Pesquisadores da Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, identificaram um avanço preocupante nas estratégias do cibercrime. Grupos criminosos passaram a recrutar insiders, funcionários ou colaboradores internos, para facilitar ataques contra bancos, empresas de telecomunicações e companhias de tecnologia. A prática permite acesso direto a redes corporativas, dispositivos de usuários e ambientes de nuvem, ampliando os riscos para as equipes de segurança da informação.
Segundo a CPR, essa abordagem reduz a dependência de técnicas tradicionais, como ataques de força bruta ou exploração de vulnerabilidades. Ao explorar pessoas com acesso legítimo, os criminosos conseguem contornar defesas técnicas e criar pontos cegos difíceis de detectar. Quando um insider desativa controles internos, compartilha credenciais ou fornece informações privilegiadas, a contenção do ataque se torna significativamente mais complexa.
Recrutamento direto e incentivos financeiros
Os pesquisadores observaram que o contato com potenciais colaboradores ocorre principalmente em fóruns da darknet, mas também pode partir dos próprios funcionários. Os anúncios variam de mensagens objetivas a conteúdos manipulativos, que exploram frustrações profissionais e promessas de ganhos rápidos. Em um caso registrado em julho, um anúncio incentivava funcionários a “escapar do ciclo interminável de trabalho” em troca de pagamentos que poderiam alcançar valores de cinco a seis dígitos.
Outra estratégia identificada envolve a abordagem de colaboradores experientes, com acesso consolidado a sistemas críticos. Nesses casos, a cooperação com grupos criminosos é apresentada como um atalho para a independência financeira, aumentando o risco de vazamento de dados sensíveis e acessos privilegiados.
Setor financeiro e criptomoedas entre os principais alvos
De acordo com a Check Point Software, uma parcela relevante das ações de recrutamento tem como foco o setor financeiro e empresas ligadas a criptomoedas. Anúncios recentes buscaram insiders em plataformas como Coinbase, Binance, Kraken e Gemini, além de empresas globais de consultoria, como Accenture e Genpact. Serviços de consumo, incluindo Spotify e Netflix, também apareceram em listagens de interesse.
Os valores oferecidos variam conforme o tipo de acesso ou informação. Em geral, os pagamentos ficam entre US$ 3.000 e US$ 15.000 por credenciais ou dados específicos. Em alguns casos, conjuntos extensos de dados roubados são colocados à venda, como um banco de informações com 37 milhões de registros de usuários de exchanges de criptomoedas, anunciado por US$ 25.000.
Bancos e órgãos financeiros sob risco elevado
Os insiders que atuam em bancos são considerados especialmente valiosos pelos cibercriminosos. Um dos anúncios analisados oferecia pagamento por acesso a sistemas do Federal Reserve dos Estados Unidos, equivalente ao Banco Central do país, ou de instituições financeiras parceiras. Outro buscava históricos completos de transações de um grande banco europeu.
Há também esquemas que propõem colaborações contínuas. Em alguns fóruns, foram identificadas ofertas de pagamentos semanais de US$ 1.000 para insiders que atuam em órgãos governamentais, como escritórios de impostos na Rússia, indicando uma profissionalização crescente desse tipo de crime.
Empresas de tecnologia e cadeia de suprimentos
Empresas de tecnologia também figuram entre os principais alvos, especialmente por concentrarem grandes volumes de dados de clientes e atuarem como elos críticos da cadeia de suprimentos digital. Entre as atividades recentes, os pesquisadores identificaram anúncios em busca de insiders em companhias como Apple, Samsung e Xiaomi, além de solicitações para que funcionários de operadoras redefinam contas de e-mail de clientes.
Em outro caso, dados de funcionários de uma grande empresa de software na Bélgica, incluindo nomes, senhas, números de telefone e cargos, foram anunciados à venda por US$ 25.000, evidenciando o impacto potencial desse tipo de vazamento.
Telecomunicações, logística e SIM swapping
O relatório da Check Point Research também aponta um aumento no recrutamento de funcionários de empresas de telecomunicações, especialmente nos Estados Unidos, para esquemas de SIM swapping. Esse tipo de ataque permite a interceptação de mensagens SMS e a quebra de mecanismos de autenticação em dois fatores, com recompensas que variam de US$ 10.000 a US$ 15.000.
No setor de logística, os cibercriminosos buscam insiders capazes de facilitar processos como verificação alfandegária ou manipulação de remessas. Nesses casos, os pagamentos costumam variar entre US$ 500 e US$ 5.000, dependendo do serviço prestado.
Ransomware amplia o uso de insiders
O recrutamento de colaboradores internos não se limita à darknet. Alguns grupos de ransomware passaram a utilizar plataformas criptografadas, como o Telegram, para atrair insiders, pentesters e corretores de acesso. Em julho de 2025, um grupo com cerca de 400 membros anunciou acesso a um portal de ransomware e convidou participantes a lucrar com cada sistema comprometido.
Para os pesquisadores da Check Point Software, o crescimento desse modelo de recrutamento evidencia um dos desafios mais complexos da cibersegurança atual. O uso de criptomoedas para pagamentos anônimos acelera a prática e amplia os impactos para as organizações, que vão além das perdas financeiras e incluem danos à reputação, interrupções operacionais e penalidades regulatórias.
Como resposta, a CPR recomenda uma abordagem integrada, que combine tecnologia avançada e estratégias centradas em pessoas. Isso inclui a conscientização contínua das equipes sobre riscos e responsabilidades éticas, o monitoramento de comportamentos atípicos, a aplicação rigorosa de controles de acesso, a vigilância ativa da darknet e a adoção de soluções robustas de cibersegurança para prevenir invasões.
