Os golpes digitais mais sofisticados de hoje não dependem de hackers invadindo sistemas complexos. Eles dependem de algo muito mais simples e por isso mais perigoso: a manipulação de pessoas. Essa técnica tem nome: engenharia social. E entender como ela funciona é a melhor defesa contra ela.
Segundo a empresa de cibersegurança Fortinet, só nos seis primeiros meses de 2025 a América Latina foi alvo de 374 bilhões de tentativas de ataques cibernéticos. O Brasil concentrou 84% desse total — 315 bilhões de tentativas. Grande parte dessas ações começa não com código malicioso, mas com uma mensagem, uma ligação ou um e-mail cuidadosamente elaborado para enganar uma pessoa.
O que é engenharia social
Engenharia social é o conjunto de técnicas psicológicas usadas por criminosos para manipular pessoas e obter informações confidenciais, acessos a sistemas ou autorização para transações fraudulentas. Em vez de explorar vulnerabilidades técnicas, ela explora vulnerabilidades humanas: confiança, pressa, medo de errar e respeito a figuras de autoridade.
O princípio é simples, se o golpista conseguir fazer você acreditar que ele é alguém de confiança, você entrega voluntariamente o que ele precisa: uma senha, um código, uma transferência, uma confirmação.
As formas mais comuns de engenharia social
Phishing é o método mais conhecido. O golpista envia um e-mail ou mensagem que imita uma fonte confiável (banco, empresa, órgão do governo) com um link falso ou um pedido de informação. Os golpes de “atualização de dados do PIX” e falsos e-mails da Receita Federal são exemplos frequentes em 2025.
Golpe do CEO (ou BEC — Business Email Compromise): o golpista se passa por um executivo da empresa e envia uma mensagem urgente pedindo uma transferência ou uma ação imediata. A mensagem usa o nome real do executivo, o estilo de comunicação que o criminoso pesquisou previamente e sempre cria um senso de urgência para impedir que a vítima verifique antes de agir.
Vishing: golpe por voz. O criminoso liga se passando por técnico de suporte, operador de banco ou representante de empresa e convence a vítima a fornecer dados, instalar programas ou realizar pagamentos.
Baiting: o criminoso deixa um pendrive ou dispositivo infectado em local de fácil acesso (estacionamento, corredor, mesa) contando com a curiosidade natural de quem o encontra para conectá-lo a um computador.
Por que esses golpes funcionam
A eficácia da engenharia social reside em três fraquezas humanas universais: o hábito de confiar em figuras de autoridade, o medo de cometer erros sob pressão, e a pressa de agilizar processos no cotidiano corporativo. O golpista não precisa vencer sistemas de segurança, precisa apenas criar o contexto certo para que a própria vítima abra a porta.
Como se proteger: regras práticas
Verifique antes de agir. Qualquer pedido incomum (transferência urgente, envio de senha, instalação de programa) deve ser confirmado por outro canal antes de ser atendido. Se o pedido chegou por e-mail, ligue para confirmar. Se chegou por telefone, envie mensagem para o contato oficial.
Desconfie da urgência. Golpistas criam urgência artificial para impedir que você pense. “Precisa ser agora”, “se não fizer isso hoje o sistema bloqueia” são sinais de alerta, não de prioridade real.
Nunca compartilhe senhas ou códigos. Nenhuma empresa legítima como banco, operadora, empregador, pede sua senha ou código de verificação por telefone, e-mail ou mensagem.
Não conecte dispositivos desconhecidos. Um pendrive encontrado no chão pode ser uma armadilha. O custo de ignorá-lo é zero. O custo de conectá-lo pode ser alto.
Mantenha dispositivos bloqueados quando se afastar. Uma tela desbloqueada por poucos minutos pode ser suficiente para comprometer dados importantes.
Segurança digital começa em cada um
A tecnologia de segurança das empresas é cada vez mais sofisticada, mas ela só funciona quando as pessoas que a operam estão alertas. Na Golin, cada colaborador é uma linha de defesa. Conhecer as técnicas de engenharia social e adotar os comportamentos corretos no dia a dia é uma forma concreta de proteger a empresa, os dados dos clientes e a própria carreira.
Se você receber algo suspeito, não clique, não responda e comunique ao setor de TI ou à liderança imediatamente.
Fontes: Fortinet Threat Intelligence (fortinet.com), Serasa Experian (serasaexperian.com.br), Proactus Tecnologia (proactus.com.br)
