(41) 99193-1264
  • Português
  • English
  • Español
  • Cibersegurança

    Lições do caso Aflac para evitar falhas críticas de segurança

    A maioria das empresas associa ataques cibernéticos a invasões altamente técnicas: firewalls derrubados, código malicioso injetado, vulnerabilidades exploradas em sequência. Os ataques mais devastadores de 2025 seguiram um caminho completamente diferente. Alguém ligou para o helpdesk. Se passou por um funcionário. Pediu a redefinição de uma senha. E entrou.

    Em 12 de junho de 2025, a Aflac, maior provedora de seguros suplementares dos Estados Unidos com mais de 50 milhões de segurados no mundo, identificou atividade suspeita em sua rede e acionou imediatamente seus protocolos de resposta a incidentes, contendo a intrusão em poucas horas. 

    Nenhum ransomware foi implantado e as operações continuaram normalmente. Mas os dados já tinham saído. A investigação completa, concluída em dezembro de 2025, confirmou que informações pessoais e de saúde de 22,65 milhões de pessoas foram comprometidas, incluindo nomes, endereços, números de Seguro Social, dados de carteira de motorista, passaportes, informações de sinistros e apólices de clientes, funcionários, agentes e beneficiários.

    Ou seja, o ataque não explorou nenhuma vulnerabilidade técnica sofisticada. Explorou o lado humano e é exatamente isso que torna o caso Aflac um dos mais relevantes estudos de segurança corporativa dos últimos anos.

    O que aconteceu no caso Aflac?

    O ataque é atribuído ao Scattered Spider, também conhecido como UNC3944 ou Octo Tempest, um coletivo de hackers de língua inglesa especializado em engenharia social. 

    Entre 7 e 12 de junho de 2025, o grupo atacou três grandes seguradoras americanas em sequência: Erie Insurance em 7 de junho, Philadelphia Insurance Companies em 9 de junho e a Aflac em 12 de junho, numa campanha coordenada contra o setor de seguros. 

    O mecanismo utilizado foi engenharia social direcionada: os atacantes usaram táticas de engano focadas em pessoas para contornar controles de segurança tradicionais. Essa abordagem permitiu que bypassassem ferramentas de MFA baseadas em aprovação de aplicativo e notificações push, camadas cada vez mais vulneráveis a phishing e relay de credenciais. 

    A Aflac detectou o ataque em 12 de junho por meio de seu sistema interno de monitoramento, que disparou uma resposta e investigação imediatas. Essa rapidez permitiu que as equipes contivessem a intrusão em poucas horas, limitando o impacto e o escopo do incidente. O intervalo entre a entrada dos atacantes e a detecção foi suficiente para a exfiltração de dados de quase 23 milhões de pessoas. T

    O caso se encaixa em uma tendência mais ampla: grupos de ameaça cibernética estão migrando cada vez mais para setores onde grandes repositórios de dados pessoais podem ser acessados por engenharia social ou comprometimento de credenciais, em vez de exploits técnicos ou ransomware.

    Como o ataque foi executado, passo a passo

    Reconstruir a sequência do ataque é o que transforma o caso Aflac de notícia em aprendizado. Cada etapa expõe uma decisão que qualquer organização pode tomar agora para fechar a mesma brecha.

    1. Reconhecimento e coleta de informações

    Antes de ligar para qualquer helpdesk, o Scattered Spider faz a lição de casa. O grupo vasculha LinkedIn, sites corporativos e redes sociais para mapear nomes de funcionários, cargos, estrutura de times e fornecedores de tecnologia. 

    Com essas informações, a impersonação fica convincente: o atacante sabe o nome do gerente de TI, conhece o sistema de tickets interno e menciona projetos reais da empresa. 

    2. Engenharia social no helpdesk

    Com o mapa montado, o atacante liga para o helpdesk se passando por um funcionário legítimo. O script é simples: urgência, tom familiar, referências internas críveis. 

    A solicitação mais comum é redefinição de senha ou desbloqueio de conta, procedimentos rotineiros que qualquer atendente executa dezenas de vezes por dia. A equipe de helpdesk, treinada para ser ágil, atende sem questionar o suficiente.

    3. Bypass do MFA

    Com a senha redefinida, o próximo obstáculo é o MFA. O Scattered Spider contorna autenticação multifator de duas formas principais: MFA fatigue, que consiste em bombardear o usuário real com notificações push até que ele aprove por exasperação, e SIM swapping, que transfere o número de celular da vítima para um chip controlado pelo atacante, redirecionando os códigos SMS. 

    4. Acesso inicial e escalada de privilégios

    Dentro da rede com credenciais legítimas, o atacante se move como um funcionário comum. A partir do acesso inicial, o grupo escala privilégios, explora sistemas e exfiltra dados, às vezes implantando ransomware em etapas posteriores. 

    No caso da Aflac, o ransomware não foi usado, mas a exfiltração de dados de 22,65 milhões de pessoas já tinha acontecido antes da detecção.

    5. Exfiltração

    Os dados saem em volumes que, sem correlação de eventos, parecem tráfego normal. A revisão arquivo por arquivo para determinar exatamente o que foi acessado levou seis meses, o que explica o intervalo entre a detecção em junho e a divulgação completa em dezembro de 2025. 

    6. Detecção e contenção

    O sistema de monitoramento interno da Aflac detectou a atividade suspeita e disparou os protocolos de resposta. 

    A intrusão foi contida em horas. A velocidade de resposta foi o fator que impediu um dano ainda maior. Mas a janela entre os passos 2 e 6 foi suficiente para um dos maiores vazamentos do setor de seguros da história recente. 

    O verdadeiro alerta: o fator humano continua sendo uma das maiores vulnerabilidades

    O Scattered Spider não é um grupo de especialistas técnicos que passa semanas encontrando falhas em código. 

    Sua especialidade é manipulação e impersonação: ligar para helpdesks se passando por funcionários para solicitar redefinição de senhas ou obter credenciais de acesso. Essa técnica contorna firewalls sofisticados e sistemas de autenticação multifator que não conseguem se defender contra um atacante que recebe acesso legítimo. 

    O ponto que mais desconforta os líderes de segurança é esse: a tecnologia funcionou como esperado. O firewall não foi derrubado. O sistema de MFA estava ativo. Os controles de acesso existiam. Um ser humano, seguindo procedimentos normais do dia a dia, concedeu acesso a quem não deveria ter.

    Phishing, pretexting e baiting continuam sendo os vetores mais explorados. No pretexting, o atacante inventa uma história plausível para obter a informação, como se passar por alguém do time de TI ou de um fornecedor confiável. 

    No baiting, a vítima é atraída por uma oferta ou ação que parece legítima. Em todos os casos, o alvo é a confiança de quem opera o sistema.

    A pergunta que o caso Aflac coloca para qualquer organização é: com toda a tecnologia de segurança implantada, o que acontece quando um colaborador entrega o acesso ao invasor sem perceber?

    Três lições que toda empresa deveria aprender com o caso

    1. Segurança de acesso é tão importante quanto proteção de infraestrutura

    Credenciais continuam sendo o ativo mais valioso para grupos como o Scattered Spider, porque credenciais legítimas não disparam alertas. 

    O comprometimento de contas através de engenharia social expôs uma arquitetura de identidade com lacunas: MFA baseado em push notification pode ser contornado por atacantes que convencem o colaborador a aprovar uma solicitação falsa ou que usam técnicas de relay para interceptar o código em tempo real.

    A proteção de identidade eficaz vai além de ativar o MFA. Exige autenticação resistente a phishing, como chaves de segurança físicas ou FIDO2, políticas de acesso com menor privilégio, revisão periódica de contas com permissões elevadas e monitoramento de comportamento de autenticação em tempo real. 

    O helpdesk precisa ter protocolos específicos de validação de identidade que não sejam contornáveis por uma ligação convincente.

    2. Visibilidade contínua reduz o tempo de exposição

    A Aflac detectou o ataque através de seu sistema de monitoramento interno, o que permitiu acionar a resposta em horas. O dado que fica é o outro lado: nesse intervalo, dados de quase 23 milhões de pessoas foram exfiltrados. 

    O monitoramento existia. A janela de exposição, mesmo curta em tempo absoluto, foi suficiente para um dos maiores vazamentos do setor de seguros da história recente.

    Visibilidade contínua com correlação de eventos, como a entregue pelo SOC Analytics, transforma monitoramento em detecção proativa. 

    Um login em horário atípico, uma solicitação de redefinição de credencial seguida de acesso a sistemas sensíveis, um volume incomum de consultas a registros de clientes: correlacionados em tempo real, são sinais de comprometimento em andamento.

    3. Cultura de segurança não pode ser um evento isolado

    Treinar regularmente os colaboradores sobre como identificar e combater técnicas como phishing, pretexting e baiting deve acontecer ao longo de todo o ano, com frequência e contexto suficientes para criar reflexos reais. TI Safe

    O colaborador que atendeu a ligação do Scattered Spider provavelmente não tinha recebido treinamento recente sobre como validar a identidade de quem solicita acesso por telefone. 

    Cultura de segurança se constrói com repetição, contexto e prática, não com um PDF anual de políticas.

    Por que ataques como esse continuam acontecendo?

    O caso Aflac é parte de um padrão. Além das três seguradoras atacadas em junho de 2025, a Allianz Life Insurance sofreu uma violação em julho do mesmo ano, afetando 1,4 milhão de clientes americanos quando atacantes acessaram um sistema CRM baseado em nuvem via engenharia social. O vetor se repete porque as condições estruturais que o viabilizam persistem na maioria das organizações. 

    Ambientes cada vez mais distribuídos com acesso remoto por múltiplos dispositivos, crescimento do trabalho híbrido onde a validação de identidade é mais difícil, proliferação de identidades digitais com permissões espalhadas por dezenas de sistemas, excesso de acessos privilegiados que nunca foram revisados, helpdesks treinados para priorizar velocidade de atendimento em detrimento de verificação rigorosa de identidade. Cada um desses fatores amplia a superfície de ataque humano de forma silenciosa.

    Tratar segurança como checklist de conformidade significa perder os problemas estruturais que permitem que incidentes dessa magnitude aconteçam. A fragmentação da visibilidade de segurança, ferramentas que monitoram partes do ambiente sem correlação e processos de verificação que não acompanharam a sofisticação dos ataques, cria exatamente o tipo de gap que o Scattered Spider sabe explorar. 

    Da conscientização à resposta: como reduzir o risco antes do incidente

    Proteção de identidade com MFA resistente a phishing: substituir MFA baseado em push notification por autenticação FIDO2 ou chaves físicas elimina o vetor de relay que o Scattered Spider explorou em múltiplos ataques.

    Monitoramento contínuo com análise comportamental: detectar anomalias de autenticação, movimentação lateral e acesso atípico a dados sensíveis em tempo real. O SOC 24×7 da Teletex opera com cobertura permanente e correlação de eventos que transforma sinais fracos em alertas acionáveis antes que o dano se consolide.

    Treinamento contínuo e contextualizado: simulações de phishing por múltiplos canais, cenários de vishing e engenharia social por telefone, microlearning semanal por área de risco. O CyberX, iniciativa imersiva do Cybercare da Teletex, coloca colaboradores em ambientes que simulam crises digitais reais, criando memória de comportamento que treinamentos convencionais não constroem.

    Protocolos de verificação de identidade para helpdesk: scripts de validação que não possam ser contornados por uma história convincente, canais alternativos de confirmação e critérios claros para escalação de solicitações suspeitas.

    Gestão de acessos com menor privilégio e revisão periódica: eliminar contas com permissões desnecessárias, revisar acessos privilegiados regularmente e monitorar contas de serviço com permissões elevadas mas uso infrequente.

    Leia também:

    Teletex: segurança contínua para enfrentar ameaças modernas

    O caso Aflac evidencia algo que equipes de segurança já sabem, mas que muitas lideranças ainda resistem em internalizar: ataques modernos prescindem de sofisticação técnica para causar danos na escala de 22 milhões de registros. Precisam apenas encontrar uma pessoa despreparada no momento certo.

    A Teletex atua exatamente essa frente: o MSS estruturado integra monitoramento 24×7, SOC Analytics com correlação de eventos em tempo real, tratamento ativo de ameaças e o Cybercare para conscientização e cultura de segurança. 

    A metodologia SafeX mapeia as vulnerabilidades reais do ambiente antes de qualquer implantação, identificando onde estão os pontos cegos de identidade, acesso e monitoramento. Quando uma ameaça é confirmada, os playbooks de resposta do time de CSIRT permitem contenção antes que o raio de impacto se expanda

    A Teletex é uma referência em tecnologia de cibersegurança e TI que simplifica ambientes complexos, inova na proteção digital, agiliza a resposta a incidentes e transforma segurança em vantagem competitiva, conectando clientes a serviços modernos e eficazes.

    Quer estruturar uma operação de segurança capaz de detectar e responder a ataques como o do caso Aflac antes que causem impacto? Fale com um especialista da Teletex e descubra como o Cybercare combina monitoramento contínuo, inteligência aplicada e cultura de segurança em um ecossistema integrado.