Portfólio Blog Sobre
Engenharia Social: a arte de mentir e o pensamento crítico

Engenharia Social: a arte de mentir e o pensamento crítico

Fingir ser quem não é, criar uma história plausível, ganhar a confiança de alguém pra obter uma vantagem. Isso não nasceu com computador, é mais velho que qualquer firewall. A engenharia social dá nome técnico à arte de mentir aplicada a sistemas de informação.

Em 2015 conduzi uma pesquisa de campo no MBA da Universidade Municipal de São Caetano do Sul (USCS) sobre como esse vetor opera dentro de empresas brasileiras. Onze anos depois, com IA generativa criando pretextos convincentes em segundos e deepfakes clonando voz com 30 segundos de áudio, o jogo mudou. O alvo não: continua sendo a confiança humana.

Esse post conecta o que aprendi naquela pesquisa com o cenário de 2026, e fecha no que considero a barreira mais importante hoje, o pensamento crítico.

Conceitos fundamentais

ConceitoO que é
ES (Engenharia Social)Técnica de manipulação humana pra obter acesso, dado ou ação não autorizada.
OSINT (Open-Source Intelligence, Inteligência de Fontes Abertas)Coleta de informação pública sobre o alvo (LinkedIn, Instagram, GitHub, registros públicos).
MFA (Multi-Factor Authentication, Autenticação Multifator)Confirmação de identidade por mais de um fator (senha + token, senha + biometria).
RCA (Root Cause Analysis, Análise de Causa Raiz)Investigação que vai até a origem do problema, não para no sintoma.
CIA (Confidentiality, Integrity, Availability)Tríade clássica da segurança da informação: confidencialidade, integridade, disponibilidade.
Phishing (pesca de credenciais)Ataque indireto via mensagem que finge legitimidade pra capturar dados ou induzir ação.
Smishing (phishing por SMS)Phishing entregue por SMS ou WhatsApp, hoje vetor #1 de golpe no Brasil.
Vishing (Voice Phishing, phishing por voz)Phishing por chamada de voz, agora amplificado por clonagem de áudio com IA.
Pretexting (criação de pretexto)Construção de uma história plausível pra justificar o pedido do atacante.
Deepfake (falsificação profunda)Vídeo, voz ou imagem sintetizada por IA, indistinguível da original a olho ou ouvido nu.

O elo mais fraco

Por mais que empresa invista em firewall, criptografia, MFA e segmentação de rede, ainda existe uma camada que atualização de software não resolve, a pessoa do outro lado. O fator humano é o elo mais frágil da cadeia de segurança (ALVES, 2010).

Não é desatenção, é como o cérebro funciona. Junior (2006) elenca quatro vulnerabilidades comportamentais que o engenheiro social explora:

  1. Vontade de ajudar: o ser humano coopera por padrão. Quem pede ajuda dispara um reflexo social antigo.
  2. Busca por relacionamento: gostamos de gostar e ser gostados; confiança aumenta com simpatia.
  3. Compartilhamento de responsabilidade: em grupo, ninguém se sente único responsável por bloquear o estranho.
  4. Persuasão: a capacidade de convencer é uma técnica treinável. O alvo, não.

Some isso a um colaborador desmotivado e a fragilidade cresce (PRESCOTT, 2007). Quem não se sente parte do projeto baixa a guarda, repassa senha, abre exceção, “quebra um galho”.

Treinamento técnico não cobre essa camada. O que cobre é cultura: clima onde dizer “não” pra um pedido suspeito é elogiado, não punido.

As 5 fases de um ataque

Engenharia social não é improviso. Quando o ataque tem alvo definido, segue um roteiro. Milosevic (2013) descreve cinco fases:

PRE-ENGAGEMENT → INTELLIGENCE GATHERING → PRETEXTING → EXPLOITATION → POST-EXPLOITATION

Cada <details> abaixo expande uma fase. Reconhecer o roteiro ajuda a interromper o golpe antes da fase 4.

Fase 1, Pre-engagement (preparação)
DEFINIR ALVO → ESCOPO → REGRAS DE ABORDAGEM

O atacante decide quem é o alvo (pessoa, departamento, empresa), o que quer (acesso, dado, ação) e os canais que vai usar (e-mail, telefone, presencial, redes sociais). É a fase invisível: ninguém percebe que está sendo escolhido.

Fase 2, Intelligence Gathering (reconhecimento)
LINKEDIN → INSTAGRAM → SITE DA EMPRESA → REGISTRO PÚBLICO → LIXO CORPORATIVO

Aqui entra OSINT. O atacante mapeia organograma no LinkedIn, hobbies no Instagram, fornecedores no site da empresa, processos públicos em diários oficiais. Granger (2001) lembra um vetor antigo e ainda atual: lixo corporativo descartado sem fragmentação. Em 2026, IA generativa lê tudo isso em minutos e monta um dossiê personalizado.

Fase 3, Pretexting (construção do pretexto)
PERSONA → HISTÓRIA → CANAL → GATILHO EMOCIONAL

Com o dossiê em mãos, o atacante cria a fachada: “sou o novo analista de TI”, “estou ligando da matriz”, “seu chefe pediu pra você liberar agora”. Os gatilhos clássicos são urgência, autoridade, medo, curiosidade. A história precisa caber na realidade do alvo, e por isso a fase 2 importa tanto.

Fase 4, Exploitation (execução)
ABORDAGEM → PEDIDO → AÇÃO DA VÍTIMA

O contato acontece. Pode ser e-mail com link, ligação fingindo ser equipe de TI, mensagem no WhatsApp do “diretor”, visita presencial vestindo roupa de prestador. O objetivo é sempre o mesmo: fazer a vítima clicar, falar, abrir, liberar. Se a fase 3 foi bem feita, a fase 4 dura segundos.

Fase 5, Post-exploitation (encobrir rastros)
COLETA → PERSISTÊNCIA → APAGAR LOGS → SAÍDA

Conseguido o acesso, o atacante extrai o que veio buscar, planta mecanismo de persistência pra acesso futuro, apaga rastros e some. Sem detecção e auditoria ativas, a empresa só descobre quando o estrago já foi feito, ou quando o dado vaza publicamente meses depois.

Snapshot 2015 → 2026

A pesquisa que fiz em 2015 ouviu 31 profissionais de áreas diversas (analistas, auxiliares, coordenadores, gerentes) sobre práticas reais de segurança no dia a dia. Amostra pequena, sem pretensão estatística, mas reveladora. Alguns números que me marcaram, e como eles envelheceram:

Comportamento (2015)%Status em 2026
Sem política de troca de senha19%Atenuado por SSO (Single Sign-On) e gerenciador de senha. Ainda existe.
Senha comum entre múltiplos sistemas26%Agravado: a senha vaza e abre vários serviços via credential stuffing.
Compartilha login com colega ou terceiro13%Persiste, com risco extra de auditoria LGPD.
Não bloqueia tela ao sair da estação36%Igual. Bloqueio automático ajudou; reuniões presenciais expõem o mesmo flanco.
Documento estratégico amassado, sem fragmentação29%Reduzido pelo home office; voltou pra contas de PJ e escritórios menores.
Acesso à corporação sem crachá7%Cresceu com prestador rotativo. Tailgating segue clássico.
Recebia phishing49%Hoje todo mundo recebe. Volume multiplicou por dezenas.
Acionava TI ao receber phishing10%Levemente melhor com botão “reportar phishing” no Outlook e Gmail.

Aquela pesquisa retratou empresas que dependiam do bom senso individual pra segurança. Em 2026 a infraestrutura mudou, mas o vetor humano segue intacto. Pior: agora o atacante tem IA generativa como copiloto.

A arte de mentir, em 2026

Em 2015 phishing era reconhecível. Erro de português, remetente esquisito, design quebrado. O conselho “olhe com atenção” funcionava. Em 2026, isso virou anedota.

LLM (Large Language Model, Modelo de Linguagem Grande) gera e-mail impecável em segundos. Voz clonada com 30 segundos de áudio do YouTube. Vídeo deepfake convincente o bastante pra enganar uma chamada rápida. O custo de produzir um golpe credível caiu pra centavos. O alcance subiu pra escala industrial.

Phishing clássico (2015), fácil de identificar
De: [email protected]
Assunto: Atualizaçao Urgente!!! - Conta Bloquead@

Prezado Cliente,

Sua conta foi bloqueda por motivos de segurança.
Click aqui para desbloquiar: http://bradesco-seguro.tk/login.php

Atenciosamente,
Equipe Bancaria

Sinais óbvios: domínio falso, erros de grafia, urgência exagerada, link suspeito, ausência de personalização. Treinamento básico ensinava a reconhecer.

Phishing gerado por IA (2026), quase indetectável
De: [email protected] (spoofed)
Assunto: Confirmação de transferência DOC #BR2026050412

Olá, Thiago, tudo bem?

Vi pelo seu LinkedIn que você foi promovido recentemente, parabéns!
Estou na agência da Brigadeiro e identifiquei uma transferência DOC
agendada da sua conta PJ pra fornecedor "Cajá Studios LTDA" no valor
de R$ 8.450,00, com débito programado pra hoje às 16h.

Como o valor passou do limite cadastrado pra esse fornecedor,
preciso confirmar a operação por segurança. Pode me ligar no
11-3251-XXXX ramal 4302? Se preferir, te ligo agora pelo telefone
que tenho aqui.

Abraços,
Márcia Toledo
Gerente de Relacionamento PJ
Bradesco Brigadeiro

A IA leu seu LinkedIn, encontrou o nome real da sua empresa, escreveu em português natural, criou pretexto financeiro plausível e ofereceu canal de contato (que pode ser deepfake de voz se você ligar). Sem erro de grafia, sem urgência crua, com gentileza. Treinamento de 2015 não cobre isso.

A diferença entre os dois exemplos não é técnica, é cultural. O segundo passa por qualquer filtro de e-mail e qualquer humano apressado. A defesa não pode mais ser “olhe com atenção”. Tem que ser “desconfie por padrão”.

Pensamento crítico como antídoto

Se a tecnologia de ataque está nivelada com a de defesa, o que sobra é o método de pensar. Pensamento crítico aplicado à segurança é menos sobre saber muito e mais sobre desacelerar antes de agir.

Daniel Kahneman, em Rápido e Devagar: Duas Formas de Pensar (2011), descreve dois sistemas mentais. Sistema 1 é rápido, automático, intuitivo, ótimo pra dirigir, péssimo pra detectar fraude. Sistema 2 é lento, deliberado, custoso, indispensável pra avaliar pretexto. Engenharia social ataca o Sistema 1. A defesa é forçar o Sistema 2 antes da ação.

Quatro disciplinas práticas:

  1. Default deny humano: o equivalente comportamental do “default deny” técnico. Pedido fora do canal padrão é negado por padrão até prova em contrário. Não é rudeza, é higiene.
  2. Verificação por canal independente: recebeu ligação do “banco”? Desligue, ligue de volta no número impresso no cartão. Recebeu mensagem do “diretor”? Confirme pessoalmente ou em outro canal. Nunca valide pelo mesmo canal que iniciou a abordagem.
  3. Detecção de gatilho: perceber quando alguém está apertando os botões clássicos. Urgência (“é agora ou nunca”), autoridade (“o presidente pediu”), medo (“você vai ser demitido”), reciprocidade (“ajudei você semana passada”). Gatilho não invalida o pedido, sinaliza que vale verificar duas vezes.
  4. Tolerância ao “não”: cultura que pune quem questiona pedido de chefe é fábrica de vítima de fraude. Cultura saudável aplaude a checagem, mesmo quando o pedido era legítimo.

A pergunta certa não é “isso é phishing?”, é “estou no Sistema 1 ou no Sistema 2 agora?”. A primeira você acerta no chute. A segunda você pode forçar.

Seis barreiras de segurança

Laureano (2005) organiza as defesas em seis camadas, cada uma com função própria. Continua válido em 2026, com leitura atualizada:

BarreiraO que fazExemplo 2026
DesencorajarDesestimula tentativaCâmeras visíveis, banner de aviso de monitoramento, treinamento periódico.
DificultarAumenta o custo do ataqueMFA, biometria, segmentação de rede, criptografia em trânsito e em repouso.
DiscriminarDefine quem pode o quêPrincípio do menor privilégio, RBAC (Role-Based Access Control), zero-trust.
DetectarIdentifica tentativa em cursoSIEM (Security Information and Event Management), EDR, alerta de login anômalo.
DeterImpede o ataque de alcançar o alvoBloqueio automático, kill switch, isolamento de host comprometido.
DiagnosticarInvestiga o que aconteceuForense, RCA, lição aprendida, ajuste de processo e treinamento.

Nenhuma camada isolada resolve. Em conjunto, elevam o custo do ataque a ponto de redirecionar o atacante pra alvo mais fácil. Esse é o objetivo realista, não invulnerabilidade.

Checklist prático

O que dá pra aplicar hoje, sem orçamento, em qualquer empresa:

  • MFA em tudo que aceita. Não é opcional. Senha vazada já não basta.
  • Gerenciador de senha. Uma senha forte por serviço, sem reúso. Já tratei isso no post sobre gestão de senhas.
  • Bloqueio automático de tela em 5 minutos de inatividade, no desktop e no celular corporativo.
  • Fragmentação física de papel com dado sensível. Triturador é barato, vazamento por dumpster diving sai caro.
  • Política escrita de canal alternativo: “TI nunca pede sua senha por telefone ou WhatsApp”.
  • Canal de denúncia interno sem retaliação. Quem reporta phishing é parabenizado, não interrogado.
  • Treinamento contínuo com exemplos reais e atualizados (deepfake, phishing por IA), não só material de 2015.
  • Auditoria periódica dos acessos privilegiados. Quem ainda precisa daquilo? Quando foi a última vez que usou?

Encerrando

A engenharia social funciona porque mente bem, e mentir bem ficou muito mais barato com IA. A pesquisa que fiz em 2015 mostrava lacunas que dependiam de bom senso individual. Em 2026 essas lacunas continuam, agora exploradas por atacantes com superpoderes generativos.

A barreira mais resistente que a gente tem segue sendo cultural: desconfiar por padrão, verificar por canal independente, aceitar que dizer “não” pra um pedido estranho é trabalho bem feito. Pensamento crítico não substitui MFA, criptografia, segmentação ou detecção. Ele é o que faz tudo isso valer alguma coisa quando o atacante chega pelo lado humano.

Pensamento crítico sempre!

Referências

  • CARVALHO, Thiago Cajaiba de. Engenharia Social: Lidando com Segurança da Informação na Gestão Corporativa Interna. 2015. Monografia (MBA em Gestão Estratégica de TI), Universidade Municipal de São Caetano do Sul, São Caetano do Sul, SP.
  • MITNICK, Kevin; SIMON, William. A arte de enganar. São Paulo: Pearson Education do Brasil, 2003.
  • KAHNEMAN, Daniel. Rápido e devagar: duas formas de pensar. Rio de Janeiro: Objetiva, 2012.
  • IAN MANN. Engenharia Social: Série Prevenção de Fraudes. São Paulo: Edgard Blucher, 2011.
  • ALVES, Cassio Bastos. Segurança da Informação vs. Engenharia Social. TCC, Centro Universitário do Distrito Federal, 2010.
  • LAUREANO, Marcos Aurelio Pchek. Gestão de Segurança da Informação. 2005.

Ver todos os artigos →