Engenharia Social é uma técnica utilizada para induzir as pessoas ao erro a ponto de os cibercriminosos conseguirem acessar indevidamente os dados pessoais, seja de uma pessoa física ou jurídica.

Significado de Engenharia Social

A engenharia social trata-se de uma técnica persuasiva, baseada em aspectos psicológicos e nas vulnerabilidades humanas (argumentos convincentes, confiança e urgência, por exemplo) capaz de fazer uma pessoa agir da forma desejada.

Ou seja, atualmente, tem sido usada por cibercriminosos como uma forma de manipular psicologicamente suas possíveis vítimas para induzi-las ao erro, enganá-las por meio de narrativas convincentes com o intuito de ter acesso às informações pessoais ou fazer com que realizem determinadas ações, normalmente, consideradas prejudiciais.

Principais Tipos de Golpes

Conforme explicado, a técnica em questão é aplicada por criminosos no ambiente virtual com o objetivo de induzir os usuários a enviarem informações confidenciais para conseguirem infectar os seus aparelhos eletrônicos ou manipularem psicologicamente até alcançarem o seu objetivo.

Mas a engenharia social também pode ser associada às ligações ou demais formas de comunicação, em que as pessoas têm seus dados roubados e seus dispositivos infectados, por isso, é importante estar ciente dos principais tipos de golpes que tendem a ser aplicados com o intuito de induzir alguém ao erro.

• Cultivo: acontece quando o invasor usa técnicas de manipulação gerais ou é próximo da possível vítima a ponto de conseguir apelar para as suas emoções até que consiga os dados pessoais desejados;
• DNS spoofing: o navegador e os servidores são manipulados para direcionarem o acesso aos sites fraudulentos mesmo que tenha sido digitado um endereço legítimo;
• Isca ou Baiting: nesse tipo de engenharia social, a pessoa adquire ou encontra um dispositivo USB infectado que acaba comprometendo o sistema do aparelho plugado e roubando os dados, ou mesmo é feito com a intenção de danificar a máquina por meio de um pico de energia intenso provocado pelo acessório;
• Phishing: é o tipo mais comum, em que os cibercriminosos se passam por colaboradores de instituições confiáveis (copiando layout de e-mail corporativo utilizado pela empresa, mas com endereço de e-mail diferente do oficial), sugerindo que a possível vítima faça download dos anexos enviados;
• Pretexto / Pretexting: histórias que costumam sensibilizar as pessoas de um modo geral são usadas para atrair as possíveis vítimas com o intuito de fazerem com que acessem o link enviado por e-mail, o que acaba permitindo a entrada de vírus no aparelho utilizado, ou mesmo se passam por pessoas ou empresas de confiança para alcançar tal objetivo;
• Quid pro quo: com tradução semelhante a “trocar uma coisa por outra”, acontece no momento em que uma pessoa recebe uma mensagem prometendo vantagens, alertando sobre atualizações urgentes contra ameaças ou oferecendo serviços condizentes com o seu perfil;
• Scareware: quando um software malicioso utiliza técnicas de manipulação, por meio do medo, para convencer alguém a compartilhar dados pessoais ou baixar mais malware;
• Smishing: o golpe tende a ser aplicado por mensagens SMS;
• Spamming de contatos e hacking de e-mail: os cibercriminosos aproveitam os e-mails vazados, com exceções, para invadi-los e enviar mensagens com arquivos maliciosos para a lista de contatos dessas contas;
• Spear phishing: semelhante ao phishing, o foco são empresas ou pessoas específicas;
• Tailgating: ocorre quando os dados são acessados ou danos são causados após aproveitarem da ajuda alheia;
• Vishing: também acontece em um cenário em que os cibercriminosos se passam por uma empresa confiável, mas o contato é feito por telefone;
• Watering hole: sites frequentemente acessados por um público-alvo são infectados com malware, o que acaba proporcionando o acesso aos dispositivos.

Como se Proteger da Engenharia Social

Devido ao fato de a engenharia social ser feita para as pessoas agirem por impulso e cometerem erros, nem sempre são evitáveis e fáceis de corrigir apenas com atualização do sistema, mas existem dicas capazes de ajudar na identificação e proteção contra esses golpes.

Além de verificar se as informações recebidas são verdadeiras, algumas das primeiras dicas incluem evitar clicar em links e acessar sites suspeitos, e desconfiar de ações e pedidos de dados pessoais. Do mesmo modo que é importante checar a origem de uma unidade USB antes de conectá-la ao computador e se atentar ao remetente, principalmente observando se não tem uma letra trocada e/ou erros ortográficos.

No caso das empresas, é importante alertar e treinar periodicamente os colaboradores sobre as possibilidades de golpes, e atualizar, de acordo com as necessidades, os termos de uso sobre as novidades nos golpes que têm sido aplicados.

Assim como adotar políticas para controle de acesso e tecnologias e soluções avançadas de segurança e detecção e resposta, aumentando as camadas de proteção e prontamente neutralizando as possíveis ameaças de engenharia social.

Outra dica para se proteger da engenharia social envolve observar se o(a) atendente faz perguntas de segurança (conferir os dados combinados e descritos no contrato, em que você pode limitar o tipo de conteúdo a ser compartilhado) em vez de questionar o seu nome ou outra informação. E se o contato for feito por e-mail, é válido confirmar se as características mencionadas condizem com o acordo firmado com a empresa.

Além disso, é essencial permanecer tranquilo(a) mesmo diante de uma situação de urgência imposta pelo contato, seja por meio de uma ligação, mensagem ou um e-mail, ou após ser informada sobre um prêmio a ser resgatado, por exemplo. E após receber a notícia e antes de tomar qualquer providência, é fundamental conferir se é verídica.

Outra maneira de se proteger da engenharia social é solicitando a identificação da pessoa que está solicitando os seus dados pessoais ou prontamente encerrar a ligação e contatar os canais oficiais para confirmar a veracidade da primeira ligação.

Sem contar que é possível pesquisar se a empresa em questão explica sobre essa possibilidade ou se tem alertas sobre possíveis golpes aplicados por contatos que não são realizados por ela. Além de ser importante avisá-la sobre a tentativa de golpe para que esteja ciente e tome as devidas medidas necessárias.

Do mesmo modo que vale conferir se o seu e-mail possui um bom filtro de spam, porque é capaz de determinar quais mensagens podem ser maliciosas ou não, como as que contêm links e remetentes suspeitos, e anexos e documentos perigosos, por exemplo.

Sempre que possível, manter os aparelhos eletrônicos e as ferramentas de segurança constantemente atualizadas, porque, assim, as chances de conseguirem impedir a ação de vírus são maiores. E aplicar a autenticação de dois fatores como forma de proteção juntamente com o uso de senhas fortes também é uma recomendação aconselhável para se proteger da engenharia social.

Principalmente, porque as pessoas podem ter o costume de anotar senhas e dados pessoais em seus aparelhos eletrônicos por causa da praticidade, o que acaba facilitando o trabalho e acesso indevido por parte dos cibercriminosos.

Além disso, é válido considerar a sua presença digital, principalmente ao compartilhar informações que costumam ser utilizadas pelas empresas como perguntas de segurança. Sem contar que quem usa a engenharia social tem a chance de conquistar a confiança da possível vítima por meio das informações compartilhadas no ambiente digital, normalmente, nas redes sociais.

Então, se for uma pessoa física, não hesite em adotar essas e outras medidas para se proteger de tais golpes. Mas se tiver uma empresa, dê um alô para que possamos trabalhar juntos e traçar as melhores estratégias contra a Engenharia Social e diante de outras necessidades jurídicas.

Mais Informações sobre este assunto na Internet:

• Positivo
• WeLiveSecurity

Artigo Publicado em: 2 de dez de 2021 e Atualizado em 01 de mai de 2025