Uma campanha maliciosa silenciosa e altamente direcionada de golpes digitais tem colocado empresas brasileiras em alerta. Desde o início de 2025, criminosos digitais vêm utilizando falsos e-mails com notas fiscais eletrônicas (NF-e) como isca para invadir computadores de alto escalão.
A estratégia inclui o uso de links aparentemente confiáveis hospedados em plataformas como o Dropbox, conforme revelou a Cisco Talos, divisão de segurança cibernética da Cisco, em relatório recente.
O alvo preferencial? Profissionais dos setores financeiro, de recursos humanos e executivos com acesso privilegiado a dados sensíveis. A ameaça, apesar de antiga em sua essência, tornou-se ainda mais perigosa pelo uso de ferramentas comerciais e legítimas para o acesso remoto a sistemas corporativos.
Armadilha começa com uma nota fiscal falsa
O golpe se inicia de forma sutil, por meio de e-mails de aparência profissional enviados por remetentes que se passam por empresas de telefonia ou instituições bancárias. A mensagem alerta sobre supostos débitos pendentes e sugere que o destinatário clique em um link para emitir a nota fiscal correspondente.
O link, por sua vez, leva a um instalador camuflado como um documento de cobrança. Ao executá-lo, a vítima instala programas de acesso remoto como N-able RMM Remote Access ou PDQ Connect — softwares legítimos, mas explorados de forma criminosa. Com eles, os golpistas obtêm acesso total ao sistema, podendo espionar, copiar dados, controlar a máquina em tempo real e até desativar programas de segurança.
Acesso remoto irrestrito facilita o ataque
A sofisticação do golpe está no uso de ferramentas RMM (Remote Monitoring and Management). Esses programas, muito utilizados por equipes de suporte técnico, permitem acesso administrativo completo a um computador — o que inclui visualizar a tela, manipular arquivos, instalar programas e registrar tudo o que é digitado.
“O abuso de ferramentas comerciais de RMM pelos adversários aumentou constantemente nos últimos anos. Essas ferramentas são de interesse para os agentes de ameaças porque geralmente são assinadas digitalmente por entidades reconhecidas e são um backdoor completo”, explicou a Cisco Talos.
Como o tráfego dessas aplicações costuma ser autorizado por firewalls e antivírus, os criminosos conseguem permanecer invisíveis por longos períodos.
Técnicas para driblar a detecção e reduzir custos
Outro ponto destacado pela Cisco Talos é o uso estratégico de períodos gratuitos de teste desses softwares. Os hackers criam múltiplas contas em serviços como Gmail e ProtonMail, utilizando cada uma por poucos dias até o vencimento da licença temporária, para evitar qualquer tipo de pagamento ou rastreamento.
Isso também dificulta o bloqueio e a detecção, pois os softwares são frequentemente reinstalados com novas identidades digitais. Segundo o relatório, dezenas de contas suspeitas foram identificadas com esse padrão de comportamento.
Atores do ataque: quem está por trás da ameaça?
Os ataques vêm sendo atribuídos a grupos de agente de acesso inicial, conhecidos como Initial Access Brokers (IABs). Essas quadrilhas especializadas atuam invadindo ambientes corporativos e, posteriormente, vendem o acesso para outros grupos de cibercrime — como operadores de ransomware ou até organizações ligadas a espionagem estatal.
Esse modelo de atuação em cadeia eleva o risco para empresas, pois os dados roubados podem ser utilizados em ataques ainda mais danosos no futuro.
Prevenção: como proteger sua empresa?
Diante da complexidade e da dissimulação desse tipo de ataque, medidas tradicionais de segurança já não são suficientes. A Cisco Talos recomenda uma abordagem baseada em detecção comportamental, capaz de identificar atividades anômalas mesmo quando realizadas por softwares legítimos.
Além disso, é essencial revisar as permissões de softwares instalados, restringir o uso de ferramentas de acesso remoto e reforçar treinamentos com as equipes para que saibam identificar mensagens suspeitas. Também é necessário:
- Bloquear a instalação de programas sem autorização;
- Monitorar logs de acesso em tempo real;
- Adotar autenticação em dois fatores;
- Reforçar o uso de antivírus com módulos heurísticos.
Dicas rápidas para evitar cair no golpe da NF-e falsa
- Desconfie de e-mails com urgência de pagamento, especialmente de remetentes desconhecidos;
- Verifique os domínios dos remetentes, que muitas vezes imitam empresas reais com pequenas variações;
- Nunca clique em links ou baixe arquivos sem confirmar sua procedência;
- Treine seus funcionários regularmente sobre segurança digital;
- Use ferramentas que bloqueiem a instalação de programas não autorizados.
A sofisticação do crime digital exige vigilância constante
A campanha das falsas notas fiscais eletrônicas evidencia o quanto o cibercrime se tornou sofisticado. Ao utilizar ferramentas legítimas, os criminosos conseguem contornar sistemas de defesa e explorar brechas humanas — o elo mais fraco da segurança corporativa.
Para empresas brasileiras, fica o alerta: o investimento em tecnologia deve vir acompanhado de educação e políticas rigorosas de prevenção.