O que é engenharia social?
Engenharia social é a manipulação psicológica de uma pessoa para que ela entregue informações, acessos ou dinheiro, em vez de o criminoso explorar uma falha técnica. O golpista se passa por alguém de confiança, um chefe, um fornecedor, o banco, e aciona gatilhos como urgência, medo e autoridade. É a base da maioria dos ataques cibernéticos, do phishing à fraude do e-mail corporativo (BEC).
Como funciona um ataque de engenharia social
A engenharia social não invade sistemas: ela convence uma pessoa. O golpe costuma seguir quatro etapas, e as fraudes mais elaboradas levam semanas de preparação.
Reconhecimento
O criminoso estuda o alvo em redes sociais, no site da empresa e em e-mails vazados: quem tem acesso, como as pessoas se comunicam e em quem elas confiam.
Vínculo e pretexto
Ele assume uma identidade confiável e monta uma história plausível, um cenário que justifica o contato e baixa a guarda da vítima.
Exploração
No momento certo, dispara o gatilho psicológico, urgência, medo, autoridade ou curiosidade, e faz o pedido: uma senha, um clique, uma transferência.
Saída
De posse do acesso ou do dinheiro, o golpista desaparece e apaga rastros. Muitas vezes a vítima só percebe dias depois, quando o prejuízo já está feito.
Fonte: Verizon (DBIR) e Cyber Encyclopedia da N-able.
Como reconhecer a engenharia social
- Urgência artificial: um pedido que “não pode esperar” e pressiona você a agir sem pensar
- Autoridade: uma ordem que parece vir do chefe ou de uma figura de poder, para inibir perguntas
- Medo ou ameaça: “sua conta será bloqueada”, “haverá consequências se você não agir”
- Bom demais para ser verdade: um prêmio, um reembolso ou uma oferta que você não esperava
- Um pedido fora do processo normal: pular uma aprovação, mudar dados bancários, abrir uma exceção
- Sigilo: o pedido para não comentar com colegas nem seguir o caminho de sempre
- Troca do canal habitual: quem sempre ligava agora só escreve, ou um contato conhecido muda de e-mail
Tipos de engenharia social
- Phishing e suas variações A forma mais comum: mensagens que imitam uma fonte confiável por e-mail, SMS (smishing), voz (vishing) ou QR Code (quishing).
- Pretexting Um cenário fabricado e uma relação construída ao longo do tempo. É a técnica por trás da fraude do e-mail corporativo (BEC).
- Isca (baiting) Algo atraente, um pendrive “esquecido”, um download gratuito ou um brinde, que instala o programa malicioso quando a vítima morde a isca.
- Troca de favor (quid pro quo) O golpista oferece uma ajuda, um falso suporte técnico, em troca de acesso ou de uma senha.
- Carona (tailgating) A versão presencial: uma pessoa sem autorização segue um funcionário por uma porta segura, contando com a educação de quem segura a porta.
Por que a engenharia social é tão perigosa
A engenharia social é perigosa porque ataca o que nenhuma ferramenta protege sozinha: a confiança das pessoas. Segundo a Verizon (DBIR 2025), 60% das violações de dados envolvem uma ação humana, e 22% partem de engenharia social. Entre esses ataques, 57% usam phishing e 30% usam pretexting, a construção paciente de confiança que sustenta o BEC. Como não há vírus nem anexo para um filtro bloquear, o golpe atravessa firewalls e antivírus e chega direto à caixa de entrada ou ao telefone. Quando uma pessoa é convencida, o atacante entra usando credenciais válidas, sem disparar alarme, e a empresa inteira fica exposta. O prejuízo raramente para no valor enviado: soma o acesso obtido, os dados expostos e a confiança quebrada com clientes e fornecedores.
Como se proteger da engenharia social
Como o alvo é a pessoa, e não a máquina, a defesa combina consciência com tecnologia, na ordem que mais reduz o risco:
- Treinamento e simulação contínuosA equipe aprende a reconhecer os gatilhos e deixa de ser o elo mais frágil para virar a primeira linha de defesa.
- Verificar por um canal independenteDiante de um pedido de dinheiro, dados ou acesso, confirme por um número já conhecido, nunca respondendo à própria mensagem.
- Segunda verificação de identidadeAlém da senha, no acesso a e-mail e sistemas: se uma credencial for entregue, o segundo fator ainda barra a entrada.
- Processos que não dependem de uma só pessoaDupla aprovação para pagamentos e mudanças de dados bancários, para que ninguém decida sozinho sob pressão.
- Segurança de e-mail gerenciada e defesa de endpointA rede de segurança técnica que filtra a maioria das mensagens e contém o golpe quando alguém escorrega.
- Cultura de poder questionarDeixar claro que confirmar um pedido urgente nunca será punido, mesmo quando ele parece vir “do chefe”.
Na prática
O gatilho preferido da engenharia social é a pressa. Diante de um pedido urgente e fora do comum, parar trinta segundos para confirmar por outro canal desarma a maioria dos golpes.
Como a Zamak trata a engenharia social
A Zamak Technologies trata a engenharia social nas duas pontas: preparar as pessoas, com treinamento e simulação contínuos, e sustentar a tecnologia por trás delas, com segurança de e-mail gerenciada, segunda verificação de identidade e defesa avançada de endpoint. Um bom ponto de partida é a simulação de phishing, que mostra como a sua equipe reagiria ao golpe mais comum, e a frente de Cibersegurança reduz as brechas que a manipulação explora.