Segurança corporativa: como cibercriminosos usam recrutamento interno para ataques

Em vez de depender apenas de ataques de força bruta, engenharia social ou exploração de vulnerabilidades, os cibercriminosos estão cada vez mais abordando funcionários em fóruns da darknet ou recebendo contato para participação voluntária deles, oferecendo recompensas financeiras para que vendam acesso ou informações sensíveis. Esse movimento cria um ponto cego crítico para as equipes de segurança, já que quando um insider desativa defesas internas, vaza credenciais ou fornece informações privilegiadas, impedir um ataque se torna exponencialmente mais difícil.

Mensagens manipulativas e altos pagamentos

Os anúncios de recrutamento na darknet variam de curtos e objetivos a manipulativos. Em um caso registrado em julho, os pesquisadores verificaram um anúncio que incentivava funcionários a “escapar do ciclo interminável de trabalho” colaborando com criminosos em troca de pagamentos que poderiam chegar à faixa de cinco a seis dígitos. Outra abordagem é direcionar mensagens a colaboradores de longa data com acesso estabelecido, apresentando a cooperação com criminosos como uma rota rápida para independência financeira.

Setores-alvo: criptomoedas, bancos e tecnologia

Uma parte significativa dessas atividades de recrutamento envolve o setor financeiro e empresas de criptomoedas. Listagens recentes verificadas pelos pesquisadores buscaram por insiders em plataformas como Coinbase, Binance, Kraken e Gemini, além de grandes empresas de consultoria como Accenture e Genpact. Até plataformas de consumo como Spotify e Netflix apareceram em anúncios de recrutamento.

Os pagamentos ofertados tipicamente variavam de US$ 3.000 a US$ 15.000 por um único acesso ou por informações específicas. Alguns anúncios chegaram a oferecer conjuntos de dados roubados de exchanges de criptomoedas, por exemplo um dataset de 37 milhões de registros de usuários por US$ 25.000, que podem ser usados para ataques altamente segmentados.

Os insiders em bancos são considerados especialmente valiosos. Um anúncio na darknet ofereceu pagamento por acesso a sistemas do Federal Reserve dos Estados Unidos (correspondente ao Banco Central daquele país) ou de bancos parceiros. Outro anúncio procurou históricos completos de transações de um grande banco europeu. Alguns esquemas ainda propõem acordos de longo prazo, incluindo pagamentos semanais de US$ 1.000 a insiders em órgãos como escritórios de impostos na Rússia.

Empresas de tecnologia sob ameaça

As empresas de tecnologia, que detêm dados sensíveis de clientes e servem como parceiros críticos de cadeia de suprimentos, também estão entre os alvos. As atividades recentes incluem:

• Anúncios procurando insiders na Apple, Samsung e Xiaomi;
• Solicitações para que funcionários da Cox Communications redefinam contas de e-mail de clientes;
• Ofertas de até US$ 10.000 para insiders em provedores de serviços de nuvem.

Na Bélgica, dados de funcionários de uma grande empresa de software, incluindo nomes, senhas, números de telefone e cargos, foram colocados à venda por US$ 25.000.

Telecomunicações, logística e esquemas de SIM swapping

Os funcionários de empresas de telecomunicações, especialmente nos Estados Unidos, são frequentemente recrutados para operações de SIM swapping, permitindo que cibercriminosos interceptem mensagens SMS e contornem autenticação de dois fatores. As recompensas por esse tipo de cooperação alcançam de US$ 10.000 a US$ 15.000.

No setor de logística, cibercriminosos buscam insiders capazes de oferecer serviços como verificação em alfândega ou manipulação de remessas, com pagamentos variando de US$ 500 a US$ 5.000.

Expansão do recrutamento por grupos de ransomware

O recrutamento de insiders não ocorre apenas em fóruns darknet. Alguns grupos de ransomware recrutam ativamente por meio de plataformas criptografadas como o Telegram. Em julho de 2025, um grupo com 400 membros anunciou acesso a um portal de ransomware e incentivou insiders, pentesters e corretores de acesso a participar e lucrar com cada sistema criptografado.

Os pesquisadores da Check Point Software chamam a atenção para o aumento do recrutamento de insiders que destaca um dos desafios mais complexos da segurança cibernética moderna. Anúncios na darknet aparecem regularmente, às vezes de atacantes buscando colaboradores internos e outras vezes de funcionários motivados por ganância, vingança ou ideologia. O uso disseminado de pagamentos anônimos em criptomoedas acelera essa tendência. Para as organizações, as consequências vão além de perdas financeiras, incluindo danos à reputação, interrupção operacional e penalidades regulatórias.

Para a proteção das organizações e para o enfrentamento da ameaça interna, os pesquisadores apontam a adoção de uma combinação de tecnologia avançada e estratégias centradas em pessoas:

• Educar a equipe sobre riscos de segurança e responsabilidades éticas;
• Monitorar comportamentos incomuns e aplicar controles rigorosos de acesso;
• Escanear ativamente a darknet em busca de ameaças emergentes;
• Implantar soluções avançadas de cibersegurança para prevenir invasões.