Engenharia Social: A Psicologia por Trás do Ataque Cibernético, a Técnica de Hackear Pessoas

#Segurança, Autenticação, Autorização
#Segurança da Informação

Introdução

Segundo o Security Leaders, o phishing representou 74% dos ciberataques em 2023, um aumento de 81% em relação ao ano anterior.

De acordo com a ComputerWeekly, 3,5 milhões de brasileiros foram vítimas de phishing em 2023. Até outubro de 2024, já haviam sido detectados mais de 450 mil ataques, e o ano fechou com um aumento de 58% em relação a 2023.

No Brasil, cerca de 13.744 novas páginas de phishing são criadas semanalmente. Em 2024, havia aproximadamente 5,54 milhões de URLs fraudulentas ativas.

A chegada da inteligência artificial acelerou a produção e disseminação de links e anúncios falsos, tornando os ataques de engenharia social ainda mais sofisticados.

A engenharia social é um método usado para enganar, manipular ou explorar a confiança das pessoas. É uma forma de ataque sem violência física que busca fazer com que a vítima realize voluntariamente ações prejudiciais a si mesma, como divulgar informações sensíveis ou transferir dinheiro para desconhecidos. Quando alguém convence uma pessoa a divulgar sua senha, está realizando uma ação de engenharia social. Se alguém obriga uma pessoa a dar sua senha sob ameaça de violência, isso não é engenharia social. Uma ação de engenharia social pode se dar em um contexto pessoal, para obter informações sobre você, ou em um contexto profissional, para conseguir informações sobre sua instituição.

Nesse artigo, abordo o conceito de Engenharia Social, o que é Phishing e seus tipos, exemplos reais, as fases de um ataque de engenharia social (baseado no framework Mitre Att&ck), como se defender, desafios atuais e futuros e um estudo de caso.

| A segurança eficaz requer uma abordagem em três camadas: tecnologia, processos e pessoas. Ignorar uma delas é construir um castelo de areia. — Shari Lawrence Pfleeger (pesquisadora em segurança da informação)

O fator humano como vulnerabilidade

O ser humano confia por instinto, e isso é o que o engenheiro social explora. Ele sabe que quando temos uma pressão de tempo, a probabilidade de utilizarmos nosso Sistema Lento é muito menor. Assim, é comum que ele explore supostas situações com prazos curtos (“tenho uma oferta de emprego, mas preciso que você complete a ficha ainda hoje”) ou urgentes (“atualize seu aplicativo agora ou ficará sem acesso a sua conta bancária”).

Ele também sabe que a pressão de autoridade é muito eficiente, principalmente em organizações mais hierarquizadas (“sou a secretária do Diretor Fulano e ele precisa de uma informação agora para tomar uma decisão”).

Outra característica que ele pode explorar é nossa empatia, principalmente nossa disposição para ajudar. Ele pode criar uma narrativa para incentivar a vontade de auxiliá-lo. Ao mesmo tempo, ele manipulará a situação de forma que ajudar seja a resposta natural e que recusar nos cause um sentimento de culpa.

O engenheiro social pode, por exemplo, ressaltar como a falta daquela informação pode custar o emprego dele. Dessa forma, passar uma informação comentada cotidianamente entre funcionários da sua instituição não teria um custo psicológico alto para você, enquanto não a fornecer ocasionaria peso na consciência.

Golpe de bitcoin no Twitter (agora X) de 2020

Em julho de 2020, aconteceu o maior ataque hacker da história do twitter, e tudo baseado em Engenharia Social. Os hackers usaram uma técnica simples de spear phishing (um tipo de engenharia social que abordaremos mais tarde nesse artigo), enganando funcionários da plataforma para obter acesso ao painel de suporte interno, que dá acesso a todas as contas do serviço.

“Detectamos o que acreditamos ser um ataque coordenado de engenharia social por pessoas que tiveram sucesso em atingir alguns de nossos funcionários com acesso a sistemas e ferramentas internas.”

Com isso, os criminosos tiveram acesso à contas de pessoas importantes como Bill Gates, Elon Musk, Barack Obama, Jeff Bezos, Joe Biden, Warren Buffett e outras personalidades, e então postaram mensagens similares prometendo dobrar o dinheiro de quem enviasse bitcoins para uma carteira particular.

Imagine você ler, dos maiores bilionários do mundo, e até do presidente de um país, que se você depositar bitcoin para eles, seu dinheiro pode dobrar? Isso é a Engenharia Social, convencer você de que algo é legítimo, seja usando autoridade, urgência, empatia…

O resultado desse ataque foi:

Aproximadamente 130 contas invadidas.
Mais de 120 mil dólares transferidos para a conta do atacante.
O X bloqueou todas as contas verificadas, para tentar mitigar o ataque.

“Com base no que sabemos até o momento, acreditamos que aproximadamente 130 contas foram alvos dos invasores de alguma forma como parte do incidente. Em um pequeno subconjunto dessas contas, os invasores conseguiram obter o controle e, em seguida, enviar Tweets a partir delas.”

Tipos de Ataques de Engenharia Social

Phishing e Seus Tipos

Phishing é uma forma de crime cibernético em que criminosos tentam obter informações confidenciais se passando por fontes confiáveis. Existem várias modalidades de phishing, e todas envolvem algum grau de manipulação emocional e urgência. Em que os criminosos tentam obter informações confidenciais por e-mail, mensagens SMS, whatsapp etc, com links fraudulentos, solicitando que você preencha um formulário com suas informações de identificação pessoal. Em seguida, eles podem usar essas informações para obter suas credenciais on-line para perfis de mídia social, contas bancárias e muito mais.

Como funciona o phishing?

O phishing pode ocorrer por meio de e-mails, chamadas telefônicas ou mensagens de texto. Os trapaceiros enviam mensagens que parecem reais e urgentes, solicitando que a pessoa tome uma atitude. Por exemplo, um e-mail pode parecer que é de um banco confiável, dizendo à pessoa para atualizar as informações da conta para evitar problemas. Como a mensagem parece urgente e real, as pessoas podem compartilhar informações confidenciais, como senhas e números de cartão de crédito, que os golpistas podem usar indevidamente.

Fazendo-se passar por uma entidade legítima, o invasor atrai as vítimas para um site falso, onde elas são persuadidas a inserir informações confidenciais. Essa fachada bem elaborada, aliada a um senso de urgência, permite que o golpe de phishing obtenha com sucesso dados pessoais valiosos, deixando a vítima desavisada vulnerável ao roubo de identidade e a perdas financeiras.

O Phishing é o tipo de ataque mais comum, todos nós já recebemos e-mails, mensagens sms, whatsapp ou qualquer canal de comunicação com pessoas tentando aplicar golpes phishing. A seguir, dois exemplos de Phishing que eu mesmo recebi por e-mail:

Recebi esse e-mail recentemente: ele usa o nome do Governo Brasileiro, um tom de autoridade, e uma suposta urgência legal (“seu CPF será cancelado”), tudo isso para me induzir a clicar no link e inserir dados sensíveis. Se eu não estivesse atento, poderia ter colocado minhas credenciais do Gov.br ou dados bancários num site falso.

Aqui, uma tática parecida, urgência (somente até 29/04/2025) de regularizar um problema pendente. Nesse caso, provavelmente eu seria redirecionado para um link de pagamento, enviando dinheiro diretamente para os cibercriminosos.

Spear Phishing

Spear phishing é uma forma de phishing que tem um alvo específico, em que os atacantes adaptam as mensagens a indivíduos ou organizações específicas, usando dados coletados para tornar o engano mais convincente. Ele requer reconhecimento antes do ataque para descobrir nomes, cargos, endereços de e-mail e outros. O caso do Twitter em 2020 é considerado um Spear Phishing.

Whaling

Whaling é um tipo de Phishing que tem como alvo executivos de alto nível, CEOs e CFOs. É um Spear Phishing de alto nível.

Baiting

Baiting é um ataque que utiliza uma "isca" para induzir a vítima a executar uma ação comprometedora. O invasor oferece algo atrativo — como um arquivo gratuito, um link de promoção, um pendrive “esquecido” ou até uma oferta de emprego — em troca de acesso ao sistema da vítima.

Exemplo clássico: pendrives deixados propositalmente em áreas comuns de uma empresa. Um funcionário curioso conecta o dispositivo ao computador, permitindo a execução de malware que compromete a rede.

Quid Pro Quo

Quid Pro Quo, expressão latina que significa “dar algo para receber algo”, ocorre quando o atacante oferece um benefício em troca de informações ou ações que facilitem o ataque.

Exemplo: Alguém se passando por técnico de TI liga para a vítima, dizendo que há um problema no computador dela e oferece suporte — mas solicita a senha de acesso para “resolver o problema”.

A confiança e a boa vontade da vítima são exploradas para que ela forneça informações sensíveis.

Tailgating

Tailgating, também conhecido como “piggybacking”, é quando o invasor tenta entrar fisicamente em uma área restrita seguindo de perto um funcionário autorizado — normalmente aproveitando da empatia ou da pressa da vítima. Mas também podendo contar com a má intenção do funcionário autorizado.

Exemplo: Um atacante finge estar com as mãos ocupadas carregando caixas e, com um “pode segurar a porta pra mim?”, entra em um prédio corporativo sem credenciais.

Muitas vezes, o invasor sequer precisa mentir — apenas explora a cortesia natural das pessoas.

Esses tipos de ataques são eficazes porque não dependem de vulnerabilidades técnicas, mas sim humanas. O conhecimento dessas táticas é o primeiro passo para construir uma cultura de segurança nas organizações — e para se proteger como indivíduo.

Vishing

Diferente do phishing que usa e-mail, anúncios e sites maliciosos, o vishing (phishing + voz) utiliza recursos de voz, como ligações de supostos serviços de telefonia via internet (VoIP) para enganar as vítimas e extrair informações pessoais e confidenciais, como senhas de banco, cartão de crédito e CPF.

Pharming

Em um ataque de pharming, a vítima recebe um código malicioso instalado em seu computador. Esse código então envia a vítima para um site falso projetado para coletar suas credenciais de login.

Phishing pop-up

O phishing pop-up geralmente usa um pop-up sobre um problema com a segurança do seu computador ou algum outro problema para enganá-lo e fazê-lo clicar. Em seguida, você é direcionado para fazer download de um arquivo, que acaba sendo um malware, ou para chamar o que deveria ser um centro de suporte.

Phishing Evil Twin

Em um ataque de evil twin, o hacker configura uma rede Wi-Fi falsa que parece real. Se alguém fizer login e inserir detalhes confidenciais, o hacker capturará suas informações.

Phishing Watering Hole

Em um ataque de phishing watering hole, um hacker descobre um site que um grupo de usuários tende a visitar. Ele então o usa para infectar os computadores dos usuários na tentativa de penetrar na rede.

Clone Phishing

Um ataque de clone phishing envolve um hacker fazendo uma cópia idêntica de uma mensagem que o destinatário já recebeu. Eles podem incluir algo como “reenviar isso” e colocar um link malicioso no e-mail.

Phishing Enganoso

Os phishers enganosos usam tecnologia enganosa para fingir que estão com uma empresa real para informar os alvos de que já estão sofrendo um ataque cibernético. Os usuários então clicam em um link malicioso, infectando seu computador.

Phishing Angler

Os Anglers usam postagens falsas nas redes sociais para fazer com que as pessoas forneçam informações de login ou façam download do malware.

Phishing de Imagem

O phishing de imagem usa imagens com arquivos maliciosos para ajudar um hacker a roubar as informações da sua conta ou infectar seu computador.

Exemplo: Os hackers usaram o AdGholas para ocultar códigos maliciosos escritos em JavaScript dentro de imagens e arquivos HTML. Quando alguém clicou em uma imagem gerada pelo AdGholas, o malware fez download em seu computador e poderia ser usado para phishing para suas informações pessoais.

Phishing do Mecanismo de Pesquisa

Um ataque de phishing de mecanismo de busca envolve um invasor que faz produtos falsos que parecem atraentes. Quando eles aparecem em um mecanismo de busca, o alvo é solicitado a inserir informações confidenciais antes de comprar, que então vai para um hacker.

Maiores Desafios Atualmente

A IA generativa sem dúvida provou ser transformadora no aumento da produtividade das empresas. No entanto, do outro lado dessa transformação existe uma verdade perigosa: a IA também está transformando criminosos inexperientes ou com pouca experiência em engenheiros sociais qualificados e atacantes de phishing sofisticados.

Ao automatizar e personalizar vários componentes do processo de ataque, a IA acelera e refina os ataques de phishing, tornando-os mais sofisticados e difíceis de detectar.

A IA generativa analisa rapidamente dados públicos, como informações sobre organizações e executivos, economizando tempo no reconhecimento para os criminosos e permitindo ataques direcionados mais precisos.
Os chatbots de LLM criam comunicações e e-mails de phishing precisos e confiáveis, eliminando erros ortográficos e gramaticais.
A IA generativa pode gerar rapidamente páginas de phishing convincentes. O relatório da ThreatLabz mostra como o ChatGPT criou uma página de login de phishing em menos de 10 solicitações e fornece indicadores importantes a serem observados ao identificar uma página de phishing.

A IA torna mais difícil diferenciar conteúdo autêntico de conteúdo fraudulento, tornando ainda mais desafiador discernir esquemas de phishing em páginas web legítimas e comunicações digitais.

Insights sobre vishing

As campanhas avançadas de vishing estão ganhando popularidade em todo o mundo, levando a perdas financeiras substanciais em alguns casos. Usando IA para imitar vozes de pessoas famosas ou conhecidas, tornando os ataques vishing ainda mais desafiadores de serem detectados. A ThreatLabz prevê um aumento contínuo de campanhas direcionadas de phishing por voz

Insights sobre deepfake

Os ataques de phishing envolvendo deepfakes serão uma das ameaças cibernéticas baseadas em IA mais desafiadoras. Os criminosos agora possuem a capacidade de criar conteúdo de vídeo que reproduz com precisão rostos, vozes e maneirismos. Essa manipulação já se manifestou de formas preocupantes, como no processo eleitoral, onde vídeos deepfake criam narrativas ou declarações falsas de figuras políticas. Esses vídeos podem influenciar a opinião pública, disseminar a desinformação e minar a confiança na integridade do processo eleitoral. À medida que a sociedade se torna cada vez mais dependente da comunicação digital e do consumo de meios de comunicação social, as possíveis ramificações políticas e transformadoras dos golpes de deepfake irão provavelmente estender-se muito além do âmbito das aplicações atuais. Desde fraudes financeiras até espionagem corporativa, o uso de tecnologia deepfake representa uma ameaça significativa para organizações, indivíduos e a sociedade em geral.

Fases de um Ataque de Engenharia Social

Reconhecimento (OSINT)

OSINT é a sigla em inglês para “Inteligência de código aberto”. Essa etapa consiste na coleta de informações de fontes abertas — ou seja, qualquer dado publicamente acessível, como perfis de redes sociais, blogs, sites corporativos, postagens em fóruns ou documentos públicos.

Muitas vezes, os próprios usuários fornecem informações valiosas sem perceber: nome completo, cargo, rotina de trabalho, nomes de colegas, localização, uso de hashtags de eventos internos… Tudo isso pode ser explorado para tornar o ataque mais convincente.

Planejamento do Ataque

Com base nos dados obtidos durante o reconhecimento, o atacante define a melhor abordagem: qual canal utilizar (e-mail, telefone, WhatsApp), o tom da comunicação (urgente, técnico, amigável), e qual história será contada.

Um invasor pode, por exemplo, se passar por um fornecedor ou parceiro da empresa usando detalhes reais extraídos do LinkedIn da vítima.

Execução

Aqui, o atacante envia a mensagem ou realiza o contato inicial. Pode ser:

Um e-mail de phishing com link malicioso;
Uma ligação telefônica se passando por alguém do RH ou da TI;
Uma conversa por WhatsApp simulando um gestor da empresa.

A intenção é sempre a mesma: convencer a vítima a agir de forma prejudicial, como clicar em um link, fornecer uma senha ou baixar um arquivo infectado.

Pós-exploração

Se o ataque for bem-sucedido, o invasor pode:

Acessar redes internas da empresa;
Escalar privilégios (elevar seu nível de acesso);
Espalhar malware ou ransomware;
Roubar dados confidenciais.

Essa etapa pode durar dias ou até semanas, dependendo da cautela e dos objetivos do invasor. Além disso, o invasor pode instalar um backdoor (porta dos fundos), o que significa que, mesmo que o ataque seja identificado e a falha resolvida, ele pode voltar a acessar o sistema futuramente — de forma silenciosa e persistente.

Encobrimento

Para evitar detecção, o atacante pode:

Apagar rastros nos logs;
Criar contas falsas, ou instalar um backdoor para manter acesso no futuro;
Fazer o ataque parecer um erro humano comum.

Muitos ataques de engenharia social só são descobertos dias ou semanas depois — quando os danos já foram feitos.

A engenharia social é silenciosa, sutil e, muitas vezes, devastadora. Conhecer cada fase do ataque é a chave para reagir a tempo, educar colaboradores e fortalecer a cultura de segurança antes que o prejuízo aconteça.

Termos Técnicos

Escalar privilégios: Obter acesso a contas de nível mais alto a partir de uma conta de nível inferior.
Malware: Qualquer software malicioso, como vírus, ransomware ou trojans.
Ransomware: Tipo de malware que criptografa dados, impedindo o acesso à informação, e exige pagamento para liberar o acesso.
Backdoor: Acesso clandestino ao sistema, mantido mesmo após a falha inicial ser corrigida.

Como se Defender

Dado o preocupante cenário de ameaça, como as organizações e as pessoas podem se proteger contra as mais recentes ameaças de phishing? Uma solução definitiva está no estabelecimento de uma base para uma arquitetura zero trust. Adaptar estratégias de segurança para combater novas tendências de phishing e mitigar os riscos associados é crucial, e o zero trust é uma estratégia comprovada.

Zero Trust, ou Confiança Zero, é um modelo de segurança que assume que nenhuma entidade (usuário, dispositivo, sistema) deve ser confiável por padrão, mesmo que esteja dentro da rede da organização. Em vez de confiar implicitamente em entidades, o Zero Trust exige que cada acesso a recursos seja verificado e autenticado, independentemente do local da entidade. Se você está recebendo ligação do banco para pagar alguma coisa, confirme no aplicativo essa pendência. Se seu chefe te mandar um email pedindo informações sensíveis, confirme por mensagem.

Educação e Conscientização Constante

Um dos maiores equívocos sobre engenharia social é acreditar que apenas pessoas desatentas ou não técnicas caem nesse tipo de golpe. Ou ainda, que sistemas de segurança modernos são suficientes para barrar qualquer tentativa.

A verdade é que ataques de engenharia social são sutilmente construídos para enganar até os mais experientes, e nenhuma tecnologia é eficaz se o elo humano falhar.

Por isso, é vital que todos — principalmente dentro de organizações — recebam treinamentos periódicos para:

Reconhecer sinais de phishing e outras tentativas de manipulação;
Reportar rapidamente qualquer suspeita, antes que o ataque evolua;
Criar uma cultura de cibersegurança, onde desconfiar de situações suspeitas seja incentivado, não reprimido.

Treinamentos práticos com simulações reais, campanhas de alerta e comunicação transparente sobre riscos são as melhores formas de proteger o fator mais explorado por cibercriminosos: o comportamento humano.

Simulações de Phishing e campanhas internas

Simulações de phishing são testes controlados feitos para avaliar a capacidade dos funcionários de reconhecer e reagir a tentativas de engenharia social.

Eles recebem e-mails (ou mensagens SMS/ligação) com aparência legítima, mas com armadilhas típicas de ataques reais — urgência, falsos remetentes ou links suspeitos.

Quem “cai” no golpe simulado, não sofre consequências reais, mas é redirecionado para materiais educativos e alertado sobre o erro.

Por que as simulações de phishing são importantes?

Educam na prática: ajudam os colaboradores a identificar golpes reais.
Revelam vulnerabilidades: mostram em quais áreas ou equipes há mais risco.
Aprimoram a resposta a incidentes: preparam a empresa para ataques reais.

Como funcionam as simulações de phishing?

Planejamento:

Definição de metas (educar? testar executivos?)
Escolha dos tipos de ataque simulados
Frequência e escopo da campanha

Criação do conteúdo:

E-mails realistas, com técnicas como spoofing, urgência e personificação
Modelos baseados em ataques reais e kits da dark web

Execução e envio:

Mensagens são disparadas de forma segura para os alvos selecionados

Monitoramento:

Rastreamento de interações: cliques, downloads, fornecimento de dados

Análise e feedback:

Avaliação de métricas (taxa de cliques, departamentos mais vulneráveis)
Feedback imediato e reforço educativo para quem falhou no teste

Simulações de phishing não são uma forma de punição, e sim uma ferramenta estratégica de aprendizado contínuo. Treinar a mente para desconfiar de mensagens suspeitas é a melhor defesa contra o tipo de ataque que mais cresce no mundo digital.

Autenticação Multifator (MFA)

A autenticação multifator (MFA) é um método de verificação de identidade que exige que o usuário forneça duas ou mais formas de autenticação antes de obter acesso a uma conta ou sistema. Ou seja, ela vai além da tradicional senha, adicionando camadas extras de segurança.

Por exemplo, além da senha, o usuário pode ser solicitado a:

Inserir um código temporário enviado por SMS ou e-mail;
Confirmar uma notificação em um aplicativo autenticador;
Utilizar reconhecimento facial ou impressão digital.

Mesmo que um atacante consiga sua senha por meio de phishing, ele não conseguirá acessar sua conta sem o segundo fator.

Esses fatores geralmente se enquadram em três categorias:

Algo que você sabe: senha, PIN, resposta a uma pergunta de segurança;
Algo que você tem: token físico, smartphone, cartão de segurança;
Algo que você é: impressão digital, reconhecimento facial, biometria comportamental.

A MFA é uma das defesas mais eficazes contra ataques baseados em engenharia social, porque adiciona uma barreira que não pode ser facilmente enganada com uma simples mensagem de e-mail falsa.

Atenção a remetentes e links suspeitos

Um dos principais vetores usados em ataques de engenharia social, especialmente no phishing, são os links maliciosos. Muitas vezes, esses links levam a páginas falsas que imitam sites legítimos (como bancos, redes sociais ou portais do governo), com o objetivo de roubar suas credenciais, instalar malware ou capturar dados sensíveis.

Algumas dicas para identificar links suspeitos:

Use ferramentas para verificar Links suspeitos, como o URLVoid, que usa bancos de dados de listas de bloqueio e serviços online de reputação de sites para verificar links inseguros.
Passe o mouse sobre o link antes de clicar: confira o destino real no canto inferior do navegador. Se o link diz ser "gov.br", mas aponta para "gov-br.autenticacao.fake-login.com", não clique!
Desconfie de URLs encurtadas: atacantes usam serviços como bit.ly ou tinyurl para ocultar o verdadeiro destino. Use ferramentas como CheckShortURL para visualizar o link completo antes de acessar.
Preste atenção em erros sutis no endereço: domínios como faceb00k.com, g0ogle.com, ou micr0soft.support são muito usados para enganar visualmente os usuários.
Evite clicar em links de remetentes desconhecidos ou suspeitos, mesmo que a mensagem pareça legítima ou crie senso de urgência.

Dica: Sempre prefira digitar manualmente o endereço no navegador ou acessar o site oficial via busca. Um clique errado pode ser suficiente para comprometer toda sua segurança.

Treinamento contra pressão psicológica (urgência, autoridade, etc.)

Os ataques de engenharia social não se baseiam apenas em tecnologia — eles exploram emoções humanas. Atacantes usam táticas psicológicas para manipular a vítima a agir rapidamente, sem pensar, contornando o julgamento racional.

Algumas das pressões mais comuns aplicadas por engenheiros sociais incluem:

Urgência

Mensagens que impõem prazos curtos e fazem parecer que algo ruim acontecerá se você não agir imediatamente:

"Atualize seus dados agora ou sua conta será bloqueada."

"Você tem 10 minutos para confirmar este pagamento."

Como resistir: Em treinamentos, é importante reforçar que nenhuma empresa séria exige decisões críticas sob pressão imediata. A recomendação é sempre parar, respirar, e verificar a origem da mensagem com calma.

Autoridade

O invasor pode fingir ser alguém com poder — um chefe, um diretor ou até um representante do governo — para intimidar ou forçar uma resposta rápida:

"Sou o gerente da sua unidade e preciso dessas informações agora para uma reunião urgente."

Como resistir: Ensine os colaboradores a não se deixarem intimidar por cargos ou nomes, e sempre validar a identidade do solicitante por outros meios (como ligação direta ou contato interno).

Empatia e manipulação emocional

Narrativas que apelam para a solidariedade ou culpa, como:

"Preciso dessa informação para não perder meu emprego."

"Estou com um problema familiar e preciso que você me ajude com isso rápido."

Como resistir: Treinamentos devem mostrar que ajudar é bom — mas com consciência. Atos de empatia não devem comprometer a segurança. A regra é sempre verificar antes de agir.

A Importância de Simular Situações Emocionais

Além de simulações técnicas, os treinamentos também podem incluir cenários que envolvem pressão emocional ou autoridade falsa, para preparar os usuários a responder com calma e ceticismo — mesmo em situações estressantes.

A melhor defesa contra a manipulação emocional é o preparo: quando a mente já viu aquele tipo de situação antes, ela reconhece os sinais de alerta.

Exemplos Reais de Ataques de Engenharia Social

O caso da “falsa CEO” — Ataque de Autoridade (CEO Fraud)

Local: França, 2016

O que aconteceu: Um grupo de cibercriminosos aplicou um golpe de Business Email Compromise (BEC), se passando pela CEO de uma empresa. Eles enviaram um e-mail urgente ao setor financeiro, dizendo que a empresa estava prestes a fechar uma aquisição ultrassecreta e que precisava de uma transferência bancária imediata.

O tom era formal, autoritário e sigiloso. O e-mail dizia que, por questões legais, ninguém poderia ser informado.

Resultado: A empresa perdeu mais de 30 milhões de euros em transferências internacionais feitas sob pressão e sem validação.

Golpe do “suporte do banco” — Urgência e Pânico

Local: Brasil, recorrente

O que acontece: Um golpista liga para a vítima se passando por analista do banco, dizendo que foi detectada uma tentativa de fraude ou compra suspeita no cartão de crédito. Ele afirma que a conta será bloqueada em minutos, a não ser que a pessoa “confirme seus dados” para cancelar a transação.

A urgência e o medo de prejuízo fazem com que muitas vítimas entreguem CPF, número do cartão, CVV e até senhas por telefone.

Resultado: Muitos brasileiros já perderam milhares de reais com esse tipo de golpe — e os criminosos costumam agir com muita naturalidade, até imitando sons de centrais de atendimento no fundo.

Engenharia Social com Empatia no LinkedIn

Local: Mundo, recorrente

O que acontece: Um atacante se passa por recrutador de uma grande empresa e contata vítimas pelo LinkedIn com uma proposta de vaga atraente. O “recrutador” diz que o currículo da pessoa era ideal, mas precisa que ela baixe um documento com os requisitos da vaga (infectado com malware).

O atacante reforça que a vaga é urgente e que “estava torcendo por ela” — criando um vínculo emocional.

Resultado: O malware instala um keylogger e captura tudo que a vítima digita, inclusive senhas.

Estudo de Caso: Como o Phishing Enganou Milhares de Usuários do Facebook em 2020

Em 2020, um grupo de cibercriminosos lançou uma campanha de phishing sofisticada, tendo o Facebook como principal alvo. Os atacantes utilizaram principalmente técnicas de phishing e spoofing (criação de páginas web idênticas às legítimas), com páginas falsas hospedadas em domínios semelhantes (typosquatting), com o intuito de subtrair credenciais de login, senhas e outras informações pessoais sensíveis dos usuários da plataforma.

O vetor inicial do ataque envolveu o envio massivo de e-mails fraudulentos e mensagens privadas que imitavam comunicações autênticas do Facebook. Frequentemente, essas mensagens alertavam sobre supostas atividades incomuns nas contas dos usuários, solicitando um login imediato através de um link fornecido para "restaurar" a segurança ou evitar o bloqueio da conta. Ao clicar, as vítimas eram direcionadas para uma réplica quase perfeita da página de login do Facebook, explorando a familiaridade visual para induzir a confiança.

Dica prática: Verifique se seu e-mail foi comprometido em ataques como esse acessando https://haveibeenpwned.com

Passo a Passo do Ataque

Envio de Mensagens Phishing: A campanha se iniciou com a distribuição de e-mails e mensagens privadas cuidadosamente elaboradas para parecerem notificações legítimas do Facebook. Assuntos comuns incluíam "Alerta de Segurança: Atividade Suspeita Detectada", "Sua Conta Foi Temporariamente Bloqueada" ou "Verificação de Segurança Urgente". Essas mensagens frequentemente continham logotipos e layouts idênticos aos do Facebook, aumentando sua credibilidade.
Redirecionamento para Páginas Falsas: Os links maliciosos presentes nas mensagens levavam os usuários a páginas de login falsas, hospedadas em domínios que, muitas vezes, apresentavam pequenas variações no nome (typosquatting) para se assemelharem ao endereço oficial do Facebook (ex: https://www.google.com/search?q=facebo0k.com, facbook.net). Essas páginas eram projetadas para replicar fielmente a interface de login do Facebook, incluindo campos para e-mail ou telefone e senha.
Captura de Credenciais: Uma vez que a vítima inseria suas informações de login na página fraudulenta, esses dados eram transmitidos instantaneamente para os servidores controlados pelos atacantes. Esse processo ocorria de forma transparente para o usuário, que muitas vezes era redirecionado para a página real do Facebook ou recebia uma mensagem de erro genérica, sem suspeitar do comprometimento.
Acesso à Conta e Exploração: Com as credenciais em mãos, os cibercriminosos obtinham acesso irrestrito às contas das vítimas. Isso permitia o roubo de informações pessoais detalhadas, como histórico de conversas, fotos, listas de amigos e dados de perfil. As contas comprometidas podiam ser usadas para disseminar ainda mais o ataque, enviando mensagens de phishing para os contatos da vítima, explorando a confiança inerente às relações sociais.
Uso de Credenciais para Acesso a Outras Contas: A reutilização de senhas em diferentes plataformas é uma prática comum entre muitos usuários. Dessa forma, as credenciais roubadas do Facebook poderiam ser testadas em outros serviços online, como e-mail, bancos e outras redes sociais, ampliando o escopo do ataque e o potencial de dano financeiro e de privacidade.

O Impacto do Phishing do Facebook

O ataque de phishing de 2020 no Facebook gerou um impacto significativo em diversos níveis:

Perda de Privacidade e Dados Pessoais: Milhares de usuários tiveram suas informações privadas expostas. Em alguns casos documentados por empresas de segurança cibernética como a Kaspersky e a NortonLifeLock, dados como mensagens íntimas e fotos foram utilizados em tentativas de extorsão ou vazaram em fóruns online.
Risco de Fraude Financeira: A conexão de contas bancárias e informações de pagamento ao Facebook para publicidade ou compras dentro da plataforma tornou os usuários vulneráveis a fraudes financeiras. Relatórios da Federal Trade Commission (FTC) nos EUA frequentemente destacam o aumento de fraudes online originadas de ataques de phishing em redes sociais.
Danos à Reputação da Plataforma: Segundo um relatório da Edelman Trust Barometer (2021), 62% dos usuários relataram desconfiança em redes sociais após incidentes de phishing. O Facebook respondeu com comunicados públicos e campanhas como "Secure Your Account", destacando novas ferramentas de segurança.
Propagação do Ataque: Contas comprometidas serviram como vetores para a propagação da campanha de phishing. Mensagens fraudulentas enviadas por contas de amigos e familiares tinham maior probabilidade de serem clicadas, explorando a confiança nas redes sociais das vítimas.

Como o Phishing Funciona nesse Caso

Neste cenário, os atacantes se valeram de uma combinação de engenharia social e sofisticação técnica. O spoofing de e-mails e websites foi crucial para criar a ilusão de legitimidade. A técnica de pharming, embora menos comum em ataques diretos via e-mail (geralmente envolve a manipulação de servidores DNS), pode ter sido utilizada em conjunto para redirecionar usuários que digitavam o endereço correto do Facebook para uma página falsa sem que percebessem a alteração no URL (especialmente se a vítima acessava o site por um link comprometido anteriormente).

O senso de urgência e o medo de perder o acesso à conta, explorados nas mensagens de phishing ("atividade suspeita", "conta bloqueada"), são táticas clássicas de engenharia social que levam as vítimas a agir impulsivamente, sem verificar a autenticidade da comunicação.

O que Foi Aprendido com o Caso

O ataque de phishing no Facebook em 2020 reforçou diversas lições críticas sobre segurança cibernética:

Autenticação de Dois Fatores (2FA): A implementação generalizada e a conscientização sobre a 2FA se mostraram essenciais. Plataformas como o Facebook incentivaram seus usuários a ativar essa camada extra de segurança, que exige um segundo código de verificação (geralmente enviado para o celular) além da senha para acessar a conta. Relatórios de segurança da Microsoft e do Google consistentemente apontam a 2FA como uma das medidas mais eficazes contra a maioria dos ataques de phishing.
Educação e Conscientização dos Usuários: A necessidade de educar os usuários sobre os riscos do phishing e como identificar mensagens e sites suspeitos tornou-se ainda mais evidente. Campanhas de conscientização promovidas por órgãos como a National Cyber Security Centre (NCSC) no Reino Unido e a Cybersecurity and Infrastructure Security Agency (CISA) nos EUA oferecem guias e recursos para ajudar os usuários a se protegerem.
Tecnologias de Segurança e Monitoramento: Plataformas online investem continuamente em sistemas de detecção e prevenção de phishing, utilizando inteligência artificial e análise comportamental para identificar atividades suspeitas e bloquear sites e mensagens fraudulentas.
Análise Crítica de E-mails e Links: A importância de verificar cuidadosamente o remetente de e-mails e inspecionar as URLs dos links antes de clicar e inserir informações confidenciais é crucial. Usuários são aconselhados a passar o mouse sobre os links para visualizar o endereço real e verificar se ele corresponde ao site esperado.

O ataque de phishing direcionado ao Facebook em 2020 serve como um alerta contundente sobre as ameaças persistentes no cenário digital. As consequências para os usuários e para a plataforma ressaltam a importância de uma abordagem multifacetada para a segurança cibernética, combinando medidas técnicas robustas com a educação e a vigilância dos usuários. Aprender com incidentes como este é fundamental para fortalecer as defesas contra futuras investidas de cibercriminosos e promover um ambiente online mais seguro.

Conclusão Final

A engenharia social continua sendo uma das maiores ameaças à segurança digital — não por brechas em sistemas ou falhas técnicas, mas pela exploração direta da psicologia humana. Como vimos neste estudo, ataques como phishing, spear phishing e baiting são eficazes justamente por manipularem emoções como medo, urgência, confiança e empatia.

Casos emblemáticos como o ataque ao Twitter em 2020 e a campanha de phishing massivo no Facebook mostram que nem mesmo as maiores empresas do mundo estão imunes quando o elo humano é explorado.

A resposta a essas ameaças vai além da tecnologia. Ferramentas como autenticação multifator (MFA), verificação de links maliciosos e firewalls são importantes — mas não bastam sozinhas. O verdadeiro escudo contra a engenharia social é uma cultura de segurança baseada em:

Educação contínua;
Conscientização ativa;
Treinamento em situações de pressão emocional;
Simulações realistas de ataques.

Em um mundo cada vez mais conectado e ameaçado, a segurança não é apenas responsabilidade do time de TI, mas sim um compromisso coletivo — do CEO ao estagiário.

Tecnologia protege, mas é o comportamento que garante. Nenhuma solução automatizada substitui a vigilância humana.

A maior lição que fica é clara: a segurança digital é um equilíbrio entre inovação técnica e preparação humana. Só quando ambos caminham juntos conseguimos construir uma defesa sólida contra a manipulação que não ataca máquinas — mas sim mentes.

Sobre o Autor

Vitor é um profissional de TI especializado em cibersegurança, desenvolvimento fullstack e cloud computing. Ele possui experiência em criar e implementar soluções para automação de resposta a incidentes, estratégias de defesa cibernética e realização de testes de intrusão (pentesting), além de desenvolver e ministrar treinamentos eficazes contra ataques de phishing e engenharia social. Suas certificações incluem SC-900, Fortinet FCF/FCA e outras. Vitor é formado em Engenharia Mecânica (UFF) e atualmente estuda Sistemas de Computação (UFF) e Análise e Desenvolvimento de Sistemas (União das Américas).