O que é engenharia social? Entenda o funcionamento e como se proteger desse tipo de golpe

Engenharia social é uma técnica de manipulação focada em pessoas, de modo a enganar e induzir vítimas para que elas informem dados sensíveis ou realizem determinadas ações. Esses golpes geralmente resultam em roubos de credenciais e comprometimento de sistemas.

Depois de entrar em contato com a vítima, o cibercriminoso vai convencê-la a informar um dado pessoal, clicar em um link ou conceder acesso a ele, seja por um ataque do tipo phishing, baiting, tailgating, vishing, ou de outras técnicas.

A seguir, entenda o que é engenharia social, veja como identificar esse tipo de golpe, e descubra o que fazer caso se torne uma vítima dessa ameaça.

O que é engenharia social?

Engenharia social é uma técnica usada para manipular ou influenciar vítimas, de modo a explorar as vulnerabilidades e fraquezas humanas a fim de obter dados sensíveis ou comprometer redes e sistemas. Não à toa, a engenharia social também é conhecida pelo termo “hacking humano”.

Ao invés de atacar diretamente sistemas ou redes, golpes de engenharia social focam em enganar pessoas e induzi-las a facilitar a invasão ou roubo de credenciais. O convencimento do cibercriminoso pode fazer com que a vítima informe um dado sensível, conceda um acesso ou clique em um link voluntariamente.

Importante destacar que a engenharia social foi o principal vetor de ataques bem-sucedidos contra empresas em 2024, de acordo com o relatório State of Cybersecurity 2024, da ISACA. E vale pontuar que ataques de engenharia social podem ocorrer tanto na vida real quanto no ambiente online.

Como a engenharia social funciona?

Depois de estudar o alvo, o cibercriminoso entra em contato com a vítima via e-mail, SMS, telefone, chat de redes sociais ou até pessoalmente. O golpista vai tentar criar uma relação de confiança com a vítima, se passando por uma empresa ou autoridade. Também é comum que o autor do golpe crie senso de urgência durante o contato.

O hacker então usará técnicas de manipulação para fazer com que a vítima informe dados sensíveis ou credenciais de acesso. Tratando-se de e-mails, as mensagens podem conter um arquivo malicioso para download ou exibir uma página falsa de algum serviço para que a pessoa insira informações pessoais.

E após conseguir os dados, os cibercriminosos podem comprometer o computador e a rede, acessar sistemas ou usar as informações recolhidas para outros golpes. Caso a vítima não suspeite na hora, o golpista pode repetir o ataque e continuar com a extração de informações.

Quais são os exemplos de golpes de engenharia social?

A engenharia social abrange diversos tipos de golpes cometidos em ambientes físicos ou cibernéticos. Alguns dos principais tipos de ataques da engenharia social englobam:

• Phishing: ataques de phishing que envolvem principalmente e-mails, mensagens e SMS falsos, de modo a induzir a vítima a inserir dados pessoais, clicar em um link ou baixar um arquivo malicioso;
• Whaling: whaling segue o mesmo modus operandi do pishing, mas foca em executivos de alta cúpula de uma empresa;
• Baiting: técnica usada para criar uma isca e atrair a curiosidade da pessoa, seja por meio digital (e-mails, anúncios e sites de download) ou de forma física (como pendrives infectados com malware);
• Vishing: tipo de golpe similar ao phishing, mas que envolve chamadas telefônicas falsas para tentar coletar dados de indivíduos;
• Pretexting: golpe em que o cibercriminoso cria uma situação falsa e finge ser o solucionador do problema, solicitando que a vítima conceda acesso a contas ou dispositivos;
• Tailgating: técnica que geralmente ocorre em ambientes físicos, e em que o criminoso segue uma vítima disfarçadamente para obter acesso a áreas restritas;
• Quid pro quo: ameaça em que um golpista oferece falsos benefícios (como brinde, desconto ou serviços exclusivos) em troca de dados pessoais ou bancários da vítima.

Engenharia social é crime?

Sim, desde que envolva atos ilícitos e prejuízos de terceiros. É importante mencionar que não existe uma legislação brasileira específica para a engenharia social, mas as práticas usadas por cibercriminosos a partir dessa estratégia podem ser enquadradas em outros delitos previstos por lei.

Um ataque de engenharia social poderá ser enquadrado como ato de estelionato (Art. 171 do CP) ou/e de falsidade ideológica (Art. 299 do CP). Além disso, a Lei Nº 12.737 prevê crimes em casos de invasão de dispositivos informáticos ou fraude eletrônica, enquanto a LGPD aborda coleta e uso indevido de dados.

Quais são as características de um golpe de engenharia social?

Os golpes de engenharia social quase sempre envolvem uma estratégia de comunicação focada em explorar as emoções humanas, de modo a explorar uma pessoa quando ela está mais vulnerável. Indícios de um possível golpe de engenharia social podem incluir:

• Construção de confiança: o autor do golpe pode iniciar uma conversa aleatória de forma simpática, muitas vezes forçando uma relação de intimidade que não existe;
• Título de autoridade: é comum que cibercriminosos se passem por um funcionário renomado, por uma grande empresa, ou por um membro de alguma autoridade;
• Exploração de emoções: técnicas de manipulação podem ser usadas para a condução da conversa, deixando a vítima com medo, excitação, culpa, ou outros sentimentos;
• Falsa urgência: geralmente o golpe de engenharia social vai envolver uma situação imediata, limitada ou inédita, com o intuito de pressionar a vítima;
• Solicitação de dados ou ação: durante o contato (via e-mail, SMS, ligação ou conversa pessoalmente), o golpista vai solicitar que você informe dados sensíveis ou execute alguma ação específica;
• Oportunidade: em ataques de engenharia social de forma presencial, golpistas podem se aproveitar de um computador logado ou da posse temporária de um celular emprestado brevemente.

Quais são as formas de se proteger de um golpe de engenharia social?

Você pode se proteger contra ataques de engenharia social ao adotar recursos de segurança e limitar informações durante conversas com estranhos. Algumas das principais práticas de prevenção envolvem:

• Desconfiar de contatos desconhecidos: sempre desconfie de conversas iniciadas por estranhos, seja na vida real ou no ambiente virtual;
• Adotar recursos de segurança: adote medidas de proteção para coibir ataques e invasões, a exemplo da autenticação de dois fatores (2FA), acessos por biometria, senhas fortes e softwares de segurança;
• Suspeitar de links e arquivos: nunca clique em links ou baixe arquivos de procedência duvidosa;
• Limitar informações: evite informar dados pessoais, credenciais de acesso ou dados sensíveis de sua empresa durante uma conversa com desconhecidos;
• Bloquear dispositivos: mantenha dispositivos móveis com você e bloqueie computadores durante saídas rápidas.

O que fazer se eu cair em um golpe de engenharia social?

Ao se tornar vítima de um golpe de engenharia social, entre em contato com sua instituição financeira para informar o ocorrido e bloquear sua conta. É importante que você também avise sua empresa, familiares e pessoas próximas, de modo a evitar outros golpes em sequência.

Em seguida, altere credenciais de serviços usados, ative a autenticação multifatorial (caso ainda não tenha habilitado o recurso) e faça varreduras com softwares de proteção no dispositivo. Paralelamente a isso, você pode acessar sites como haveibeenpwned.com para verificar se o seu e-mail foi vazado.

Não menos importante, acesse o site da Delegacia Eletrônica do seu estado e faça um boletim de ocorrência para informar o crime cibernético. Dependendo do caso, vale entrar em contato com alguma empresa especializada em cibersegurança para analisar os prejuízos, mitigar danos e retomar acessos.

Qual é a diferença entre phishing e engenharia social?

Phishing é um tipo específico de engenharia social, usada para obter dados sensíveis das vítimas. Ataques de phishing geralmente são realizados via e-mail, mensagens ou sites falsos, e induzem vítimas a inserirem ou confirmarem dados do documento, senhas, números bancários, entre outras informações.

Já engenharia social é a técnica de manipulação que abrange phishing, baiting, tailgating e outros tipos de ataque. A engenharia social também foca em enganar vítimas para a obtenção de dados ou comprometimento de sistemas, mas pode usar de outras técnicas além do phshing.

Em resumo: phishing é um tipo de engenharia social, mas nem todo ataque de engenharia social é necessariamente phishing.

Qual é a diferença entre engenharia social e spoofing?

Engenharia social é uma técnica de manipulação que foca em explorar as fraquezas dos seres humanos. Os ataques dessa prática sempre vão mirar pessoas e induzi-las a informar dados sensíveis, conceder algum tipo de acesso ou baixar um arquivo malicioso.

Já o spoofing é uma prática de falsificação, que pode mirar sistemas ou pessoas. Cibercriminosos podem usar técnicas de spoofing para manipular conexões de rede ou fazer requisições a sites ou servidores a partir de um IP legítimo de terceiros, bem como falsificar e-mails ou SMS para coletar dados de vítimas.

O que é engenharia social? Entenda o funcionamento e como se proteger desse tipo de golpe