Figure confirma acesso indevido a dados de clientes após ataque de engenharia social

Credora em blockchain de capital aberto relata que invasores obtiveram informações de clientes ao explorar um funcionário por meio de engenharia social, reacendendo alerta para o elo humano na segurança.

A credora em blockchain de capital aberto Figure disse que hackers acessaram dados de clientes após um funcionário ser alvo de um ataque de engenharia social. O episódio, ainda que conciso em sua descrição, reforça uma realidade conhecida no mercado: não é preciso romper criptografia para abrir uma porta, basta convencer alguém a destrancá-la. Em um segmento no qual transações e identidades digitais já se tornaram rotina, a superfície de risco migra do código para o comportamento humano.

Casos assim costumam ocorrer em cadeia. Primeiro, o atacante mapeia a organização e identifica perfis com acesso relevante. Em seguida, constrói um pretexto convincente — um e-mail que imita o time de TI, uma ligação urgente, uma página de login idêntica à original. Por fim, usa o erro humano como ponto de entrada, capturando credenciais, superando fatores de autenticação por meio de manipulação ou explorando integrações internas. O resultado prático raramente é sutil: dados pessoais expostos aumentam a eficácia de golpes subsequentes, de phishing direcionado (spear phishing) a tentativas de tomada de contas e fraudes financeiras.

Engenharia social: quando o elo mais fraco é humano

Engenharia social é, essencialmente, psicologia aplicada ao crime. Em vez de focar em vulnerabilidades técnicas, explora vieses cognitivos e rotinas corporativas — urgência, autoridade, familiaridade — para obter acesso. Phishing por e-mail, vishing por telefone, pretexting e até uso de mensagens instantâneas internas integram o mesmo repertório. Em ambientes cripto, o efeito é amplificado: uma credencial comprometida pode abrir caminho para APIs, carteiras custodiais, painéis de suporte e fluxos de recuperação de conta, multiplicando vetores de fraude.

Do lado do cliente, a implicação imediata é redobrar a atenção a contatos não solicitados, mudanças súbitas em políticas de suporte e comunicações que peçam confirmação de dados. Senhas únicas por serviço, autenticação de dois fatores baseada em aplicativo (e não SMS), revisão de dispositivos confiáveis e monitoramento atento de comunicações oficiais ajudam a reduzir danos. Para organizações, o aprendizado é direto: privilégios mínimos, segmentação de acessos, rotação de credenciais e simulações regulares de phishing tendem a reduzir drasticamente a taxa de sucesso desses ataques.

O que está em jogo para o setor

Em empresas que operam com cripto, a fronteira entre dados e dinheiro é tênue. Informações de identificação pessoal, histórico de transações e metadados de contato são munição para golpes com alto grau de personalização, o que pressiona custos de conformidade e resposta a incidentes. Além disso, marcos regulatórios como a LGPD exigem governança de dados, registro de incidentes e comunicação transparente, aprofundando a necessidade de processos e auditorias contínuas. Não por acaso, treinamentos recorrentes e políticas de “zero trust” deixaram de ser adereços e tornaram-se parte da infraestrutura crítica.

Nesse sentido, distinguir o ativo tecnológico das práticas criminosas é crucial. O crescimento do mercado de cripto atraiu capital e, por consequência, fraudadores com repertório cada vez mais sofisticado. Reconhecer padrões — desde promessas de retorno fácil até solicitações atípicas de verificação — é tão importante quanto conhecer a arquitetura de segurança de uma plataforma. Para quem deseja compreender melhor como identificar e mitigar esses riscos, o BlockTrends oferece o curso Como se Proteger de Fraudes e Golpes, que explora os vetores mais comuns, sinais de alerta e boas práticas para usuários e equipes.