Prof.AMR
NEWS
Monografia sobre Ação Penal. Material RelevanteTJSC - O Prazo da Licença Maternidade é o de 180 diasArtigo Destacado: Flexibilização da Ação Penal para Pequenso Delitos na Europa e o rigor no Brasil - Por André Luís Alves MeloABIN: Desafios da Inteligência em 2026: Publicação Oficial da Agência Brasileira de InteligênciaSTF e Prisão Domiciliar à Mães - HC Coletivo 143641 e HC 224484Artigo: A Fraude do Suposto Princípio da Confiança no Juiz da Causa [Republicação da ConjurArtigo Destacado: "Controle da atividade de inteligência de Estado por seu patrocinador" de Anna Cruz [Conjur]Gestão de Pessoas em MacGregor: Teoria X e Teoria Y
Monografia sobre Ação Penal. Material RelevanteTJSC - O Prazo da Licença Maternidade é o de 180 diasArtigo Destacado: Flexibilização da Ação Penal para Pequenso Delitos na Europa e o rigor no Brasil - Por André Luís Alves MeloABIN: Desafios da Inteligência em 2026: Publicação Oficial da Agência Brasileira de InteligênciaSTF e Prisão Domiciliar à Mães - HC Coletivo 143641 e HC 224484Artigo: A Fraude do Suposto Princípio da Confiança no Juiz da Causa [Republicação da ConjurArtigo Destacado: "Controle da atividade de inteligência de Estado por seu patrocinador" de Anna Cruz [Conjur]Gestão de Pessoas em MacGregor: Teoria X e Teoria Y
Monografia sobre Ação Penal. Material Relevante
Glossário de Tecnologia

Engenharia Social

8 min de leitura·Atualizado em 9 de março de 2026

[1.] Definição

Engenharia social é uma tática astuta e um conjunto de métodos sofisticados empregados por criminosos cibernéticos para manipular indivíduos, visando fazê-los comprometer sua própria segurança. A prática leva as vítimas a enviarem dinheiro sem saber, divulgarem informações pessoais, de organizacionais confidenciais ou violarem protocolos de segurança. Em vez de explorar falhas técnicas, a engenharia social explora a psicologia humana, aproveitando emoções como medo, curiosidade, urgência, ganância e empatia para induzir ações. Opera através de engano e personificação, contornando as defesas de segurança sem depender de métodos técnicos de hacking.

[2.] Atributos e Características

  • Psicológica: Baseia-se em táticas psicológicas e na exploração do erro humano.
  • Manipulativa: Visa persuadir as vítimas a agirem de forma impulsiva ou irracional contra seu próprio interesse.
  • Não Técnica: Foca em vulnerabilidades humanas em detrimento de falhas tecnológicas.
  • Pesquisadora: Frequentemente envolve uma etapa de pesquisa prévia sobre o alvo para identificar fraquezas.
  • Personificação: O atacante se disfarça como uma entidade confiável (marca, órgão governamental, colega) para ganhar a confiança.
  • Processual: Geralmente é um ataque de várias etapas, construindo a confiança ao longo do tempo.
  • Objetivo: Obter acesso a sistemas, dados sensíveis, informações financeiras ou induzir comportamentos que prejudiquem a segurança.

[3.] Tipos de Ataques

Os ataques de engenharia social manifestam-se de diversas formas, explorando a confiança e a psicologia humanas. Os principais tipos são:
  • Phishing: Ataques que se fazem passar por entidades legítimas, especificados em:
    • Phishing de E-mail: E-mails que solicitam dados pessoais ou credenciais, contendo links ou anexos maliciosos.
    • Bulk Phishing: Envio em massa do mesmo e-mail de phishing.
    • Spear Phishing: Ataques personalizados para indivíduos específicos, usando informações de redes sociais ou profissionais.
    • Whaling [Phishing de Baleias]: Forma de spear phishing direcionada a executivos de alto escalão.
  • Pretexto: Criação de cenários falsos para obter informações ou acesso, muitas vezes com personificação.
  • Quid Pro Quo: Oferta de um serviço ou benefício em troca de informações confidenciais.
  • Scareware: Uso de táticas de medo para levar vítimas a instalar malware ou revelar dados.
  • Tailgating/Piggybacking: Obtenção de acesso não autorizado a áreas restritas [físicas ou digitais].
  • Ataque Watering Hole: Infecção de sites frequentemente visitados por grupos-alvo para roubo de dados ou malware .
  • Ataques de Cavalos de Troia: Malware disfarçado de software legítimo.
  • Golpes de Suporte Técnico: Finge que dispositivos estão comprometidos para cobrar por "consertos" desnecessários.
  • Chamadas Fraudulentas: Uso de chamadas telefônicas [incluindo robocalls] para enganar, imitando organizações ou autoridades.
  • Smishing: Ataques de engenharia social realizados via SMS.
  • Catfishing: Criação de identidades falsas online para fins de fraude ou manipulação.

[4.] Exemplos

A engenharia social se concretiza em golpes reais onde criminosos exploram o alvo e o gatilho emocional adequados . Exemplos notórios:
  • Esquema de Sextortion: E-mails que alegam ter gravado a vítima usando sua webcam para assistir conteúdo adulto e ameaçam divulgar o material, a menos que um resgate seja pago .
  • Golpe dos Avós: Ligação ou mensagem onde o golpista se faz passar por um parente em apuros ou uma autoridade, solicitando dinheiro urgente.
  • Sites Fraudulentos: Páginas web que imitam grandes marcas para enganar usuários e roubar dados.
  • E-mails Alarmantes: Mensagens falsas sobre contas comprometidas para induzir ações imediatas.
  • Promessas de Ganhos: Ofertas fraudulentas de dinheiro, como o clássico golpe do "Príncipe Nigeriano".

[5.] Especificações das Táticas

As técnicas de engenharia social focam em aspectos específicos da psicologia humana:
  • Falsificação de Identidade: Ataques onde o perpetrador se passa por uma fonte confiável [empresas, autoridades, colegas etc.].
  • Exploração Emocional: Uso de medos [de perda, de ser pego], curiosidade, urgência, desejo de ajudar, ganância ou simpatia para influenciar o comportamento.
  • Criação de Urgência/Escassez: Pressão para agir rapidamente, impedindo a reflexão.
  • Apelo à Autoridade: Personificação de figuras com poder para obter obediência.
  • Engano e Pretexto: Construção de narrativas falsas para justificar solicitações de informação ou acesso.

[6.] Modus Operandi

O modus operandi da engenharia social consiste no método sistemático e nas táticas psicológicas que os criminosos utilizam para manipular indivíduos, levando-os a realizar ações que comprometem sua própria segurança ou a de suas organizações . Em vez de explorar vulnerabilidades técnicas, essa abordagem foca nas fraquezas humanas, aproveitando emoções e comportamentos . As etapas típicas do modus operandi:
  1. Pesquisa e Reconhecimento: O atacante coleta informações sobre o alvo, identificando detalhes de histórico, vulnerabilidades e medidas de segurança existentes. Essa fase é crucial para planejar o ataque .
  2. Estabelecimento de Confiança e Manipulação: Utilizando táticas como falsificação de identidade (personificando entidades legítimas, como empresas ou autoridades e pretextos (criando cenários falsos para justificar solicitações , o agressor busca ganhar a confiança da vítima. A manipulação psicológica explora emoções como medo, curiosidade, urgência, ganância ou empatia, incentivando ações impulsivas .
  3. Execução do Ataque: Uma vez estabelecida a confiança, o criminoso induz a vítima a executar a ação desejada, podendo implicar na divulgação de informações confidenciais, o download de software malicioso, o clique em links perigosos ou a transferência de dinheiro.
Engenheiros sociais utilizam uma variedade de táticas para manipular indivíduos e induzi-los a ações que comprometem a segurança. Entre os exemplos específicos de ataques e suas metodologias, destacam-se:
  • Phishing e suas subcategorias: É uma das táticas mais comuns, envolvendo a personificação de entidades legítimas:  Phishing de e-mail, em que os atacantes enviam mensagens que solicitam dados pessoais ou credenciais, muitas vezes com links ou anexos maliciosos ; o Bulk Phishing, caracterizado pelo envio em massa do mesmo e-mail; o Spear Phishing, uma forma direcionada e personalizada para alvos específicos, como demonstrado no golpe John Wick 3 ; o Phishing de baleias (Whaling), voltado para executivos de alto escalão ; o Vishing (Phishing por Voz), que utiliza chamadas telefônicas para enganar as vítimas ; e o Smishing (SMS Phishing), conduzido por meio de mensagens de texto . Adicionalmente, o Angler Phishing explora plataformas de mídia social, criando contas falsas de atendimento ao cliente, e o Phishing de mecanismo de pesquisa usa sites falsos que aparecem em destaque nos resultados.
  • Falsificação de Identidade e Pretexto: Os atacantes se disfarçam como fontes confiáveis, como grandes marcas ou órgãos governamentais, para ganhar confiança e criar sites fraudulentos que imitam legítimos. A tática de Pretexto envolve a fabricação de cenários falsos para extrair informações ou obter acesso, muitas vezes com a alegação de necessidade de verificar identidade.
  • Exploração Emocional: Os ataques exploram emoções humanas como medo, urgência, ganância, curiosidade ou boa vontade, levando as pessoas a agir impulsivamente. P.ex. esquema de sextortion, em que se ameaça divulgar material íntimo caso um resgate não seja pago; o golpe dos avós, no qual criminosos se passam por parentes em apuros para solicitar dinheiro urgente; o golpe do Número do Seguro Social, que utiliza alertas falsos sobre a suspensão de dados ; e o Scareware, que induz a instalação de malware ou a revelação de informações através do medo .
  • Outras Táticas Notáveis: Dentre elas estão a Baiting (isca), que tenta as vítimas com uma falsa promessa de bens ou serviços para roubar informações ou instalar malware ; o Quid Pro Quo, onde um serviço é oferecido em troca de informações confidenciais; Tailgating/Piggybacking, para obter acesso não autorizado a áreas restritas; Ataques Watering Hole, que infectam sites frequentados por grupos-alvo ; Ataques de Cavalos de Troia, que disfarçam malware como software legítimo; Golpes de Suporte Técnico, que cobram por consertos desnecessários após convencerem a vítima de que seu dispositivo está comprometido; e, Chamadas Fraudulentas, incluindo robocalls que imitam organizações legítimas.
Portanto, o modus operandi da engenharia social é um processo deliberado de engano e persuasão, projetado para contornar as defesas de um indivíduo explorando sua natureza psicológica. As táticas exploram a psicologia humana e a confiança, em vez de falhas técnicas, tornando a conscientização e a vigilância cruciais para a defesa.

[7.] Associação com o Domínio do Processo Penal

No âmbito do Processo Penal, a engenharia social apresenta múltiplas conexões:
  • Obtenção de Provas: Criminosos usam engenharia social para obter acesso a sistemas e dados que servem como prova. Investigadores podem precisar entender essas táticas para coletar evidências de forma lícita ou podem ser alvo delas.
  • Integridade do Processo: A manipulação psicológica pode ser empregada para influenciar, intimidar testemunhas, ou induzir confissões falsas, comprometendo a lisura do processo judicial.
  • Admissibilidade de Provas: A obtenção de provas por meio de engano ou manipulação pode ser questionada judicialmente quanto à sua legalidade e ética, podendo levar à sua exclusão.
  • Investigação de Crimes Cibernéticos: A engenharia social é um modus operandi comum em crimes cibernéticos, exigindo que as autoridades compreendam suas dinâmicas para rastrear suspeitos e construir casos.
  • Estratégias de Defesa: A defesa pode alegar a ilegalidade na obtenção de provas via engenharia social, ou utilizar táticas similares [dentro dos limites legais] para coletar evidências favoráveis ao arguido.
VIDE:  
Voltar para Wiki