O processo de contratação remoto trouxe agilidade, mas também ampliou um risco pouco discutido: a possibilidade de um atacante entrar na empresa por meio do onboarding — ou seja, fingindo ser um colaborador legítimo. Segundo artigo do The Hacker News, o caso ilustra isso ao apresentar o “engenheiro Jordan”, com currículo impecável, referências convenientes e histórico digital limpo, que em poucos dias conseguiu acessar e explorar sistemas internos da empresa como se fosse um funcionário real
O problema não é phishing tradicional, mas sim infiltração via onboarding. Ou seja, o invasor não precisa enganar via e‑mail — ele já começa dentro: recebe permissões, acessa repositórios, códigos e chaves de desenvolvimento, tudo com o aval dos processos automáticos de boas-vindas. Esse tipo de ataque se aproveita da confiança institucional, da pressa em integrar novos colaboradores e da falta de verificação contínua.
Essa ameaça é ainda mais perigosa porque muitas empresas concentram seus esforços em filtrar e-mails maliciosos, treinando equipes para detectar phishing, enquanto deixam vulnerável o canal de recrutamento e integração de novos funcionários
Dica de Prevenção
Não trate o onboarding apenas como um passo administrativo. Reforce a segurança desde a contratação: valide referências e histórico com investigação profunda e cruzada; inicie com privilégios mínimos e faça revisões frequentes de acessos; insista em checagens de identidade em múltiplas etapas, inclusive biométricas e contextuais; e monitore comportamentos e acessos internos bem após a entrada do colaborador.
Além disso, garanta que gestores e equipes estejam atentos a sinais de comportamento incomum, como acesso exagerado a áreas não requeridas ou rapidez anormal na realização de tarefas.
Conclusão
Um atacante pode entrar pela porta da frente, mascarado como funcionário — e o onboarding pode virar porta de entrada para invasores. Refine seu processo de integração e segmente acessos de forma criteriosa para evitar esse tipo de abordagem. Para reforçar sua segurança de autenticação e acesso desde o primeiro dia, conheça o MFA Vault. Acesse mfa2go.com para saber mais.