Pequenas empresas vivem um paradoxo: por um lado, precisam ser ágeis, digitais e conectadas; por outro, essa mesma conectividade amplia a superfície de ataque. Em escala global, o volume de ameaças é massivo , a Microsoft reportou, em novembro de 2024, cerca de 600 milhões de ciberataques por dia , e os criminosos têm preferência por caminhos de baixo custo e alto retorno, como phishing, roubo de credenciais e fraudes por e-mail.
Os números reforçam a urgência. Segundo dados divulgados em abril de 2025, as perdas com cibercrime nos EUA em 2024 chegaram ao recorde de US$ 16,6 bilhões, e phishing/spoofing foi a categoria mais reportada (193.407 queixas). Para pequenas empresas, a meta não é “zerar risco”, mas reduzir a probabilidade de incidentes e, sobretudo, impedir transferências indevidas, sequestro de contas e decisões tomadas sob pressão , agora também com a complicação dos deepfakes.
1) Por que o phishing continua sendo o ataque preferido
Phishing não é só “um e-mail estranho”: é um conjunto de técnicas de engenharia social para induzir cliques, entrega de senhas, pagamento de boletos, instalação de malware ou aprovação de transações. Ele evolui continuamente, copiando marcas, linguagem e rotinas internas, e explorando “o elemento humano”, algo que o Verizon DBIR 2025 volta a destacar como decisivo em incidentes e violações.
As estatísticas mostram consistência ano após ano. O IC3 (FBI) registrou em 2023 mais de 298.000 queixas de phishing/spoofing, e, em 2024, o phishing/spoofing voltou a ser a categoria mais reportada. Em paralelo, relatórios da Microsoft apontam o peso dos ataques a identidade: no Microsoft Digital Defense Report (nov/2024), “password attacks make up 99% of all identity attacks”, o que ajuda a explicar por que golpes de senha e login são tão frequentes.
Para uma pequena empresa, o impacto pode ser desproporcional: uma conta de e-mail comprometida pode abrir portas para cobranças falsas, pedidos de “mudança de dados bancários”, acesso a plataformas de anúncios e até a movimentação de caixa. O DBIR 2025 também observa aumento de exploração de vulnerabilidades (+34% global), mas, na prática diária das SMBs, a combinação “phishing + credenciais” segue sendo uma das rotas mais comuns de entrada.
2) BEC (Business Email Compromise): o golpe que mira o dinheiro
BEC é uma categoria de fraude em que o atacante se passa por um executivo, fornecedor, cliente ou parceiro para induzir pagamentos, redirecionar faturas ou alterar contas bancárias. Diferente de muitos malwares, o BEC pode ocorrer sem anexos e sem links , apenas com conversa, persuasão e credibilidade aparente.
O IC3 estima perdas de aproximadamente US$ 2,8 bilhões com BEC em 2024. Em 2023, as perdas reportadas por BEC ficaram em torno de US$ 2,9 bilhões. E um alerta (PSA) do IC3 atualizado em setembro de 2024 reforça a dimensão acumulada: BEC/EAC somou uma “exposed dollar loss” global de ~US$ 55,5 bilhões entre outubro/2013 e dezembro/2023, destacando explicitamente que pequenas empresas também são alvo.
Na prática, o BEC prospera quando a empresa não tem um processo robusto para autorizar pagamentos e alterações cadastrais. Se “mudar a conta bancária do fornecedor” pode ser feito só por e-mail, sem validação fora de banda, o golpe encontra terreno fértil. E, quando combinado com invasão de e-mail (account compromise), o criminoso pode acompanhar conversas reais e agir no momento de maior plausibilidade.
3) Deepfakes entram no jogo: voz e vídeo como armas de fraude
O risco não é mais apenas “texto convincente”. Em fevereiro de 2024, a polícia de Hong Kong relatou um caso emblemático de deepfake em videoconferência: um funcionário realizou transferências de aproximadamente US$ 25 milhões após participar de uma “reunião” com um CFO falso e outros “colegas” falsos. A imprensa identificou o caso como envolvendo a Arup, descrevendo 15 transferências para 5 contas, totalizando cerca de HK$ 200 milhões (~US$ 25 milhões).
A frase citada pela polícia é particularmente útil para treinamentos, porque descreve o choque cognitivo que deepfakes pretendem explorar: “everyone [he saw] was fake”. Ou seja, não é apenas um avatar isolado; a fraude pode encenar um contexto inteiro, com múltiplas “pessoas”, para reduzir a desconfiança e acelerar decisões.
Para pequenas empresas, deepfakes elevam o risco de golpes de autorização (pagamentos, reset de senha, acesso a sistemas) e golpes “emocionais” (urgência, ameaça, medo). O ponto central é que ver e ouvir não é mais prova suficiente: processos precisam exigir validação por múltiplos fatores e por canais independentes.
4) Sinais de alerta: urgência, pressão e “personificação”
Grande parte das fraudes bem-sucedidas tem um padrão: pressão, urgência e autoridade. A FTC (EUA) vem reforçando o problema de golpes de impersonation (personificação de governo e empresas). Em abril de 2025, a FTC informou que golpes de impersonation causaram US$ 2,95 bilhões em perdas de consumidores em 2024, e que uma regra contra impersonação está em vigor desde abril de 2024.
Uma frase “de bolso” da FTC (março de 2024) ilustra bem o padrão de manipulação: a FTC “will never tell consumers to move their money to ‘protect’ it”. Essa lógica se adapta ao ambiente corporativo: “pague agora para evitar multa”, “transfira para uma conta segura”, “mude o cadastro imediatamente”. Também em março de 2024, a FTC apontou que a mediana de perda em golpes que se passam pela própria FTC subiu de US$ 3.000 (2019) para US$ 7.000 (2024), sugerindo maior eficácia e agressividade.
Além disso, a própria categoria “government impersonation” teve perdas reportadas de US$ 618 milhões em 2023 (FTC, jun/2024). Mesmo quando o alvo é consumidor, os mecanismos se repetem em empresas: voz de “suporte”, e-mail com timbre “oficial”, e scripts que exigem segredo, rapidez e quebra de procedimento.
5) Controle de identidade: a base para resistir a phishing
Como o roubo/abuso de credenciais é tão central, proteger identidade é o melhor “retorno por esforço” para SMBs. O Microsoft Digital Defense Report destacou que ataques a senha compõem 99% dos ataques a identidade (nov/2024). E, no Microsoft IR (MDDR 2025), 28% das violações iniciaram por phishing ou engenharia social, mostrando como a etapa inicial costuma ser humana e credencial.
A recomendação prática é migrar o máximo possível para autenticação resistente a phishing: MFA forte (não apenas SMS), chaves de segurança ou passkeys. O NIST SP 800-63 Rev.4 (final, jul/2025) inclui controles para lidar com “forged media (e.g., deep fakes)” e integra “syncable authenticators (e.g., synced passkeys)”. Na família SP 800-63B Rev.4, a resistência a phishing aparece como boa prática com exigências por nível: em AAL2 é “Recommended; Must be available”; em AAL3 é “Required”.
Na rotina, isso se traduz em: exigir MFA em e-mail, VPN, ERP/financeiro, CRM e ferramentas de colaboração; bloquear logins de risco; ativar políticas de acesso condicional; e reduzir privilégios. Mesmo sem “equipe de segurança”, dá para elevar bastante o nível de proteção apenas fortalecendo a camada de identidade.
6) Processos anti-fraude no financeiro: “duas pessoas, dois canais”
Para BEC e deepfakes, o antídoto mais eficiente é processo. Estabeleça uma política formal: qualquer alteração de dados bancários de fornecedor, qualquer pagamento fora do padrão e qualquer pedido “urgente” de diretoria exige validação fora de banda (por exemplo, ligação para um número já cadastrado, ou confirmação em um canal interno previamente acordado).
Uma boa regra operacional é “duas pessoas, dois canais”: uma pessoa inicia a solicitação e outra aprova, e a validação acontece por um canal diferente do canal que originou o pedido. Se o pedido veio por e-mail, valide por telefone (número conhecido) ou por um chat corporativo com autenticação forte; se veio por chat, valide por ligação. Isso reduz a chance de um único comprometimento (como e-mail invadido) levar a perda financeira imediata.
Também ajuda criar “listas de verificação” simples para o time financeiro: houve mudança de conta? há pressão de tempo? pediram sigilo? o domínio do e-mail é realmente o do fornecedor? a fatura segue o padrão histórico? Pequenas empresas não precisam de burocracia pesada; precisam de consistência nas etapas mínimas antes de movimentar dinheiro.
7) Treinamento e simulações: do phishing ao “CFO em vídeo”
Treinamento eficaz é específico e repetido, não um evento anual. O DBIR 2025 (EMEA) cita phishing em 19% das violações na região e recomenda explicitamente treinamento + controle de acesso + zero trust. Para SMBs, isso significa capacitar as pessoas a reconhecer padrões (urgência, links encurtados, anexos inesperados, pedidos fora do procedimento) e a usar os mecanismos de reporte.
Inclua cenários modernos: mensagens em ferramentas de chat, pedidos de “suporte técnico” e convites de reunião. No caso de deepfakes, use exemplos inspirados no incidente de Hong Kong: uma “reunião” com várias pessoas aparentemente legítimas. A citação “everyone [he saw] was fake” funciona como gatilho pedagógico: mesmo uma sala cheia de rostos conhecidos pode ser encenação.
Treinamento sem prática perde efeito. Faça simulações curtas de phishing e exercícios de mesa (tabletop) sobre “pedido de pagamento urgente”, “mudança de conta bancária” e “reset de MFA”. Meça o tempo de resposta, refine o playbook e deixe claro que pausar para checar não é “atrasar o negócio”, é proteger a empresa.
8) Ferramentas e padrões para lidar com conteúdo sintético e auditoria
Além de processos, existem abordagens técnicas para reduzir o risco de deepfakes e conteúdo sintético. O NIST AI 100-4 (nov/2024) traz um panorama técnico para reduzir riscos de conteúdo sintético, cobrindo proveniência/autenticação, rotulagem (watermark), detecção e auditoria. Para pequenas empresas, a aplicação prática é escolher plataformas e fornecedores que ofereçam registros, trilhas de auditoria e recursos de verificação quando disponíveis.
Na comunicação interna, vale criar “regras de confiança”: decisões sensíveis não devem ser tomadas apenas com base em áudio/vídeo. Para pedidos de alto impacto (pagamentos, acesso, mudança de credenciais), exija autenticação forte e confirmação independente. Se a empresa usa gravações de reuniões, mantenha controles de acesso e registre quem baixou/compartilhou arquivos, pois vazamentos podem alimentar clonagem de voz e criação de deepfakes.
Por fim, trate logs como um ativo. Ative auditoria em e-mail e suites de colaboração, centralize alertas (mesmo que em uma caixa de e-mail dedicada), e defina retenção mínima. Em incidentes, o que diferencia um susto de um desastre é a capacidade de reconstruir o que aconteceu e agir rápido: revogar sessões, trocar senhas, bloquear regras de encaminhamento e notificar bancos.
Segurança digital para pequenas empresas hoje é, em grande medida, segurança contra enganos: phishing, BEC, roubo de credenciais e, cada vez mais, deepfakes. Os dados recentes do IC3, FTC, Verizon e Microsoft mostram que o problema é grande, recorrente e lucrativo para criminosos , e que a porta de entrada mais comum costuma envolver identidade, e-mail e engenharia social.
A boa notícia é que medidas pragmáticas reduzem muito o risco: autenticação resistente a phishing (MFA forte/passkeys), processos financeiros com validação fora de banda, treinamento contínuo com cenários atuais e auditoria/logs bem configurados. Se você tiver que escolher um ponto de partida, comece por proteger o e-mail e o financeiro , porque é onde o phishing e os deepfakes mais frequentemente se convertem em perda real.