Créditos: Freepik
13-11-2025 às 08h20
Brenda Beltramin*
Um simples e-mail. Foi assim que começou o ataque que levou a Mattel — uma das maiores fabricantes de brinquedos do mundo, dona de marcas como Barbie, Hot Wheels e Fisher-Price — a transferir 3 milhões de dólares para uma conta controlada por criminosos.
O episódio, que poderia ter terminado de forma muito pior, é um alerta sobre como ataques direcionados e de alta complexidade podem passar despercebidos até mesmo em empresas globalmente estruturadas. A lição resta clara: as empresas precisam estar preparadas para ataques cibernéticos de alta complexidade, que são os mais propensos a gerar prejuízos financeiros de alto valor.
O caso da Mattel se iniciou quando cybercriminosos chineses lançaram uma campanha de phishing tendo como alvo funcionários da empresa. As medidas de segurança técnicas e organizacionais da empresa foram suficientes para evitar que esse ataque resultasse em prejuízos de forma imediata, mas os invasores conseguiram algo ainda mais valioso: acesso a informações internas.
Exatamente como planejado, por meio dessa ação os cybercriminosos conseguiram comprometer algumas contas e dispositivos – de analistas e pessoal operacional –, o que permitiu que passassem meses observando e coletando dados estratégicos, por exemplo, relacionados a transações financeiras para fornecedores, ao funcionamento da tomada de decisões no alto escalão e às prioridades da companhia.
E aguardaram. O cybercrime de alta complexidade é um exercício de paciência.
No início de 2015, a troca de CEO da empresa começou a construir um ambiente propício para a oportunidade que os cybercriminosos aguardavam. A mudança de hierarquia implicava em um período de transição de gestão que poderia ser terreno fértil para ataques bem-sucedidos.
Então, no dia 30 de abril, os cybercriminosos prepararam um e-mail passando-se pelo novo CEO, direcionado a uma pessoa do alto escalão do setor financeiro. No e-mail, o “CEO” solicitava o pagamento de 3 milhões de dólares a um fornecedor chinês da Mattel. Tratando-se de um pedido diretamente do CEO, o pagamento foi feito prontamente pelo destinatário.
A empresa possuía um mecanismo de aprovação de pagamento que exigia a confirmação por parte de duas pessoas da alta gestão. No entanto, o destinatário do e-mail afirmou que, uma vez que a solicitação foi realizada diretamente pelo CEO, ele presumiu que a outra aprovação já havia sido obtida. Exatamente como os criminosos previram, uma fragilidade nos procedimentos operacionais possibilitou que o ataque fosse bem sucedido.
Horas depois, em conversa com o verdadeiro CEO, o engano foi descoberto. A Mattel acionou imediatamente o banco e autoridades internacionais. Por sorte, o 1º de maio era feriado na China e o valor ainda não havia sido compensado – vale lembrar que em 2015 os pagamentos instantâneos não eram tão comuns quanto atualmente. Assim, foi possível recuperar o dinheiro.
Outras empresas, no entanto, não tiveram a mesma sorte. Apenas um ano depois, a austríaca FACC — fornecedora global de componentes aeronáuticos — sofreu um ataque idêntico. O resultado: 50 milhões de dólares em prejuízo e a demissão do CEO e do CFO.
Deepfakes: como uma decisão tomada em vídeo conferência com o CEO da Arup resultou em prejuízo de mais de 25 mil dólares para a empresa
Vale notar que se passaram quase 10 anos dos casos mencionados. Os cyberataques tem evoluído significativamente, além de se tornarem cada vez mais comuns.
Em 2024, a Arup, multinacional do setor de construção, foi vítima de uma fraude baseada em deepfake. Nesse caso, não se tratou de um e-mail: o alvo em questão participou de uma videoconferência com o “CEO da empresa” e “outros funcionários”. Durante a call, o CEO solicitou que fossem realizadas 15 transferências para diferentes contas em Hong Kong, totalizando mais de 25 mil dólares, as quais foram pagas.
Posteriormente, revelou-se que a videoconferência foi armada com simulações de imagem e voz feitas por inteligência artificial. A empresa não foi capaz de recuperar o montante.
O chefe de TI global da Arup comentou, ainda, que a empresa já havia sido alvo de tentativas de golpe por meio de deepfakes em outras situações.
No mesmo ano, o CEO da WPP, uma das maiores companhias de publicidade do mundo, recebeu uma mensagem no whatsapp de um novo contato alegando ser um executivo sênior da empresa e solicitando uma reunião com o CEO.
Um ataque que, à primeira vista, parecia simples — semelhante aos “golpes do Pix” que costumam ganhar as manchetes — revelou-se sofisticado. Durante a reunião, os criminosos utilizaram um clone de voz do executivo e imagens extraídas do YouTube para se passar por ele de forma convincente. O falso executivo solicitava transferências e o compartilhamento de dados pessoais sob o pretexto de viabilizar um novo negócio. Felizmente, os executivos perceberam a tempo que se tratava de uma fraude e conseguiram evitar o prejuízo.
O que esses casos têm em comum
Os casos explorados confirmam a máxima da segurança da informação: o elo mais vulnerável é sempre o fator humano.
Nos ataques de alta complexidade, os cybercriminosos não atuam como “dois caras numa moto”, em um crime oportunista que implica em abordar o alvo mais fácil. Pelo contrário: nesse tipo de cyberataque, engenharia social é construída com base em informações corporativas e ferramentas de IA cada vez mais avançadas.
Os criminosos estudaram cuidadosamente as empresas, seus líderes e processos internos para criar mensagens plausíveis, no momento exato em que a vulnerabilidade organizacional seria maior — como durante trocas de liderança ou reestruturações.
Os episódios abordados evidenciam que a segurança cibernética corporativa depende, cada vez mais, da capacidade humana de identificar e reagir a ameaças sofisticadas. A combinação entre engenharia social e tecnologias como inteligência artificial amplia o alcance e o impacto desses ataques, tornando ineficaz qualquer defesa baseada apenas em soluções técnicas.
Mais do que investir em sistemas de proteção, é indispensável construir uma cultura organizacional que priorize a conscientização, o treinamento contínuo e a comunicação entre áreas, especialmente na alta gestão — que, como mostram os casos, segue sendo o principal alvo dos ataques mais elaborados.
*Brenda Beltramin é Advogada especializada em Direito Digital e Proteção de Dados
Certificada Information Privacy Manager pela International Association of Privacy Professionals (CIPM/IAPP); Formada em Direito pela Universidade Federal de Minas Gerais (UFMG)
