O número de vazamento de dados cresce em escala global, o que resultou em uma nova geração de golpes digitais de engenharia social avançada, mais convincentes, direcionados e difíceis de identificar. Segundo dados da Fortinet, 77% das organizações sofreram, no último ano, incidentes de perda de dados causados por falhas internas, e metade das empresas afetadas relatou perdas superiores a US$1 milhão por incidente.
Em vez de mensagens genéricas, criminosos agora exploram informações reais de usuários para construir abordagens personalizadas, que imitam comunicações de empresas de viagens, marketplaces, plataformas de trabalho e serviços online.
O caso mais recente envolvendo a Booking.com, em abril de 2026, ilustra essa mudança. A empresa confirmou ter identificado acessos não autorizados a dados de reservas após a exploração de contas de parceiros hoteleiros. A partir dessas informações, cibercriminosos conseguiram disparar alertas de segurança falsos e mensagens que pareciam oficiais, levando a plataforma a redefinir PINs de reservas ativas e antigas como medida preventiva.
Segundo o especialista em segurança cibernética e CEO da Security First, Fernando Corrêa, “o criminoso digital não precisa mais invadir diretamente a estrutura principal de uma empresa. Muitas vezes, ele explora o elo mais fraco da cadeia, como fornecedores, parceiros ou contas secundárias e, a partir daí, consegue dados suficientes para tornar o golpe convincente”.
Em comunicado divulgado ao portal BleepingComputer, a plataforma de reservas de hospedagens, afirmou que a ação resultou do acesso indevido a contas de terceiros, mas não comprometeu seus sistemas centrais. De acordo com a empresa, todos os usuários afetados estão sendo notificados individualmente e o suporte permanece ativo 24 horas por dia.
Golpes mais sofisticados e uso de dados reais
O que chama a atenção no caso da Booking.com não é somente a questão do acesso indevido, mas sobretudo como os dados estão sendo usados para dar credibilidade às fraudes. Usuários relataram em fóruns globais, como o Reddit, o recebimento de mensagens que incluíam nomes reais, detalhes de estadias verdadeiras e solicitações de pagamento com urgência, elementos suficientes para reduzir ou eliminar a desconfiança da vítima.
Crimes desse tipo mostram como a engenharia social evoluiu. Se antes as mensagens eram genéricas e fáceis de identificar, agora elas são construídas com base em dados reais vazados, o que torna as tentativas de fraude muito mais convincentes.
Esse movimento aponta para uma tendência para Corrêa. “A combinação de dados vazados com automação e engenharia social está criando golpes cada vez mais difíceis de identificar, e eles não param de avançar nesse sentido. O criminoso já não precisa mais dar um “tiro no escuro” e tentar convencer, pois ele já começa com informações reais da vítima.”
Segundo o especialista, isso muda completamente o nível de risco, especialmente em setores que lidam com grande volume de dados pessoais, como turismo, e-commerce e plataformas de serviços digitais.
Vazamentos que se espalham pela cadeia digital
O incidente acende um alerta sobre o 'elo mais fraco' da segurança digital, os prestadores de serviço. Muitas vezes, os sistemas de uma grande empresa são protegidos como fortalezas, mas os criminosos conseguem entrar usando as senhas de terceiros, como empresas de manutenção ou softwares de atendimento. É o risco da conexão total, em um mundo onde tudo está interligado, das reservas ao suporte ao cliente, uma falha em um pequeno parceiro pode abrir as portas de toda a companhia.
Um relatório da plataforma de segurança CrowdStrike mostra que os cibercriminosos estão deixando os vírus tradicionais de lado e invadindo empresas com credenciais verdadeiras. Segundo os dados, 82% dos ataques não usaram nenhum tipo de software malicioso.
A tática dos hackers funciona assim: ao usar senhas válidas e acessar aplicativos já aprovados pelas empresas, se passam por funcionários comuns e circulam pelos sistemas sem disparar os alarmes de segurança. O vazamento em um ponto da cadeia pode ser suficiente para alimentar golpes em outro, criando um efeito cascata difícil de conter.
Quando o golpe parece real demais
A sofisticação dos ataques também está na forma como eles exploram urgência e contexto. Mensagens fraudulentas costumam simular situações críticas, como cancelamentos imediatos de reservas, bloqueios de conta ou necessidade de revalidação de pagamento, para induzir decisões rápidas. Esse tipo de estratégia funciona especialmente quando combinada com dados reais do usuário.
“Quanto mais informação o criminoso tem, menor é a percepção de risco da vítima. É o que torna esses golpes tão eficientes hoje”, afirma o CEO da Security First, Fernando Corrêa.
Como se proteger de fraudes digitais?
Com o aumento de golpes cada vez mais personalizados, o especialista alerta que a desconfiança é a melhor defesa. Se você recebeu uma solicitação financeira ou pedido de dados:
Desconfie da urgência: Golpistas usam o senso de "pressa" ou "ameaça" para impedir você de pensar. Mensagens de WhatsApp pedindo pagamentos imediatos, mesmo com logos de empresas conhecidas, são sinais de alerta;
Canais oficiais sempre: Nunca clique em links de pagamento enviados por chat ou mesmo por e-mail, caso não tenham sido solicitados. Se tiver dúvida, feche o aplicativo e procure o site oficial ou o telefone direto da empresa por conta própria;
Reforce as trancas: Ative a "autenticação em duas etapas" (MFA) em todas as suas contas. Se suspeitar que seus dados vazaram, troque suas senhas imediatamente.
Fim dos golpes genéricos
O avanço desenfreado no vazamento de dados alterou a “genética” do crime digital. Se no passado as fraudes eram grosseiras e fáceis de identificar, hoje elas são produzidas cada vez mais sob medida, construídas com informações reais das vítimas. Essa precisão tornou a fronteira entre uma mensagem legítima e um ataque difícil de diferenciar.
Nesse campo de batalha, a tecnologia sozinha já não é mais suficiente. A segurança depende de uma combinação de sistemas robustos e comportamento vigilante. Mesmo com as melhores ferramentas de defesa, o alvo final continua sendo o elo mais imprevisível da corrente, a confiança humana.
Para Fernando Corrêa, o cenário requer uma mudança de mentalidade imediata. "O cibercrime deixou de disparar suas redes generalizadas para pescar qualquer um. Agora, eles são guiados por dados personalizados. Não estamos mais lidando com o vírus que trava o computador, mas com a manipulação da realidade do usuário. Hoje, o maior erro de segurança não é clicar no link errado, mas acreditar que o sistema é invulnerável apenas porque parece oficial”.
Imagem: divulgação.
