Como este tema funciona na sua empresa
Engenharia social é baseada em OSINT simples (LinkedIn, Google search). Atacante pesquisa nomes de funcionários, cargo, email corporativo. Usa pretexting (ligação fingindo ser fornecedor) ou phishing direcionado (email fingindo ser diretor). Controles são informais: "conheço a pessoa, então confio". Risco crescente conforme empresa aparece em mídia ou redes sociais.
Campanhas coordenadas contra departamentos específicos (RH, financeiro, TI). Pesquisa sofisticada: relacionamento corporativo (quem trabalha com quem), estrutura organizacional, nomes de fornecedores, eventos corporativos. Phishing + call de seguimento (spear phishing). Baiting com USB deixado em evento ou estacionamento. Segregação de informação insuficiente (funcionário de RH tem acesso a dados financeiros).
Social engineering sofisticado coordenado com ataques técnicos. Pretexting elaborado com informação de negócio profunda (nomes de projetos, clientes, fornecedores). Exploração de relacionamento corporativo para ganhar confiança. Inteligência contra executivos-chave. OSINT avançado (darknet, social media analysis). Insider threat como resultado (atacante recruta employee voluntária ou involuntariamente).
Engenharia social é manipulação deliberada do comportamento humano para extrair informação sensível ou ganhar acesso não autorizado. Diferencia-se de phishing por focar em interação humana direta (chamada telefônica, conversa presencial, SMS) em vez de email. Explora mecanismos psicológicos (autoridade, urgência, confiança, medo) para contornar defesas técnicas.
Sete técnicas principais de engenharia social
Engenharia social não é uma técnica única, mas um conjunto de abordagens. As principais são:
1. Pretexting (criação de falso cenário)
Atacante cria persona falsa e contexto credível para extrair informação. Exemplo: "Olá, sou da equipe de TI fazendo auditoria de senhas. Qual é a sua senha para validar conformidade?" Ou: "Sou analista de crédito do banco. Preciso confirmar últimos 4 dígitos de CPF para validar sua conta." Pretexting é efetivo porque explora confiança em figura de autoridade (TI, banco, fornecedor).
2. Phishing e spear-phishing
Email que fingem ser de figura confiável (CEO, banco, fornecedor) solicitando clique em link ou download de anexo. Phishing genérico tem taxa baixa de sucesso; spear-phishing (direcionado para indivíduo específico com informação personalizada) tem taxa alta. Exemplo: "João, seu laptop está desatualizado. Clique aqui para atualizar Windows"
3. Baiting (deixar köder físico)
Atacante deixa USB ou pen drive em local público (estacionamento, café, evento corporativo) com nome atrativo ("Salários 2024", "Contatos clientes"). Funcionário encontra, conecta em computador corporativo, malware se instala. Efetivo contra curiosidade humana e falta de controle de mídia removível.
4. Tailgating (seguir alguém através de porta controlada)
Atacante segue funcionário autorizado através de porta com badge, fingindo ser visitante ou novo contratado. "Oi, acabei de ser contratado, você entra na porta? Meu badge não funciona." Explora educação social e hesitação de negar a alguém. Efetivo se não há controle de acesso rigoroso ou segregação de áreas.
5. Quid pro quo (troca de favor)
Atacante oferece benefício em troca de informação. Exemplo: "Se me disser sua senha de sistema, te dou gift card de R$ 100." Ou: "Preciso de acesso ao servidor de backup. Em troca, faço manutenção de seu computador." Explora reciprocidade: humanos tendem a retribuir favores.
6. Reverse social engineering
Atacante se posiciona como "salvador" de problema criado propositalmente. Exemplo: (1) Atacante simula erro de sistema fazendo funcionário perder documento. (2) Funcionário procura ajuda. (3) Atacante oferece solução ("posso recuperar seu arquivo, mas preciso de senha para acessar backup"). Efetivo porque funcionário está em estado de pânico/frustração.
7. Intimidação (exploração de medo)
Atacante cria situação de urgência ou medo para forçar ação. Exemplo: "Esta é a polícia federal. Detectamos atividade suspeita em sua conta. Confirme seu CPF e senha imediatamente ou sua conta será bloqueada." Medo causa erro de julgamento. Efetivo contra pessoas desprevenidas ou em multidão.
Mecanismos psicológicos explorados
Engenharia social é bem-sucedida porque explora padrões psicológicos humanos previsíveis[1]:
- Autoridade: Humanos obedecem figuras de autoridade (CEO, polícia, TI). Atacante finge ser autoridade para ganhar compliance.
- Urgência: Pressão temporal reduz julgamento crítico. "Preciso já" tira tempo para questionar.
- Confiança: Humanos confiam em pessoas que entendem contexto. Atacante usa OSINT para criar confiança falsa.
- Reciprocidade: Humanos tendem a retribuir favor. Atacante oferece pequeno benefício para extrair grande informação.
- Medo: Medo causa erro. Atacante cria cenário de ameaça (perda de conta, multa, bloqueio).
- Escassez: Oferta limitada reduz julgamento. "Este coupon expira hoje" força decisão rápida.
- Simpatia: Humanos gostam de pessoas similares ou atrativas. Atacante constrói semelhança social para ganhar confiança.
OSINT como ferramenta de reconnaissance
Antes de engenharia social, atacante faz reconnaissance usando OSINT (Open Source Intelligence): informação pública. Fontes típicas: LinkedIn (nomes de funcionários, cargo, histórico), websites corporativos (organograma, nomes de executivos, clientes), redes sociais pessoais (datas de férias, relacionamentos, eventos), registros públicos (CNPJs, domínios, SPAMs), Google dorking (busca avançada para exposição de dados), Shodan (bases de dados de dispositivos internet). OSINT bem executada permite pretexting altamente credível[2].
Indicadores de tentativa de engenharia social
Solicitação de senha via email ou telefone. Email de fornecedor conhecido com erro de gramática. Ligação de "banco" solicitando dados pessoais. USB deixado em mesa desocupada. Pessoa desconhecida pedindo acesso a área restrita. Urgência artificial ("preciso já"). Ofertas muito boas para ser verdade.
Email de endereço similar a legítimo (exemplo.com vs exemplo-com). Solicitação de confirmação de informação que "deveria estar em sistema" (motivo real: atacante não tem). Menção de informação muito específica (mostra OSINT). Pressão social ("outras pessoas já confirmaram"). Pedido para não mencionar a ninguém ("por segurança").
Controles contra engenharia social
Não há controle técnico perfeito contra engenharia social; objetivo é mitigação. Controles efetivos:
- Política de acesso clara: Quem pode acessar o quê. Funcionário sabe que TI nunca pede senha.
- Verification protocols: Sempre verificar identidade de quem chama. "Deixe-me ligar de volta para o número que tenho registrado."
- Segmentação de informação: Funcionário de RH não tem acesso a dados financeiros sensíveis. Reduz impacto de compromise individual.
- Treinamento recorrente: Conscientização de técnicas de SE. Empresa com treinamento tem taxa de sucesso 50% menor[3].
- Teste de SE (simulated attacks): Campanha interna de phishing fake para validar treinamento. Resultado mensurado: % de funcionários que clicam em link fake.
- Reporting de suspeita: Fazer fácil para funcionário reportar tentativa. "Acho que recebi phishing, o que devo fazer?"
- Controle de acesso físico: Badging com foto ID, recepcionista que valida visitantes, segregação de áreas.
Resposta a suspeita de engenharia social bem-sucedida
Se descobrir que funcionário foi vítima: (1) Documentar (o que foi solicitado, como era pretexting, qual informação foi compartilhada). (2) Investigar (a senha foi mudada? Houve acesso anômalo com credencial roubada?). (3) Mitigar (resetar senha, revogar acesso se necessário, avaliar dano). (4) Notificar (informar DPO se dados pessoais foram expostos, seguir protocolo de breach). (5) Aprender (qual foi o ponto fraco que atacante explorou? Como prevenir?).
Sinais de risco alto de engenharia social
Se você se reconhece em três ou mais cenários abaixo, risco de SE é alto.
- Funcionários frequentemente clicam em links desconhecidos ou abrem anexos sem validação
- Não há política clara sobre como verificar identidade de quem chama
- Acesso físico a data center ou salas críticas é frouxo (tailgating é comum)
- Funcionários compartilham senhas ou deixam post-its em mesas
- Não há teste periódico de phishing ou simulação de SE
- Treinamento de segurança é ausente ou aconteceu uma única vez anos atrás
- Funcionário que cai em SE é punido em vez de ser educado; isso desestimula reporting
Caminhos para implementar programa contra engenharia social
Implementação pode ser feita internamente ou com suporte especializado.
Viável quando time de segurança tem expertise em awareness.
- Componentes: Treinamento in-house, simulação de phishing com ferramenta (KnowBe4, Gophish), política de verification, teste periódico
- Tempo estimado: 8-12 semanas para estruturar; 5-10 horas/mês para manter
- Custo: Ferramenta de phishing (~R$ 5-10k/ano), tempo de staff
- Risco: Treinamento interno pode ser menos engajador que externo
Recomendado para programa completo e engajador.
- Tipo de fornecedor: Plataforma de awareness (KnowBe4, SANS, Coursera), consultoria em segurança
- Escopo: Treinamento online + simulação de phishing + dashboard de métricas + coaching
- Tempo: 12-16 semanas para full program
- Custo: R$ 20-50k/ano para 100-500 usuários
- Vantagem: Programa profissional, engajamento maior, métricas de efetividade
Precisa estruturar programa contra engenharia social?
Se sua empresa quer melhorar defesa contra engenharia social e implementar programa de awareness efetivo, o oHub conecta você gratuitamente a especialistas em treinamento de segurança. Em menos de 3 minutos, descreva sua situação e receba propostas.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe recomendações e propostas de parceiros.
Perguntas frequentes
O que é engenharia social e exemplos práticos?
Engenharia social é manipulação humana para ganhar acesso ou informação sensível. Exemplos: pretexting (fingir ser TI para solicitar senha), phishing (email fake do banco), baiting (USB deixado em estacionamento), tailgating (seguir alguém por porta controlada), intimidação (fake call de polícia).
Como reconhecer uma tentativa de engenharia social?
Red flags: solicitação de senha via email ou telefone, urgência artificial, email com erro de gramática, ofertas muito boas, pedido para não mencionar a ninguém, menção de informação pessoal (prova de OSINT). Se duvida, verifique identidade de quem ligou: desligue e ligue de volta para número oficial.
Qual é a diferença entre phishing e engenharia social?
Phishing é ataque via email. Engenharia social é técnica mais ampla que inclui phishing + pretexting + baiting + tailgating + outras abordagens. Phishing é um tipo de engenharia social, não sinônimo.
Como o pretexting é usado em ataques corporativos?
Atacante faz OSINT para conhecer contexto corporativo, depois cria persona credível (fornecedor, TI, auditoria). Exemplo: "Sou da empresa de auditoria externa. Preciso validar senhas de seu departamento." Funciona porque explora confiança em autoridade.
O que é baiting e como atacantes usam essa técnica?
Baiting é deixar köder (USB, pen drive) em local público com nome atrativo ("Salários", "Contatos clientes", "Promoções"). Funcionário encontra, conecta em computador, malware se instala. Efetivo contra curiosidade e falta de controle de mídia removível.
Como treinar funcionários contra engenharia social?
Treinamento efetivo inclui: educação sobre técnicas de SE, simulação de phishing periódica, feedback imediato para quem clica em link fake, cultura de reporting (não punição), reforço contínuo (não evento único). Efetividade é medida: % de reduction de clicks em phishing fake over time.