JuicyScore logo
July 10, 2025

Ataques Baseados em Soft Skills: Como Proteger-se Contra a Engenharia Social

Ataques Baseados em Soft Skills: Como Proteger-se Contra a Engenharia Social
O que é Engenharia Social? arrow

As tecnologias modernas estão se tornando mais robustas e as medidas de segurança, mais sofisticadas. No entanto, existe uma vulnerabilidade que não pode ser corrigida por nenhum patch — a confiança humana. É por isso que, cada vez mais, os cibercriminosos não miram apenas a infraestrutura de TI, mas o próprio comportamento humano. Eles não precisam acessar o seu código se conseguirem acessar a sua equipe — criando pânico, urgência ou enviando uma solicitação “oficial” cuidadosamente elaborada.

O que é Engenharia Social?

O problema não é a falta de conhecimento, mas sim a própria psicologia humana. As pessoas tendem a confiar — especialmente quando alguém se apresenta como suporte técnico, um antigo colega ou um gestor. Muitos também são suscetíveis à pressão do tempo e ao medo (“ação urgente necessária”, “negócio em risco”, “conta será bloqueada”).

Às vezes, bastam apenas alguns detalhes — o nome de um colaborador, um número de contrato, o nome de um produto. Essas informações são facilmente obtidas por meio de OSINT (Open Source Intelligence): LinkedIn, licitações, comunicados de imprensa, páginas corporativas. Conhecer um pouco de contexto — nomes de funcionários, números de pedidos, referências contratuais, nomes de fornecedores — permite que fraudadores se passem por legítimos, mesmo sem acesso a sistemas internos. Isso já é suficiente para tornar um ataque convincente.

Tipos Comuns de Ataques de Engenharia Social

Phishing, Smishing, Vishing

E-mails de um “banco”, notificações de um falso “sistema de pagamento”, ligações de um suposto “departamento de segurança” — tudo projetado para imitar uma fonte confiável. Um site falso, um domínio com erro de digitação, um SMS alarmante (“Foram retirados R$ 1.500 do seu cartão”) — e a vítima retorna o contato para “confirmar os dados”.

Business Email Compromise (BEC)

Criminosos se inserem em uma troca legítima de e-mails — invadindo uma conta ou criando um domínio quase idêntico ao original. Eles se passam por CEO, advogado ou colega, enviando uma solicitação urgente de pagamento. Para ganhar credibilidade, podem encaminhar uma cadeia de e-mails falsificada, simulando aprovações anteriores, e inserir o alvo na última mensagem. Tudo parece rotineiro — mas o dinheiro vai para o golpista.

Violação Física

Atacantes entram em escritórios se passando por entregadores, prestadores de serviço ou novos estagiários. O objetivo: obter acesso físico à infraestrutura, conectar um pen drive, acessar o Wi-Fi ou fotografar credenciais de login. Esses ataques são especialmente perigosos em empresas com controles de acesso deficientes.

Ataques Contra Equipes de TI

Administradores e equipes de suporte são alvos estratégicos — eles possuem acesso privilegiado, credenciais de sistema e direitos administrativos. Um único login comprometido pode dar ao invasor controle sobre toda a rede e contas de funcionários.

O Crescente Papel do Acesso Remoto e da Randomização

Especialistas projetam que as perdas globais causadas por crimes cibernéticos chegarão a US$ 10,5 trilhões até o final de 2025. A engenharia social não apenas continua sendo um dos principais vetores de ataque — como também está se tornando mais escalável e sofisticada.

As estatísticas mostram que a proporção de incidentes envolvendo acesso remoto e técnicas de ocultação de pegadas digitais cresceu significativamente nos últimos dois anos — e continua aumentando. O que antes era raro agora se tornou comum: até 2025, mais atacantes usarão conexões remotas e métodos de randomização para ocultar seus rastros. Isso significa que os ataques cada vez mais combinam engenharia social com evasão técnica — obtendo acesso a recursos corporativos por meio de credenciais roubadas e mascarando as atividades reais.

A proporção de ataques por meio de Remote Desktop Protocol (RDP) e VPN continua a crescer.
O uso de randomizadores e disfarces digitais vem aumentando ano após ano.

Como o OSINT Potencializa a Engenharia Social

Os atacantes coletam informações de fontes abertas: LinkedIn, sites corporativos, comunicados de imprensa, publicações em redes sociais. O objetivo é claro — mapear a estrutura da empresa, identificar pessoas-chave, clientes, fornecedores e explorar esse contexto em fraudes direcionadas.

Como Identificar um Ataque de Engenharia Social: Principais Sinais de Alerta

Urgência e pressão: mensagens como “o negócio vai fracassar”, “faltam apenas 3 minutos”:

  • Canais de comunicação incomuns: um e-mail do Gmail pessoal de um gestor, um chat no Telegram de um suposto “suporte técnico”.
  • Solicitação de dados confidenciais: códigos, senhas, documentos.
  • Pedidos inesperados que não condizem com o comportamento habitual do remetente: solicitações de senhas de sistema, relatórios financeiros, diagramas de rede ou contatos de administradores.

O Que Todo Colaborador Deve Saber

  1. Nunca clique em links recebidos por e-mail ou SMS — digite a URL manualmente.
  2. Nunca compartilhe códigos, mesmo que seja a “equipe de segurança” solicitando.
  3. Sempre verifique domínios, endereços de e-mail e assinaturas.
  4. Nunca instale softwares a pedido remoto de terceiros.
  5. Use senhas únicas para diferentes sistemas e mantenha softwares atualizados.
  6. Relate incidentes suspeitos — é melhor parecer paranoico do que ser vítima de ataque.

O Que Toda Empresa Deve Fazer

Treinamento Regular

Use casos reais, simulações de ataques e exercícios de phishing. A conscientização em segurança cibernética deve ser parte da cultura da empresa — e não apenas uma exigência de compliance.

Salvaguardas Técnicas

Implemente Autenticação em Duas Etapas (2FA) e Multifatorial (MFA), limite permissões de usuários e segmente a rede.

Auditorias de Dados Abertos

Verifique quais informações sobre sua empresa estão disponíveis publicamente: organogramas, contatos, tecnologias utilizadas. O que parece inofensivo pode ser usado como arma por atacantes.

A engenharia social é um ataque contra pessoas, não contra sistemas. Ela não exige malware ou backdoors — apenas um pretexto convincente no momento certo. Nenhum antivírus consegue proteger se o usuário não souber que está sendo enganado. A melhor defesa combina automação, treinamento contínuo, exercícios de simulação e uma cultura sólida de segurança.

Indicadores Técnicos de Acesso Remoto e Ofuscação

Atualmente, soluções avançadas de gestão de risco e prevenção a fraudes conseguem detectar múltiplos sinais técnicos que ajudam a identificar cenários suspeitos:

Acesso Remoto:

  • Is Remote Access
  • RDP Vector Length (disponível via integração com SDK)

Ofuscação e Randomização:

  • Is Randomizer Issue
  • Fonts Randomization Level
  • Is TLS Randomizer
  • Is Limited Noise Randomizer

Chamadas Ativas:

  • Is Active Call
  • Is Active VoIP Call

Anomalias Comportamentais:

  • Baixa Velocidade de Movimento do Cursor
  • Baixa Velocidade de Rolagem

Atividade de Crédito:

  • Número Total de Solicitações de Crédito de Curto Prazo em 1 Dia
  • Número Total de Solicitações de Crédito Bancário em 1 Dia

Velocidade de Conexão:

  • Velocidade da Conexão de Internet

…entre outros indicadores.

Esses e outros sinais estão disponíveis para integração com o objetivo de detectar cenários de acesso remoto e engenharia social como parte de uma estratégia robusta de gestão de risco de fraude.

Não estamos parados — continuamos expandindo nosso stack tecnológico. Em nossos próximos lançamentos, baseados no API17, planejamos ampliar significativamente as capacidades de detecção de padrões de engenharia social e ameaças correlatas.

Share this post

Veja como detectamos fraudes antes que aconteçam — Agende sua sessão com um especialista

  • list marker

    Veja na prática com um especialista real

    Participe de uma sessão ao vivo com nosso especialista, que mostrará como sua empresa pode identificar fraudes em tempo real.

  • list marker

    Explore insights reais sobre dispositivos

    Veja como impressões digitais únicas de dispositivos ajudam a reconhecer usuários recorrentes e a separar clientes reais de fraudadores.

  • list marker

    Entenda os cenários comuns de fraude

    Descubra as principais táticas de fraude que afetam seu mercado — e veja como bloqueá-las.

Nossos Contatos:

Marcas Líderes Confiam na JuicyScore:

robocash
id finance
tabby

Entre em contato conosco

Nossos especialistas dedicados entrarão em contato com você rapidamente.