Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Ciclo de um ataque: preparação, aproximação, exploração e evasão

Capítulo 3

Tempo estimado de leitura: 13 minutos

+ Exercício

Entender o ciclo de um ataque de engenharia social ajuda a reconhecer sinais precoces, interromper a cadeia de eventos e responder com rapidez. Em vez de enxergar um golpe como um evento único (uma mensagem suspeita, um link, uma ligação), é mais útil tratá-lo como um processo com fases. Cada fase tem objetivos, artefatos (o que o atacante produz) e pontos de controle (o que a vítima, a equipe e os sistemas podem observar).

Neste capítulo, o ciclo é organizado em quatro etapas: preparação, aproximação, exploração e evasão. Na prática, elas podem se sobrepor, repetir ou ocorrer em paralelo. Um atacante pode voltar à preparação após uma tentativa falha, ou executar múltiplas aproximações até encontrar a pessoa certa.

1) Preparação

Na preparação, o atacante reduz incertezas: coleta informações, define o alvo, escolhe o canal e prepara os recursos necessários. O objetivo é aumentar a taxa de sucesso e diminuir o risco de detecção. Essa fase pode durar minutos (golpes oportunistas) ou semanas (campanhas direcionadas).

O que o atacante busca na preparação

  • Mapeamento de pessoas e papéis: quem aprova pagamentos, quem acessa sistemas, quem atende suporte, quem é novo na empresa, quem está em férias, quem é terceirizado.
  • Mapeamento de processos: como a organização solicita reembolso, como troca senha, como cadastra fornecedor, como valida mudança de conta bancária, como aprova compras.
  • Mapeamento de tecnologia: quais ferramentas de e-mail e chat são usadas, se há autenticação multifator, como é o portal de login, quais domínios e subdomínios existem, quais integrações com fornecedores.
  • Coleta de “pistas” públicas e semi-públicas: assinaturas de e-mail, organogramas em sites, vagas anunciadas (que indicam tecnologias internas), posts em redes sociais, documentos compartilhados, fotos de crachás, eventos e viagens.
  • Escolha do pretexto: uma história plausível que justifique o contato (ex.: “atualização de cadastro”, “confirmação de entrega”, “mudança de conta do fornecedor”, “urgência do diretor”).
  • Preparação de infraestrutura: contas de e-mail parecidas, domínios semelhantes, números de telefone, páginas de login falsas, documentos (PDF) e formulários.

Sinais e pontos de controle na preparação

Muitas organizações só percebem o ataque na exploração, mas há sinais anteriores:

  • Consultas incomuns ao suporte: perguntas genéricas sobre processo (“como faço para alterar dados bancários?”) feitas por contatos não habituais.
  • Registro de domínios parecidos com o da empresa ou de fornecedores críticos (monitoramento de typosquatting).
  • Criação de contas e perfis falsos imitando executivos ou equipes (monitoramento de marca e perfis).
  • Coleta de informações em massa: varreduras de e-mails, tentativas de descobrir padrões de usuário (nome.sobrenome).

Passo a passo prático: como reduzir a superfície de preparação

  1. Mapeie “funções-alvo”: liste cargos com poder de aprovação, acesso a dados sensíveis e capacidade de alterar cadastros (financeiro, compras, RH, TI, atendimento).

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  2. Revise o que é público: assinaturas de e-mail com telefones diretos, organogramas detalhados, documentos com metadados, fotos de crachá, calendários públicos.

  3. Padronize processos com validação fora de banda: mudanças de conta bancária, alteração de e-mail de contato e reset de senha devem exigir confirmação por um canal diferente do canal de solicitação.

  4. Implemente monitoramento de domínios: alertas para domínios semelhantes ao seu e aos de fornecedores críticos.

  5. Treine o suporte e áreas de front para reconhecer “perguntas de reconhecimento” e registrar incidentes mesmo sem dano aparente.

2) Aproximação

Na aproximação, o atacante inicia contato e tenta estabelecer credibilidade e contexto. Pode ser por e-mail, telefone, mensagens, redes sociais, formulários, anúncios, QR codes, ou até presencialmente. O objetivo é conduzir a vítima para uma ação: clicar, responder, fornecer dados, instalar algo, aprovar uma transação ou abrir uma exceção no processo.

Formas comuns de aproximação (sem depender de um único canal)

  • Mensagem com solicitação específica: “Pode revisar este documento?”, “Preciso que atualize o cadastro do fornecedor”, “Segue boleto corrigido”.
  • Contato “de dentro”: alguém se passando por colega, gestor, TI, financeiro ou fornecedor recorrente.
  • Contato “de fora”: suposto banco, transportadora, auditoria, órgão regulador, parceiro.
  • Isco informacional: convite para evento, pesquisa, vaga, brinde, “comprovante” ou “nota fiscal”.
  • Abordagem de suporte: “Detectamos atividade suspeita, precisamos confirmar seu acesso”.

O que torna a aproximação convincente

A aproximação tende a ser mais eficaz quando combina elementos verificáveis (nome de um projeto real, referência a um fornecedor existente, linguagem compatível com a área) com um pedido simples e rápido. O atacante também pode explorar janelas de oportunidade: fechamento do mês, troca de turno, períodos de férias, eventos corporativos, incidentes reais em andamento.

Checklist de verificação para quem recebe o contato

  • Identidade: o remetente é quem diz ser? O domínio e o endereço batem com o padrão oficial? O número de telefone é conhecido e registrado?
  • Contexto: a solicitação faz sentido para o seu papel? Você é a pessoa certa para isso?
  • Canal: a solicitação chegou por um canal incomum para esse tipo de pedido?
  • Pressa e exceção: há tentativa de pular etapas (“faz só desta vez”, “não dá para abrir chamado”)?
  • Verificação independente: você consegue confirmar por um canal alternativo (ligar para o número oficial, consultar o portal interno, falar com o gestor)?

Passo a passo prático: triagem rápida de uma mensagem suspeita

  1. Pause e classifique: é pedido de credencial, pagamento, alteração cadastral, envio de arquivo/dado, ou instalação? Se sim, trate como alto risco.

  2. Verifique o remetente: confira domínio, nome exibido versus e-mail real, e se há pequenas variações (troca de letras, hífens, subdomínios estranhos).

  3. Não use links da mensagem: se precisar acessar um portal, digite o endereço conhecido ou use favoritos corporativos.

  4. Confirme fora de banda: responda usando um contato já salvo, abra chamado no sistema oficial, ou ligue para o número oficial do fornecedor.

  5. Registre evidências: salve cabeçalhos do e-mail, prints, número de telefone, horário, e encaminhe ao canal interno de segurança.

3) Exploração

A exploração é o momento em que a ação desejada acontece: a vítima fornece informação, executa um procedimento, aprova uma transação ou instala algo. Nem sempre envolve malware; muitas fraudes são “sem arquivo”, baseadas apenas em transferência de dinheiro, mudança de cadastro, compartilhamento de códigos e credenciais, ou exposição de dados.

Principais objetivos na exploração

  • Obter credenciais: usuário e senha, códigos de autenticação, tokens, links de recuperação.
  • Induzir transação: pagamento, PIX, transferência, compra de gift cards, alteração de conta de fornecedor.
  • Capturar dados: documentos, planilhas, dados pessoais, listas de clientes, informações de faturamento.
  • Ganhar persistência: configurar redirecionamento de e-mail, criar regra de caixa de entrada, adicionar dispositivo confiável, cadastrar chave de recuperação.
  • Escalar acesso: usar uma conta para alcançar outras, solicitar permissões, explorar confiança interna.

Exemplo prático 1: fraude de alteração de dados bancários de fornecedor

Cenário: o financeiro recebe um e-mail “do fornecedor” informando mudança de banco e anexando uma carta com timbre. A mensagem pede que a próxima fatura seja paga na nova conta.

  • Exploração: a equipe altera o cadastro e paga a fatura para a conta do atacante.
  • Por que funciona: o processo permite alteração com base em e-mail e documento anexado, sem confirmação independente.

Controles que quebram a exploração:

  • Validação fora de banda com contato já cadastrado (ligação para número oficial, não o da mensagem).
  • Regra de “dupla aprovação” para mudança de dados bancários.
  • Janela de carência: mudança só entra em vigor após confirmação por segundo canal e após X horas.

Exemplo prático 2: captura de credenciais via página de login falsa

Cenário: uma mensagem informa “expiração de senha” e direciona para um link que imita o portal corporativo. A vítima digita credenciais e, em seguida, um código de autenticação.

  • Exploração: o atacante usa as credenciais em tempo real para acessar o serviço legítimo.
  • Variação comum: o atacante pede o código “para confirmar identidade” em uma ligação enquanto a vítima está na página.

Controles que quebram a exploração:

  • Treinamento específico: códigos de autenticação não são compartilhados com ninguém, nem com “TI”.
  • Uso de chaves de segurança ou autenticação resistente a phishing quando possível.
  • Detecção de login anômalo (localização, dispositivo, horário) e bloqueio adaptativo.

Passo a passo prático: resposta imediata durante a exploração (quando você percebe “no meio”)

  1. Interrompa a ação: não finalize pagamento, não envie o arquivo, feche a página suspeita, pare a instalação.

  2. Se você inseriu credenciais: altere a senha imediatamente pelo caminho oficial e revogue sessões/dispositivos conectados, se disponível.

  3. Se você compartilhou código de autenticação: trate como comprometimento; comunique a segurança/ti e solicite bloqueio de conta e revisão de acessos.

  4. Se houve pagamento: acione o procedimento de contestação/recall o quanto antes e informe o banco; registre protocolo e horários.

  5. Preserve evidências: guarde e-mail, anexos, links, cabeçalhos, prints e dados do destinatário do pagamento.

Artefatos típicos deixados pela exploração (úteis para detecção)

  • Regras de e-mail criadas para ocultar mensagens (ex.: mover para arquivo, marcar como lido, encaminhar).
  • Novos dispositivos conectados à conta.
  • Alterações cadastrais em fornecedores, contas bancárias, e-mails de contato.
  • Solicitações incomuns de exportação de dados ou compartilhamento de pastas.
  • Sequência de eventos: e-mail recebido → clique → login → solicitação de MFA → login bem-sucedido em minutos.

4) Evasão

Na evasão, o atacante tenta reduzir a chance de ser descoberto e aumentar o tempo até a resposta. Isso pode incluir apagar rastros, desviar comunicações, manter acesso silencioso e manipular a percepção da vítima (“foi só um teste”, “ignore a mensagem anterior”). Em fraudes financeiras, a evasão também envolve acelerar a retirada do dinheiro e dificultar o rastreio.

Táticas comuns de evasão em ataques centrados em pessoas

  • Ocultação de comunicação: criar regras de caixa de entrada para esconder respostas do fornecedor real ou alertas de segurança.
  • Troca de canal: após o primeiro contato por e-mail, migrar para mensagem/telefone para reduzir rastreabilidade e aumentar pressão.
  • Fragmentação: dividir pedidos em pequenas etapas para parecer “rotina” (primeiro confirmar dados, depois “só mais um detalhe”).
  • Uso de contas comprometidas: enviar mensagens a partir de e-mails reais de parceiros, reduzindo suspeita.
  • Janelas curtas: pedir execução imediata e “não envolver mais ninguém”, evitando validação.
  • Desinformação: alegar que o processo mudou, que há auditoria, ou que o contato alternativo “está fora do ar”.

Indicadores de evasão que equipes podem monitorar

  • Regras de e-mail novas e encaminhamentos externos não autorizados.
  • Alterações de métodos de recuperação (e-mail/telefone) e inclusão de novos fatores de autenticação.
  • Logins de locais incomuns seguidos de criação de regras, exportação de dados ou mudanças cadastrais.
  • Conversas com mudança repentina de tom: insistência para não registrar chamado, não copiar gestor, não usar canal oficial.
  • Pagamentos fora do padrão: novos beneficiários, urgência, valores fracionados, instruções para “não descrever” na transferência.

Passo a passo prático: contenção e investigação inicial após suspeita

  1. Acione o canal interno de segurança/ti/risco e registre o incidente com horário, pessoas envolvidas e resumo do ocorrido.

  2. Proteja contas: redefina senhas, revogue sessões, revise dispositivos conectados e fatores de autenticação; desative encaminhamentos e regras suspeitas.

  3. Revise alterações recentes: cadastros de fornecedores, dados bancários, permissões em pastas, compartilhamentos e integrações.

  4. Faça varredura de mensagens relacionadas: procure por e-mails semelhantes enviados a outras pessoas (mesmo assunto, remetente parecido, anexos idênticos).

  5. Se houver impacto financeiro: acione imediatamente banco e jurídico/financeiro para tentativa de bloqueio/recuperação; preserve comprovantes e dados do beneficiário.

  6. Comunique as partes legítimas: contate o fornecedor/parceiro por canais oficiais para confirmar se houve comprometimento e alinhar próximos passos.

Como transformar o ciclo em um “modelo mental” operacional

Uma forma prática de usar essas quatro fases no dia a dia é associar cada uma a perguntas simples:

  • Preparação: “Que informação sobre nós pode estar sendo usada para tornar isso crível?”
  • Aproximação: “Quem está pedindo e por qual canal? Isso é verificável por um meio independente?”
  • Exploração: “Qual ação estão tentando me fazer executar? Isso muda dinheiro, acesso ou dados?”
  • Evasão: “O que pode estar sendo escondido agora? Há regras, encaminhamentos, mudanças de recuperação, pressão para não registrar?”

Exercício guiado: simulação de análise de um caso (sem executar ações reais)

Objetivo: treinar a identificação das fases e dos controles, usando um caso hipotético.

Caso: você recebe uma mensagem dizendo que “há uma fatura em atraso” e pedindo para baixar um PDF e confirmar o pagamento. O remetente parece ser um fornecedor conhecido, mas o domínio tem uma letra diferente. A mensagem pede urgência e solicita que a confirmação seja enviada por mensagem em um número não cadastrado.

  1. Identifique a fase: a mensagem é a aproximação. O pedido de baixar o PDF e confirmar pagamento é o início da exploração.

  2. Liste sinais: domínio parecido, urgência, mudança para canal alternativo, número não cadastrado.

  3. Defina ação segura: não abrir o anexo; confirmar a fatura no ERP/portal oficial; contatar o fornecedor por telefone oficial; registrar o e-mail para análise.

  4. Pense na evasão: se alguém abrisse o PDF e respondesse, o atacante poderia pedir “só mais um dado” e tentar mover a conversa para um canal menos auditável.

  5. Defina controles: bloqueio de anexos suspeitos, banner de e-mail externo, validação de pagamento por dados do cadastro, alerta para domínios semelhantes.

Modelo de registro de incidente (para padronizar resposta)

Padronizar o que coletar acelera a investigação e reduz perda de evidências. Um registro simples pode incluir:

  • Quem: nome, área, contato da pessoa que recebeu e de quem executou ações.
  • Quando: data e hora do recebimento e das ações (clique, login, pagamento).
  • Como: canal (e-mail, telefone, mensagem), remetente, número, domínio, link.
  • O quê: pedido feito, arquivos anexados, dados fornecidos, valores e beneficiários (se pagamento).
  • Evidências: cabeçalhos, prints, anexos, URLs, comprovantes, logs disponíveis.
  • Estado atual: conta bloqueada? senha alterada? pagamento contestado? fornecedor contatado?
Exemplo (estrutura de anotação):
- Canal: e-mail
- Remetente exibido: Financeiro Fornecedor X
- Endereço real: financeiro@forneced0r-x.com
- Assunto: Fatura pendente - URGENTE
- Ação solicitada: baixar PDF e confirmar pagamento por WhatsApp
- Link/anexo: anexo_fatura.pdf
- Ações realizadas: nenhuma (mensagem reportada)
- Evidências: print + cabeçalho completo + anexo preservado

Agora responda o exercício sobre o conteúdo:

Qual ação representa um controle eficaz para interromper a fase de exploração em uma tentativa de fraude por alteração de dados bancários de fornecedor?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Na exploração, o objetivo é induzir uma ação (ex.: alterar cadastro e pagar). A validação fora de banda com contato oficial e a dupla aprovação quebram a cadeia ao impedir que um pedido via canal comprometido seja suficiente para a mudança.

Próximo capitúlo

Phishing por e-mail: padrões de mensagem, anexos e links maliciosos

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store