten\u00e7\u00e3o de $25 milh\u00f5es<\/strong><\/h2>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

As implica\u00e7\u00f5es dos ataques de deepfake v\u00e3o muito para al\u00e9m da Salesforce. <\/p>\n\n\n\n

O roubo de $25 milh\u00f5es de deepfake na empresa de engenharia Arup no in\u00edcio de 2024, em que os atacantes utilizaram a IA para se fazerem passar por v\u00e1rios executivos numa videochamada, demonstrou que nenhuma organiza\u00e7\u00e3o est\u00e1 imune a esta amea\u00e7a. <\/p>\n\n\n\n

Ataques semelhantes visaram tamb\u00e9m executivos de diferentes sectores, incluindo uma tentativa de se fazer passar pelo CEO da Ferrari, Benedetto Vigna, utilizando chamadas de voz clonadas por IA que imitavam o seu sotaque do sul de It\u00e1lia.<\/p>\n\n\n\n

Estes incidentes representam aquilo a que os especialistas em seguran\u00e7a chamam \"fraude do CEO 2.0\", ataques que v\u00e3o al\u00e9m da simples imita\u00e7\u00e3o de correio eletr\u00f3nico para criar enganos multi-sensoriais que podem enganar at\u00e9 executivos experientes.<\/p>\n\n\n\n

Seguran\u00e7a da plataforma vs. vulnerabilidade humana<\/strong><\/h2>\n\n\n\n

A Salesforce foi r\u00e1pida em enfatizar que essas viola\u00e7\u00f5es n\u00e3o representam vulnerabilidades em sua plataforma em si. <\/p>\n\n\n\n

A Salesforce reconheceu a campanha do UNC6040 em mar\u00e7o de 2025, avisando que os atacantes estavam a fazer-se passar por apoio inform\u00e1tico para enganar os funcion\u00e1rios e lev\u00e1-los a fornecer credenciais ou a aprovar aplica\u00e7\u00f5es ligadas maliciosas. <\/p>\n\n\n\n

A empresa sublinhou que estes incidentes n\u00e3o envolveram ou tiveram origem em quaisquer vulnerabilidades na sua plataforma.<\/p>\n\n\n\n

Isto mostra um grande desafio para todos os fornecedores de SaaS: descobrir como impedir ataques que jogam com a confian\u00e7a humana em vez de falhas t\u00e9cnicas.<\/p>\n\n\n\n

A Salesforce implementou v\u00e1rias medidas de defesa:<\/p>\n\n\n\n

    \n
  • Refor\u00e7o de aplica\u00e7\u00f5es ligadas: Desativa\u00e7\u00e3o autom\u00e1tica de aplica\u00e7\u00f5es ligadas n\u00e3o instaladas para novos utilizadores<\/li>\n\n\n\n
  • Restri\u00e7\u00f5es de fluxo OAuth: Desativa\u00e7\u00e3o de liga\u00e7\u00f5es obtidas atrav\u00e9s de determinados processos de autoriza\u00e7\u00e3o<\/li>\n\n\n\n
  • Monitoriza\u00e7\u00e3o melhorada: Dete\u00e7\u00e3o melhorada de padr\u00f5es suspeitos de autoriza\u00e7\u00e3o de aplica\u00e7\u00f5es<\/li>\n\n\n\n
  • Educa\u00e7\u00e3o dos utilizadores: Publica\u00e7\u00e3o de orienta\u00e7\u00f5es sobre o reconhecimento de tentativas de engenharia social<\/li>\n<\/ul>\n\n\n\n

    Em agosto de 2025, a Salesforce encerrou todas as integra\u00e7\u00f5es com as tecnologias Salesloft, incluindo a aplica\u00e7\u00e3o Drift, depois de descobrir que os tokens OAuth tinham sido roubados em ataques relacionados. <\/p>\n\n\n\n

    Os especialistas em seguran\u00e7a alertam agora para a necessidade de as equipas prestarem aten\u00e7\u00e3o a pistas subtis, como pausas estranhas, ru\u00eddo de fundo ou falhas de \u00e1udio, que podem revelar quando uma voz foi gerada por IA.<\/p>\n\n\n\n

    A resposta da empresa: Para al\u00e9m das solu\u00e7\u00f5es tecnol\u00f3gicas<\/strong><\/h2>\n\n\n\n

    As organiza\u00e7\u00f5es est\u00e3o a come\u00e7ar a reconhecer que a defesa contra ataques de deepfake requer mais do que solu\u00e7\u00f5es tecnol\u00f3gicas; exige uma reformula\u00e7\u00e3o fundamental dos processos de confian\u00e7a e verifica\u00e7\u00e3o.<\/p>\n\n\n\n

    Comunica\u00e7\u00e3o de confian\u00e7a zero<\/strong><\/h3>\n\n\n\n

    O RealityCheck da Beyond Identity d\u00e1 a cada participante um crach\u00e1 de identidade vis\u00edvel e verificado, apoiado por autentica\u00e7\u00e3o criptogr\u00e1fica de dispositivos e verifica\u00e7\u00f5es cont\u00ednuas de risco, atualmente dispon\u00edvel para o Zoom e o Microsoft Teams. <\/p>\n\n\n\n

    Estas solu\u00e7\u00f5es representam uma mudan\u00e7a para modelos de comunica\u00e7\u00e3o empresarial do tipo \"nunca confiar, sempre verificar\".<\/p>\n\n\n\n

    Programas de forma\u00e7\u00e3o melhorados<\/strong><\/h3>\n\n\n\n

    As organiza\u00e7\u00f5es que utilizam a plataforma de simula\u00e7\u00e3o de deepfake da Resemble AI registam uma redu\u00e7\u00e3o de at\u00e9 90% nos ataques bem-sucedidos ap\u00f3s a implementa\u00e7\u00e3o da plataforma, que utiliza simula\u00e7\u00f5es hiper-realistas para ilustrar a forma como os ataques de deepfake se desenrolam no mundo real.<\/p>\n\n\n\n

    Verifica\u00e7\u00e3o multi-canal<\/strong><\/h3>\n\n\n\n

    As organiza\u00e7\u00f5es l\u00edderes est\u00e3o a implementar protocolos que exigem a verifica\u00e7\u00e3o atrav\u00e9s de m\u00faltiplos canais para quaisquer pedidos de alto risco, independentemente da autenticidade da comunica\u00e7\u00e3o inicial.<\/p>\n\n\n\n

    Quando a voz deixa de ser verdade<\/strong><\/h2>\n\n\n\n

    A amea\u00e7a de deepfake \u00e0 Salesforce e a outros sistemas empresariais representa um ponto de inflex\u00e3o na hist\u00f3ria da ciberseguran\u00e7a. <\/p>\n\n\n\n

    Pela primeira vez, os atacantes n\u00e3o se podem limitar a fazer-se passar por figuras de autoridade; podem, de facto, parecer-se com elas e convencer at\u00e9 mesmo profissionais de seguran\u00e7a treinados a tomar medidas que comprometam a seguran\u00e7a da organiza\u00e7\u00e3o.<\/p>\n\n\n\n

    Numa era de enganos gerados pela IA, a confian\u00e7a tem de ser conquistada atrav\u00e9s da verifica\u00e7\u00e3o e n\u00e3o assumida atrav\u00e9s da familiaridade.<\/p>\n\n\n\n

    As empresas que compreendem este facto e investem nas ferramentas, processos e cultura corretos estar\u00e3o em melhor posi\u00e7\u00e3o para proteger a seguran\u00e7a e a confian\u00e7a num mundo digital cada vez mais incerto.<\/p>\n\n\n\n

    Nesta nova realidade, a voz do outro lado da linha pode n\u00e3o ser quem parece.<\/p>\n\n\n\n

    Na era dos deepfakes, a vigil\u00e2ncia constante \u00e9 o pre\u00e7o da seguran\u00e7a.<\/p>","protected":false},"excerpt":{"rendered":"

    Em junho de 2025, um funcion\u00e1rio da Google recebeu o que parecia ser uma chamada de rotina de [...]<\/p>","protected":false},"author":15,"featured_media":5339,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_lock_modified_date":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[31],"tags":[],"class_list":["post-5335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-helpful-ai-content-tips"],"_links":{"self":[{"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/posts\/5335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/comments?post=5335"}],"version-history":[{"count":3,"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/posts\/5335\/revisions"}],"predecessor-version":[{"id":5343,"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/posts\/5335\/revisions\/5343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/media\/5339"}],"wp:attachment":[{"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/media?parent=5335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/categories?post=5335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.truthscan.com\/pt\/wp-json\/wp\/v2\/tags?post=5335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}