Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Panorama das fraudes digitais baseadas em manipulação humana

Capítulo 1

Tempo estimado de leitura: 15 minutos

+ Exercício

O que são fraudes digitais baseadas em manipulação humana

Fraudes digitais baseadas em manipulação humana são golpes em que o elemento decisivo não é “quebrar” uma senha por força bruta nem explorar uma falha técnica complexa, mas sim influenciar o comportamento de alguém para que a própria vítima (ou um intermediário) execute ações que favoreçam o fraudador. O criminoso explora vieses cognitivos, emoções, rotinas de trabalho, pressa e lacunas de processo para obter acesso, dinheiro, dados ou autorização. Em muitos casos, a tecnologia entra como meio (e-mail, mensagens, chamadas, redes sociais, formulários, QR codes), mas o ponto de ruptura é humano: clicar, informar, aprovar, transferir, instalar, redefinir, “só confirmar rapidinho”.

Esse tipo de fraude costuma ser eficaz porque se encaixa no fluxo normal de comunicação e decisão. O fraudador imita contextos legítimos (um fornecedor, um gestor, um banco, um cliente, o suporte técnico), cria uma narrativa plausível e conduz a vítima por um caminho de pequenas concessões até chegar ao objetivo. O golpe pode ser pontual (um pagamento indevido) ou abrir portas para ataques posteriores (roubo de credenciais, acesso a e-mails, sequestro de contas, movimentação lateral).

O que diferencia manipulação humana de outros tipos de fraude

  • O alvo é o comportamento: o fraudador quer que a vítima faça algo (aprovar, pagar, compartilhar, instalar, redefinir), não apenas que “seja invadida”.

  • O ataque é adaptativo: o criminoso ajusta o discurso conforme a reação da vítima, usando conversa em tempo real ou mensagens sequenciais.

  • O contexto é o disfarce: a fraude se apoia em rotinas (cobranças, suporte, entregas, RH, compras) e em sinais superficiais de legitimidade (logos, assinaturas, tom profissional, urgência).

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • O sucesso depende de confiança e pressão: autoridade, urgência, medo, oportunidade e reciprocidade são gatilhos comuns.

Principais objetivos dos fraudadores

Embora as histórias variem, os objetivos tendem a cair em alguns grupos recorrentes. Reconhecer o “fim” ajuda a identificar o golpe mesmo quando o “meio” muda.

1) Desvio de dinheiro

Inclui transferências, pagamentos de boletos/PIX, alteração de dados bancários de fornecedor, compras com cartão, reembolsos falsos e “taxas” para liberar prêmios ou entregas. Em empresas, o foco é explorar processos de contas a pagar, compras e tesouraria.

2) Roubo de credenciais e tomada de contas

O fraudador busca logins e códigos (senhas, tokens, códigos SMS, autenticação por aplicativo) para acessar e-mails, redes sociais, sistemas corporativos e bancos. Muitas vezes, a tomada de conta é apenas a primeira etapa para golpes mais lucrativos.

3) Coleta de dados para fraude futura

Dados pessoais, documentos, selfies, comprovantes, dados de cartão, informações de folha de pagamento, dados de clientes e informações internas podem ser usados para abrir contas, solicitar crédito, aplicar golpes em terceiros ou tornar ataques futuros mais convincentes.

4) Instalação de software malicioso ou acesso remoto

O criminoso convence a vítima a instalar um “suporte remoto”, um “atualizador”, um “leitor de documento” ou a abrir um arquivo. O objetivo pode ser capturar teclas, roubar arquivos, controlar o dispositivo ou persistir no ambiente.

5) Comprometimento de processos e confiança

Alguns golpes visam alterar cadastros, redirecionar comunicações, inserir um novo “contato” em uma cadeia de aprovação ou manipular o fluxo de atendimento ao cliente. O dano pode ser operacional e reputacional, além do financeiro.

Onde essas fraudes acontecem com mais frequência

Fraudes por manipulação humana se concentram em pontos de contato com alta velocidade de decisão e baixa verificação. Alguns ambientes são especialmente visados:

  • Financeiro/Contas a pagar: pagamentos recorrentes, fornecedores, urgências e múltiplas solicitações simultâneas.

  • Atendimento ao cliente: pedidos de redefinição de senha, troca de e-mail/telefone, reembolso, alteração de endereço.

  • RH e folha: atualização de dados bancários, envio de documentos, “admissões” e “benefícios”.

  • Compras e logística: cotações, notas fiscais, entregas, mudanças de endereço, “taxas” e liberações.

  • Executivos e assistentes: agendas cheias, delegação, autoridade e pressão por rapidez.

  • Usuários finais: mensagens de “segurança”, “bloqueio”, “promoção”, “entrega” e “suporte”.

Taxonomia prática: tipos comuns de fraude por manipulação humana

Em vez de memorizar nomes, é mais útil reconhecer padrões. A seguir, uma taxonomia prática com exemplos e sinais típicos.

Fraude de pagamento por mudança de dados (fornecedor/beneficiário)

O fraudador se passa por fornecedor ou parceiro e solicita alteração de conta bancária, chave PIX ou dados de faturamento. Em seguida, envia boletos, notas ou instruções para pagamento “atualizadas”.

  • Exemplo: “Atualizamos nosso banco por auditoria; favor pagar a próxima fatura na conta abaixo.”

  • Sinais: mudança fora do padrão, urgência, canal novo (WhatsApp em vez de e-mail corporativo), domínio parecido, anexos com pequenas inconsistências, pedido para “não ligar” e resolver “por aqui”.

Fraude do “executivo” (ordem urgente de transferência)

O criminoso imita um gestor ou diretor e solicita uma transferência urgente, compra de gift cards, pagamento de “taxa” ou adiantamento. O golpe explora autoridade e medo de contrariar.

  • Exemplo: “Estou em reunião, preciso que faça um PIX agora e me mande o comprovante.”

  • Sinais: pedido fora do processo, urgência extrema, segredo (“não envolva mais ninguém”), canal incomum, tom imperativo, erros sutis no nome/assinatura.

Fraude de suporte técnico e acesso remoto

O fraudador se apresenta como suporte de TI, banco ou “segurança” e pede para instalar aplicativo, conceder acesso remoto, informar códigos ou “validar” transações.

  • Exemplo: “Detectamos atividade suspeita; instale este app para bloquear e me diga o código que chegou.”

  • Sinais: contato não solicitado, pedido de código de autenticação, insistência para agir durante a ligação, orientação para desativar proteções, links encurtados.

Fraude de redefinição de conta (engenharia social em atendimento)

O criminoso tenta convencer o atendimento a redefinir senha, trocar e-mail/telefone ou liberar acesso. Pode usar dados vazados, documentos falsos ou pressão emocional.

  • Exemplo: “Perdi o celular e preciso acessar agora; estou viajando; se não resolver vou perder um contrato.”

  • Sinais: pressa, inconsistência em dados, tentativa de contornar perguntas, irritação quando há verificação, pedido para “pular etapas”.

Fraude de recrutamento, freela e “tarefas”

Promessas de emprego, renda extra ou tarefas simples que exigem pagamento antecipado, envio de documentos, instalação de apps ou “depósito para ativar”.

  • Exemplo: “Para liberar seu contrato, pague a taxa do exame/curso e envie seus documentos.”

  • Sinais: pagamento para “começar”, comunicação fora de canais oficiais, ofertas boas demais, pressão para decidir rápido, links e formulários suspeitos.

Fraude de entrega, cobrança e “regularização”

Mensagens sobre encomendas, multas, impostos, pendências e cobranças que levam a links de pagamento ou páginas falsas de login.

  • Exemplo: “Sua entrega está retida; pague a taxa para liberar hoje.”

  • Sinais: remetente genérico, link estranho, senso de urgência, valor baixo para reduzir resistência, pedido de dados além do necessário.

Fraude com QR code e redirecionamento

O fraudador substitui ou envia QR codes para pagamento/validação que direcionam para destinatário errado ou site falso. Pode ocorrer em cartazes, e-mails, PDFs e até telas compartilhadas.

  • Exemplo: “Escaneie para confirmar sua identidade e liberar acesso.”

  • Sinais: QR em contexto inesperado, ausência de confirmação do destinatário, instrução para “não conferir detalhes”, QR enviado por canal informal.

Como os fraudadores constroem credibilidade

O “realismo” do golpe raramente depende de uma única peça; ele é montado por camadas de sinais que parecem legítimos quando vistos rapidamente. Entender essas camadas ajuda a treinar o olhar para inconsistências.

Camada 1: informação pública e vazada

O fraudador coleta nomes, cargos, fornecedores, padrões de assinatura, fotos, horários, eventos e linguagem usada pela organização. Dados vazados (nome completo, CPF, e-mail, telefone, endereço) tornam a abordagem mais convincente e reduzem suspeitas.

Camada 2: imitação de identidade

Uso de domínios parecidos, números com foto e nome, perfis falsos, assinaturas copiadas, logotipos e modelos de e-mail. Pequenas diferenças passam despercebidas em telas pequenas ou sob pressão.

Camada 3: narrativa com gatilhos psicológicos

  • Urgência: “precisa ser agora”, “último dia”, “bloqueio em 30 minutos”.

  • Autoridade: “diretoria pediu”, “auditoria”, “jurídico”.

  • Escassez: “últimas vagas”, “última chance de evitar multa”.

  • Medo: “conta invadida”, “processo”, “perda de acesso”.

  • Reciprocidade: “estou te ajudando”, “é só um favor rápido”.

  • Consistência: começa com pedidos pequenos e evolui para o pedido crítico.

Camada 4: condução operacional

O criminoso guia a vítima passo a passo para reduzir o tempo de reflexão: “abra o link”, “clique em esqueci minha senha”, “me diga o código”, “faça o PIX e me mande o comprovante”. Quanto mais a vítima executa ações, mais comprometida fica com a narrativa.

Cadeia de ataque: do primeiro contato ao impacto

Um modo útil de enxergar o panorama é como uma cadeia com etapas. Nem todo golpe terá todas as fases, mas a maioria segue um fluxo parecido.

  • 1) Preparação: coleta de informações, escolha do alvo, criação de identidade falsa, roteiros e materiais (mensagens, páginas, PDFs).

  • 2) Aproximação: contato inicial por canal com alta taxa de resposta (mensagem, e-mail, ligação). O objetivo é iniciar conversa e estabelecer contexto.

  • 3) Construção de confiança: uso de detalhes reais, linguagem do setor, referências a processos e pessoas.

  • 4) Pressão e direcionamento: urgência, segredo, ameaça ou oportunidade para acelerar a decisão.

  • 5) Ação crítica: pagamento, compartilhamento de credenciais/códigos, instalação de app, alteração de cadastro, envio de documento.

  • 6) Exploração: saque, compras, movimentação em contas, acesso a sistemas, novas abordagens a contatos da vítima.

  • 7) Encobrimento: pedido para apagar mensagens, uso de múltiplos intermediários, mudança rápida de contas de destino.

Indicadores práticos de manipulação humana (red flags)

Os sinais abaixo são úteis porque aparecem em diferentes golpes, independentemente do canal. Quanto mais sinais simultâneos, maior a probabilidade de fraude.

  • Pedido fora do processo: “só desta vez”, “não precisa abrir chamado”, “faz por aqui”.

  • Urgência incompatível: prazos irrealistas, pressão para agir durante a ligação.

  • Segredo e isolamento: “não envolva o financeiro”, “não copie ninguém”.

  • Mudança repentina de dados: conta bancária, e-mail, telefone, endereço, chave PIX.

  • Canal inesperado: contato por número novo, e-mail externo, mensagem em horário incomum.

  • Inconsistências pequenas: nomes, cargos, assinaturas, formatação, termos que a empresa não usa.

  • Pedido de credenciais/códigos: qualquer solicitação de senha, token, código SMS ou aprovação de login “para cancelar”.

  • Orientação para burlar segurança: desativar antivírus, ignorar alertas, instalar app fora da loja oficial, permitir acesso remoto.

  • Pagamento fracionado ou para terceiros: “pague em duas partes”, “use esta conta de um parceiro”.

Passo a passo prático: como analisar uma solicitação suspeita antes de agir

Este roteiro serve tanto para pessoas físicas quanto para rotinas corporativas. A ideia é criar uma pausa deliberada e checagens simples que quebram a pressão do fraudador.

Passo 1: Identifique qual é a ação crítica solicitada

Pergunte: o que exatamente estão tentando me fazer fazer? Normalmente será uma destas ações: pagar, informar código, clicar em link e logar, instalar app, alterar cadastro, enviar documento sensível.

  • Exemplo: a mensagem parece “sobre entrega”, mas a ação crítica é pagar uma taxa em um link.

Passo 2: Avalie o contexto e a plausibilidade

Compare com o que seria normal: eu esperava esse contato? faz sentido no horário? o tom e o canal batem com o padrão?

  • Checklist rápido: eu iniciei o contato? eu tenho relação com esse remetente? existe um processo formal para isso?

Passo 3: Procure sinais de pressão e isolamento

Se houver urgência extrema, segredo ou tentativa de impedir verificação, trate como alto risco.

  • Exemplo: “não ligue para confirmar porque estou em reunião” é um sinal clássico de isolamento.

Passo 4: Verifique a identidade por um canal independente

Não responda no mesmo canal do contato suspeito. Use um canal que você já conheça e confie: telefone oficial do site, número salvo anteriormente, e-mail corporativo já usado, portal do fornecedor, aplicativo oficial.

  • Exemplo: se o “fornecedor” pediu mudança de conta por e-mail, ligue para o número do contrato ou do site oficial (não o número do e-mail).

Passo 5: Valide dados críticos antes de qualquer pagamento ou alteração

Em pagamentos, valide beneficiário, CNPJ/CPF, banco, agência/conta, chave PIX e a correspondência com o cadastro pré-existente. Em contas, valide e-mail/telefone de recuperação e histórico de alterações.

  • Boa prática: compare a nova informação com um registro interno (cadastro de fornecedor, contrato, pedido de compra) e exija evidência formal quando houver mudança.

Passo 6: Reduza a superfície de erro com “dupla checagem”

Quando aplicável, use aprovação em duas pessoas, regra de quatro olhos, ou confirmação verbal com alguém que não esteja sob a mesma pressão do contato.

  • Exemplo: qualquer pagamento fora do padrão exige confirmação com o solicitante por ligação para número conhecido e aprovação adicional.

Passo 7: Se houver link, trate como potencial armadilha

Evite clicar. Prefira acessar o serviço digitando o endereço oficial no navegador ou usando o app oficial. Se precisar analisar, verifique o domínio com atenção e desconfie de encurtadores e variações sutis.

  • Exemplo: em vez de “confirmar conta” pelo link, abra o app oficial e veja se há alertas reais.

Passo 8: Se houver pedido de código, encerre a interação

Códigos de autenticação (SMS, app, e-mail) são para você, não para “suporte”. Se alguém pediu código para “cancelar” ou “proteger”, isso é um forte indicativo de tentativa de tomada de conta.

Passo 9: Registre e reporte internamente (ou para o responsável)

Em empresa, encaminhe para o time responsável (segurança, TI, financeiro) com evidências: e-mail completo, número, prints, horário, dados solicitados. Em contexto pessoal, guarde prints e dados do destinatário do pagamento.

Exemplos práticos de leitura de cenário (com perguntas orientadoras)

Cenário A: “Mudamos nossa conta bancária”

Você recebe um e-mail com nota fiscal e instrução de pagamento em nova conta.

  • Perguntas: essa mudança foi comunicada por canal formal? o e-mail é exatamente o domínio do fornecedor? a conta nova corresponde ao CNPJ do fornecedor? existe contrato prevendo esse procedimento?

  • Ação segura: confirmar por telefone oficial e exigir documento formal assinado conforme política interna; só então atualizar cadastro.

Cenário B: “Sou do suporte, preciso do seu código”

Uma ligação informa que houve tentativa de invasão e pede o código que chegou no seu celular.

  • Perguntas: eu solicitei suporte? o código recebido diz “não compartilhe”? por que alguém precisaria do meu código para me proteger?

  • Ação segura: desligar, acessar o serviço pelo app oficial, alterar senha e revisar sessões ativas; se for empresa, acionar TI por canal interno.

Cenário C: “Diretoria pediu pagamento agora”

Mensagem de um suposto executivo pede transferência imediata e confidencial.

  • Perguntas: isso existe no processo? por que não há solicitação formal? por que o canal é informal? por que a confidencialidade?

  • Ação segura: confirmar por ligação para número conhecido do executivo ou via assistente; aplicar regra de dupla aprovação.

Panorama de impacto: por que esses golpes escalam rápido

Fraudes por manipulação humana tendem a escalar porque uma ação simples pode abrir múltiplas portas. Um código compartilhado pode permitir tomada de e-mail; com o e-mail, o fraudador redefine outras contas; com as contas, aborda contatos e fornecedores; com acesso a sistemas, altera cadastros e cria pagamentos. Além disso, o tempo de reação costuma ser curto: transferências podem ser liquidadas rapidamente, contas podem ser tomadas em minutos e mensagens podem ser apagadas.

Por isso, o panorama não é apenas “quantos golpes existem”, mas como eles se conectam a processos cotidianos. O ponto central é reconhecer que a defesa não depende só de ferramentas, e sim de rotinas de verificação, clareza de processos e capacidade de interromper a pressão do fraudador com checagens independentes.

Mini-roteiro operacional para equipes: triagem rápida de solicitações

Quando uma equipe recebe uma solicitação sensível (pagamento, alteração de cadastro, redefinição de acesso), um roteiro curto ajuda a padronizar decisões.

1) Qual é a ação crítica? (pagar / alterar / redefinir / instalar / enviar dados) 2) Isso está dentro do processo? Se não, parar e escalar. 3) Há urgência, segredo ou canal incomum? Se sim, tratar como alto risco. 4) Validar identidade por canal independente (contato oficial pré-cadastrado). 5) Validar dados críticos (beneficiário, CNPJ/CPF, conta, e-mail/telefone de recuperação). 6) Exigir dupla checagem para exceções e valores fora do padrão. 7) Registrar evidências e reportar tentativa para prevenção futura.

Agora responda o exercício sobre o conteúdo:

Ao receber uma solicitação urgente para alterar dados bancários de um fornecedor e efetuar o pagamento, qual abordagem reduz melhor o risco de fraude por manipulação humana?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A defesa recomendada é criar uma pausa deliberada: reconhecer a ação crítica (alterar/pagar), tratar urgência e canal incomum como risco e verificar por canal independente antes de validar dados como beneficiário e conta.

Próximo capitúlo

Mecanismos de persuasão e gatilhos usados em engenharia social

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store