Engenharia social em cibersegurança: o ataque mais fácil… e mais perigoso

Segurança de Informação

Engenharia social na cibersegurança: o ataque mais perigoso

O que é engenharia social, e porque é que funciona tão bem?

A engenharia social não começa com código. Começa com pessoas.

Um atacante envia um e-mail convincente, liga a fingir que é do suporte, ou até usa um vídeo falso gerado por IA. E alguém, no meio da rotina, diz “sim”. É o suficiente.

Segundo o Verizon DBIR 202560% das violações têm origem humana.

Não por falta de tecnologia, mas porque alguém acreditou numa história bem contada.

Porque é que este tipo de ataque domina 2025

Os relatórios de 2024/2025 mostram exatamente o mesmo padrão:

  • Phishing e pretexting continuam a ser portas de entrada favoritas.
  • Ataques de vishing cresceram 442% no final de 2024.
  • Deepfakes estão a causar prejuízos de milhões.
  • O FBI reportou 2,77 mil milhões de dólares perdidos só em ataques BEC.

Para um cibercriminoso, manipular alguém é mais barato, mais rápido e mais eficaz do que quebrar uma firewall.

Phishing

Como a psicologia humana é explorada

Os criminosos são “psicólogos amadores” que exploram vieses cognitivos previsíveis. A partir de vários estudos e casos reais, é possível identificar três gatilhos principais:

  • Medo e urgência: mensagens que ameaçam cancelar contas ou alertam para actividade suspeita criam ansiedade e levam a decisões apressadas.
  • Autoridade e confiança: tendemos a obedecer figuras de autoridade. Os atacantes exploram isto ao fazer-se passar por CEOs, equipas de TI ou entidades governamentais.
  • Curiosidade e ganância: ofertas tentadoras, prémios ou ficheiros “interessantes” apelam ao desejo de recompensa e incentivam cliques impulsivos.

Principais técnicas de engenharia social

Nesta secção explicamos as principais técnicas, como funcionam, exemplos e sinais de alerta. Use os subtítulos para navegar rapidamente.

Phishing e spear phishing

Como funciona: o phishing utiliza e-mails ou mensagens de texto para enganar a vítima. O atacante faz-se passar por um contacto de confiança (banco, fornecedor, colega) para solicitar dados ou encaminhar a vítima para um site falso. O e-mail inclui logótipos realistas e um tom de urgência (“actualize a conta imediatamente”) para incentivar o clique.

spear phishing é ainda mais perigoso: personaliza a mensagem com nome, cargo ou outros dados recolhidos online, aumentando a credibilidade.

Sinais de alerta: mensagens inesperadas com tom urgente, domínios ligeiramente alterados, links encurtados, pedidos de login fora do habitual ou anexos não solicitados.

Pretexting (falsos pretextos)

Como funciona:  Os atacantes inventam histórias e assumem identidades, técnico de IT, RH, auditor, parceiro externo, para levar alguém a partilhar dados sensíveis.

Segundo o Verizon DBIR 2023, este método representou mais de 50% dos incidentes de engenharia social.

Antes do ataque, os criminosos recolhem informação sobre a vítima e a empresa (redes sociais, website, artigos, organogramas). Depois contactam por e-mail, SMS ou chamada, usando urgência, autoridade ou escassez para legitimar o pedido.

Sinais de alerta: pedidos de acções fora do normal (como reconfigurar sistemas ou desbloquear contas), contactos urgentes por canais informais, perguntas demasiado detalhadas sobre procedimentos ou segurança.

Tailgating e piggybacking (acessos físicos)

Como funciona:

tailgating ocorre quando uma pessoa não autorizada entra numa área restrita seguindo de perto alguém autorizado. A Fortinet explica que o intruso aproveita a cortesia de um colaborador, pedir para “segurar a porta”, carregar caixas, fingir ser estafeta ou novo funcionário.

O atacante pode ainda solicitar “emprestar um carregador” ou “usar um computador só um minuto”, instalando malware ou copiando credenciais.

piggybacking é semelhante, mas envolve um pedido explícito:

“Esqueci o cartão”, “Sou novo, o meu acesso ainda não está activo”, “Posso entrar consigo?”

Sinais de alerta: pessoas sem identificação válida a tentar entrar com colaboradores, desconhecidos a pedir ajuda na entrada de áreas restritas, pedidos para utilizar dispositivos ou portas USB corporativas.

Como se pode proteger?

Formação contínua e cultura de segurança

Programas regulares de formação em segurança são fundamentais. Simulações de phishing, vishing e quishing ajudam os colaboradores a reconhecer técnicas e a responder com calma.

A formação deve ir além da teoria e incluir cenários realistas, para que os funcionários aprendam a reagir perante emoções como urgência, pressão ou autoridade.

Verificações multicanal e processos de autorização

As empresas devem implementar processos formais de verificação, sobretudo para pedidos sensíveis:

  • Out-of-band verification: confirmar pedidos de redefinição de senha ou transferências financeiras através de um segundo canal (por exemplo, chamada para o gestor ou validação na aplicação oficial).
  • Políticas de help desk: exigir aprovação hierárquica para alterações de MFA ou concessão de acessos de privilégio elevado.
  • Multi-factor authentication reforçada: utilizar MFA com notificação push e códigos numéricos, e acrescentar uma camada adicional de verificação (como contacto com o gestor ou com a equipa de segurança) para pedidos de reset.

Resposta e recuperação

Mesmo com boas práticas, os ataques podem acontecer. Por isso, um plano de resposta a incidentes é indispensável:

  1. Isolamento rápido: bloquear a conta ou o dispositivo comprometido assim que surgir suspeita.
  2. Notificação imediata: comunicar ao departamento de segurança ou ao parceiro externo especializado para iniciar a investigação.
  3. Restauro e revisão: redefinir credenciais, avaliar o impacto e rever processos para evitar reincidência.
  4. Comunicação transparente: informar colaboradores e clientes afectados, cumprindo também as obrigações legais aplicáveis (como as previstas no RGPD).

Ebook mandamentos da cibersegurança

Cibersegurança ebook

You may also like