Pular para o conteúdo
Ameaças e Ataques

O que é engenharia social?

Engenharia social é a manipulação psicológica de uma pessoa para que ela entregue informações, acessos ou dinheiro, em vez de o criminoso explorar uma falha técnica. O golpista se passa por alguém de confiança, um chefe, um fornecedor, o banco, e aciona gatilhos como urgência, medo e autoridade. É a base da maioria dos ataques cibernéticos, do phishing à fraude do e-mail corporativo (BEC).

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como funciona um ataque de engenharia social

A engenharia social não invade sistemas: ela convence uma pessoa. O golpe costuma seguir quatro etapas, e as fraudes mais elaboradas levam semanas de preparação.

1

Reconhecimento

O criminoso estuda o alvo em redes sociais, no site da empresa e em e-mails vazados: quem tem acesso, como as pessoas se comunicam e em quem elas confiam.

2

Vínculo e pretexto

Ele assume uma identidade confiável e monta uma história plausível, um cenário que justifica o contato e baixa a guarda da vítima.

3

Exploração

No momento certo, dispara o gatilho psicológico, urgência, medo, autoridade ou curiosidade, e faz o pedido: uma senha, um clique, uma transferência.

4

Saída

De posse do acesso ou do dinheiro, o golpista desaparece e apaga rastros. Muitas vezes a vítima só percebe dias depois, quando o prejuízo já está feito.

Fonte: Verizon (DBIR) e Cyber Encyclopedia da N-able.

Como reconhecer a engenharia social

  • Urgência artificial: um pedido que “não pode esperar” e pressiona você a agir sem pensar
  • Autoridade: uma ordem que parece vir do chefe ou de uma figura de poder, para inibir perguntas
  • Medo ou ameaça: “sua conta será bloqueada”, “haverá consequências se você não agir”
  • Bom demais para ser verdade: um prêmio, um reembolso ou uma oferta que você não esperava
  • Um pedido fora do processo normal: pular uma aprovação, mudar dados bancários, abrir uma exceção
  • Sigilo: o pedido para não comentar com colegas nem seguir o caminho de sempre
  • Troca do canal habitual: quem sempre ligava agora só escreve, ou um contato conhecido muda de e-mail

Tipos de engenharia social

  • Phishing e suas variações A forma mais comum: mensagens que imitam uma fonte confiável por e-mail, SMS (smishing), voz (vishing) ou QR Code (quishing).
  • Pretexting Um cenário fabricado e uma relação construída ao longo do tempo. É a técnica por trás da fraude do e-mail corporativo (BEC).
  • Isca (baiting) Algo atraente, um pendrive “esquecido”, um download gratuito ou um brinde, que instala o programa malicioso quando a vítima morde a isca.
  • Troca de favor (quid pro quo) O golpista oferece uma ajuda, um falso suporte técnico, em troca de acesso ou de uma senha.
  • Carona (tailgating) A versão presencial: uma pessoa sem autorização segue um funcionário por uma porta segura, contando com a educação de quem segura a porta.

Por que a engenharia social é tão perigosa

60%
das violações de dados envolvem uma ação humana (Verizon DBIR 2025)
22%
das violações começam com engenharia social (Verizon DBIR 2025)
57%
dos ataques de engenharia social usam phishing, a forma mais comum (Verizon DBIR 2025)

A engenharia social é perigosa porque ataca o que nenhuma ferramenta protege sozinha: a confiança das pessoas. Segundo a Verizon (DBIR 2025), 60% das violações de dados envolvem uma ação humana, e 22% partem de engenharia social. Entre esses ataques, 57% usam phishing e 30% usam pretexting, a construção paciente de confiança que sustenta o BEC. Como não há vírus nem anexo para um filtro bloquear, o golpe atravessa firewalls e antivírus e chega direto à caixa de entrada ou ao telefone. Quando uma pessoa é convencida, o atacante entra usando credenciais válidas, sem disparar alarme, e a empresa inteira fica exposta. O prejuízo raramente para no valor enviado: soma o acesso obtido, os dados expostos e a confiança quebrada com clientes e fornecedores.

Como se proteger da engenharia social

Como o alvo é a pessoa, e não a máquina, a defesa combina consciência com tecnologia, na ordem que mais reduz o risco:

  1. Treinamento e simulação contínuosA equipe aprende a reconhecer os gatilhos e deixa de ser o elo mais frágil para virar a primeira linha de defesa.
  2. Verificar por um canal independenteDiante de um pedido de dinheiro, dados ou acesso, confirme por um número já conhecido, nunca respondendo à própria mensagem.
  3. Segunda verificação de identidadeAlém da senha, no acesso a e-mail e sistemas: se uma credencial for entregue, o segundo fator ainda barra a entrada.
  4. Processos que não dependem de uma só pessoaDupla aprovação para pagamentos e mudanças de dados bancários, para que ninguém decida sozinho sob pressão.
  5. Segurança de e-mail gerenciada e defesa de endpointA rede de segurança técnica que filtra a maioria das mensagens e contém o golpe quando alguém escorrega.
  6. Cultura de poder questionarDeixar claro que confirmar um pedido urgente nunca será punido, mesmo quando ele parece vir “do chefe”.

Na prática

O gatilho preferido da engenharia social é a pressa. Diante de um pedido urgente e fora do comum, parar trinta segundos para confirmar por outro canal desarma a maioria dos golpes.

Como a Zamak trata a engenharia social

A Zamak Technologies trata a engenharia social nas duas pontas: preparar as pessoas, com treinamento e simulação contínuos, e sustentar a tecnologia por trás delas, com segurança de e-mail gerenciada, segunda verificação de identidade e defesa avançada de endpoint. Um bom ponto de partida é a simulação de phishing, que mostra como a sua equipe reagiria ao golpe mais comum, e a frente de Cibersegurança reduz as brechas que a manipulação explora.

Perguntas frequentes sobre engenharia social

Qual a diferença entre engenharia social e phishing?
O phishing é a forma mais comum de engenharia social, quase sempre por e-mail. Engenharia social é o conceito maior, que inclui também golpes por telefone, por mensagem, por QR Code e até presenciais. Todo phishing é engenharia social, mas nem toda engenharia social é phishing.
Antivírus protege contra engenharia social?
Ajuda, mas não basta. O golpe engana a pessoa, não o sistema: não há vírus nem anexo para o antivírus bloquear. A proteção real combina treinamento, segunda verificação de identidade e processos de aprovação.
Por que os criminosos preferem a engenharia social?
Porque costuma ser mais fácil convencer uma pessoa do que quebrar uma defesa técnica. Com uma credencial entregue de boa-fé, o atacante entra sem disparar alarme. Segundo a Verizon (DBIR 2025), 60% das violações de dados envolvem uma ação humana.
Minha empresa é pequena demais para ser alvo?
Não. A engenharia social mira qualquer organização com pessoas e pagamentos, e as menores costumam ter menos processos de verificação, o que as torna alvos fáceis.
O que é pretexting?
É a construção de um cenário falso e de uma relação de confiança ao longo do tempo, antes do pedido. É a técnica por trás da fraude do e-mail corporativo (BEC), em que o criminoso se passa por um executivo ou fornecedor.
Treinar a equipe é suficiente?
Reduz muito o risco, mas nenhuma pessoa acerta sempre. O treinamento é uma camada; funciona junto com a tecnologia e com processos que não dependem de uma única pessoa decidir sob pressão.