ManageEngine: “Não devemos atacar só depois de o problema acontecer, mas também prevenir e evitar que o mal aconteça” (com vídeo)

“Apenas três prompts no ChatGPT e uma pesquisa no LinkedIn”. É tudo o que é necessário para eventualmente destruir uma organização. José Fonseca, Technical Expert na ManageEngine, abriu a sua apresentação na IT Security Summit 2026 desta forma, a relembrar que os ataques de phishing à cadeia de fornecimento já não requerem sofisticação técnica, apenas requerem criatividade e acesso a redes sociais.

O cenário que construiu acaba por ser banal. Uma violação de segurança, dados de clientes vendidos na dark web, sem exploit evidente, sem brute force detetado ou sem atividade suspeita nos logs. “Os atacantes não utilizam malware. Usam o ChatGPT”, lê-se no slide que serviu de ponto de partida para uma demonstração de como a IA generativa democratizou o cibercrime.

Do phishing artesanal ao phishing de precisão

O email de phishing ‘old school’ era fácil de identificar; tinha erros de sintaxe, domínios suspeitos e linguagem genérica. “Inicialmente, era muito fácil um utilizador carregar nesse link uma vez que não estava habituado, não existia conhecimento à volta do tema”, admite José Fonseca, reconhecendo que a literacia digital foi elevando o nível de defesa dos utilizados.

O prolema é que o atacante também evoluiu. Com três prompts – criar um email de spear phishing com sentido de urgência, torna-lo mais convincente com uma assinatura falsificada e adicionar um link de ficheiro enganador –, o resultado é um email que imita o tom interno, referencia contextos plausíveis e apresenta uma assinatura completa com nome, cargo e completo. “Pode parecer bastante profissional e passar mesmo despercebido, levando uma pessoa a enviar ficheiros confidenciais do negócio”, explica.

O combustível deste ataque é o LinkedIn. “É muito fácil a um atacante ir buscar as informações de todos estes utilizadores ao LinkedIn porque sabe exatamente os cargos que eles ocupam, sabe exatamente as empresas onde estão presentes”, diz. Com esses dados, constrói um email aparentemente legítimo que menciona colegas reais, departamentos existentes e contextos credíveis.

As bandeiras vermelhas e a deteção

José Fonseca sistematiza os sinais de alerta que, mesmo nos ataques mais sofisticados, tendem a persistir: a urgência e a autoridade combinadas; a contextualização genérica, mas suficientemente plausível; o formato de email que não corresponde a um domínio verificado; e a personalização que simula o tom interno da organização. Um exemplo é o truque dos caracteres cirílicos: “a última conhecida foi a da Microsoft, onde colocaram um ‘R’ ao lado de um ‘N’ e isto altera completamente a estrutura e parece, realmente, um email legítimo”, partilha.

A segunda metade da apresentação desloca o foco da ameaça para a resposta. O ponto de partida são as defesas, onde mesmo com as melhores, as fugas de dados continuam a acontecer. A questão passa a ser como detetar que a informação já está na dark web antes que o dano seja irreparável.

A proposta de José Fonseca assenta em monitorização contínua de credenciais expostas, um SIEM como hub central de correlação e análise, alertas precoces para as equipas de SOC e rotação automática de credenciais. A ferramenta apresentada, o Log360 da ManageEngine, agrega deteção de comportamentos anómalos, análise de dark web e investigação automatizada com IA que permite não só identificar o ataque, mas reconstruir os comandos de scripts que o compuseram.

“A importância não é só atacar depois de o problema acontecer, mas também prevenir e evitar que o mal aconteça”, sintetiza José Fonseca, numa frase que procura resumir a mudança que o setor enfrenta: passar de uma postura reativa para uma cultura de antecipação, antes que três prompts e uma pesquisa no LinkedIn sejam suficientes para comprometer uma organização inteira.