Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Resposta a incidentes de engenharia social: contenção, erradicação e recuperação

Capítulo 19

Tempo estimado de leitura: 14 minutos

+ Exercício

Resposta a incidentes de engenharia social é o conjunto de ações coordenadas para limitar danos quando a manipulação humana já gerou (ou pode gerar) impacto: acesso indevido, vazamento de dados, fraude financeira, instalação de malware, comprometimento de contas ou exposição de informações sensíveis. Diferente de uma resposta focada apenas em vulnerabilidades técnicas, aqui o “vetor” inclui pessoas, processos e comunicações; por isso, a resposta precisa combinar medidas técnicas (bloqueios, revogações, análises) com medidas operacionais (alinhamento com áreas de negócio, comunicação interna, preservação de evidências e orientação aos envolvidos).

Este capítulo foca nas três fases centrais após a identificação e triagem inicial: contenção (parar o sangramento), erradicação (remover a causa e os artefatos) e recuperação (retomar operações com segurança). Em incidentes de engenharia social, essas fases costumam se sobrepor: você pode conter uma conta comprometida enquanto erradica regras maliciosas no e-mail e já prepara a recuperação de pagamentos e acessos.

Objetivos e princípios na resposta

Antes do passo a passo, é importante entender os objetivos que guiam decisões rápidas. Em engenharia social, o tempo é crítico: minutos podem separar um “quase incidente” de uma transferência irreversível ou de um vazamento amplo.

  • Segurança primeiro, sem ampliar o dano: evite ações impulsivas que apaguem evidências ou alertem o atacante de forma desnecessária (por exemplo, responder ao golpista com informações adicionais ou “testar” links).

  • Preservar evidências: registros de e-mail, mensagens, logs, comprovantes e metadados são essenciais para investigação, acionamento de bancos, seguradoras, jurídico e eventualmente autoridades.

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Conter com o menor impacto possível: bloquear um usuário ou desligar sistemas pode ser necessário, mas deve ser proporcional ao risco e coordenado para não paralisar o negócio sem necessidade.

  • Comunicação controlada: incidentes de engenharia social envolvem reputação e confiança. Defina quem fala com quem (interno, fornecedores, clientes, imprensa) e em que termos.

  • Foco em “caminhos de abuso”: além do evento (um e-mail, uma ligação), identifique o que foi explorado: permissões excessivas, ausência de validação, falta de monitoramento, lacunas de treinamento, etc.

Classificação rápida do incidente (para orientar contenção)

Uma classificação prática ajuda a escolher ações imediatas. Use perguntas objetivas:

  • Há comprometimento de conta? Indícios: login suspeito, alertas de acesso, mudanças de senha, criação de regras de encaminhamento, mensagens enviadas sem autoria.

  • Há impacto financeiro em curso? Ex.: pagamento agendado, boleto/PIX enviado, alteração de dados bancários de fornecedor, solicitação de reembolso.

  • Há exposição de dados? Ex.: envio de planilhas, documentos, credenciais, dados pessoais, contratos.

  • Há execução de código/malware? Ex.: anexo executado, macro habilitada, instalação de ferramenta remota.

  • Quais sistemas e pessoas estão no “raio de explosão”? Ex.: diretoria, financeiro, RH, TI, atendimento, contas com privilégios.

Com base nisso, defina prioridade (alta/média/baixa) e acione os responsáveis adequados: TI/SecOps, financeiro/tesouraria, jurídico/compliance, comunicação, RH, gestor da área afetada.

Contenção: interromper o ataque e limitar danos

Contenção é o conjunto de ações para impedir que o atacante continue explorando o acesso, que novas vítimas sejam atingidas e que transações avancem. Em engenharia social, contenção frequentemente envolve “cortar canais” (contas, sessões, encaminhamentos) e “congelar processos” (pagamentos, alterações cadastrais) até validação.

Passo a passo prático de contenção (checklist operacional)

  • 1) Estabilize a comunicação e defina um canal seguro interno: crie um canal dedicado (chat corporativo, ponte de conferência) com participantes mínimos. Evite discutir detalhes sensíveis em e-mails potencialmente comprometidos.

  • 2) Preserve o material recebido: peça para a vítima encaminhar a mensagem suspeita como anexo (quando aplicável) ou exportar a conversa (mensageria) e capturar evidências (prints com data/hora, cabeçalhos, IDs de mensagem). Oriente a não clicar novamente, não responder e não apagar.

  • 3) Se houver suspeita de conta comprometida, faça contenção de identidade:

    • Revogue sessões ativas e tokens.

    • Force reset de senha e invalide senhas antigas.

    • Revisite métodos de recuperação de conta (e-mail alternativo, telefone) e remova alterações não autorizadas.

    • Reforce MFA e bloqueie logins de localidades/endereços suspeitos quando possível.

  • 4) Procure e remova persistência em e-mail: em comprometimentos de caixa postal, atacantes costumam criar regras para ocultar respostas, encaminhar mensagens ou mover e-mails para pastas. Ações típicas:

    • Listar e remover regras de encaminhamento e filtros suspeitos.

    • Verificar delegações/caixas compartilhadas adicionadas.

    • Bloquear remetentes/domínios associados ao incidente (com cuidado para não bloquear parceiros legítimos).

  • 5) Contenha o risco financeiro imediatamente:

    • Se houver pagamento em andamento, acione tesouraria e o banco para tentativa de bloqueio/estorno, seguindo o procedimento interno. Quanto mais cedo, maior a chance de reversão.

    • Congele temporariamente alterações cadastrais de fornecedor/beneficiário relacionadas ao incidente até validação fora do canal comprometido.

    • Marque transações suspeitas para dupla aprovação emergencial.

  • 6) Contenha o risco de propagação:

    • Se a conta enviou mensagens maliciosas, identifique destinatários internos e externos e dispare alerta orientando a ignorar e reportar.

    • Se houve compartilhamento de arquivo/link, revogue permissões e invalide links públicos.

  • 7) Se houver suspeita de malware, contenha o endpoint:

    • Isole a máquina da rede (quarentena) preservando evidências.

    • Bloqueie indicadores conhecidos (hash, domínio, URL) em ferramentas de segurança.

    • Evite “limpar” sem coletar dados mínimos (processos, conexões, artefatos) quando houver capacidade de resposta forense.

  • 8) Registre decisões e horários: mantenha uma linha do tempo com quem fez o quê, quando e por quê. Isso reduz retrabalho e ajuda em auditorias e ações legais.

Exemplo prático: tentativa de fraude com alteração de dados bancários

Um analista recebe uma mensagem solicitando atualização de conta bancária de um fornecedor e já iniciou o cadastro. Na contenção, o time: (1) pausa qualquer pagamento ao fornecedor, (2) bloqueia a alteração no ERP até validação, (3) preserva a mensagem e anexos, (4) valida com o fornecedor por canal alternativo conhecido, (5) procura se outros analistas receberam solicitação semelhante e (6) cria alerta interno para o financeiro. Mesmo sem “comprometimento técnico”, a contenção é processual e precisa ser rápida.

Erradicação: remover a causa e eliminar artefatos

Erradicação é a fase de eliminar o que permitiu o incidente e remover qualquer “resíduo” que mantenha o atacante com vantagem: acessos persistentes, regras maliciosas, dispositivos comprometidos, permissões indevidas, cadastros alterados, e também falhas de processo que permitiram a manipulação. Em engenharia social, erradicar não é apenas “limpar malware”; é fechar o caminho que o atacante usou para continuar enganando pessoas e sistemas.

Passo a passo prático de erradicação

  • 1) Determine o vetor real e o escopo: confirme se foi apenas uma tentativa de manipulação ou se houve comprometimento de conta/dispositivo. Use evidências: logs de autenticação, histórico de alterações, mensagens enviadas, regras criadas, transações iniciadas.

  • 2) Remova persistência e restaure configurações seguras:

    • Eliminar regras de encaminhamento, delegações e apps conectados suspeitos.

    • Revisar permissões em pastas, caixas compartilhadas e grupos.

    • Revogar chaves de API, tokens e integrações adicionadas recentemente.

  • 3) Higienize credenciais e identidades relacionadas:

    • Reset de senha do usuário afetado e, se necessário, de contas correlatas (assistentes, contas compartilhadas, contas com privilégios).

    • Revisar e endurecer políticas de recuperação de conta.

    • Checar criação de contas novas ou elevação de privilégios no período.

  • 4) Remova alterações indevidas em processos e cadastros:

    • Reverter dados bancários alterados e registrar a trilha de auditoria.

    • Revalidar cadastros de fornecedores/beneficiários tocados no período.

    • Auditar regras de aprovação que possam ter sido contornadas.

  • 5) Se houve malware, erradique com método:

    • Executar varredura completa e análise de persistência (tarefas agendadas, serviços, extensões de navegador, chaves de registro, itens de inicialização).

    • Reinstalar/recuperar a estação a partir de imagem confiável quando houver dúvida sobre integridade.

    • Atualizar sistemas e aplicações exploradas (se aplicável).

  • 6) Bloqueie recorrência por indicadores e padrões: alimente listas de bloqueio e detecção com domínios, endereços, assuntos, padrões de mensagem, contas bancárias e outros indicadores observados. Garanta que isso seja revisado para evitar falsos positivos que prejudiquem o negócio.

  • 7) Corrija a lacuna de processo que permitiu o incidente: exemplos comuns incluem ausência de validação independente para mudança de dados sensíveis, permissões excessivas para cadastrar beneficiários, ou falta de travas para pagamentos fora do padrão. A erradicação deve incluir a correção mínima necessária para impedir repetição imediata.

Exemplo prático: caixa de e-mail comprometida com regras de ocultação

Após a contenção (revogar sessões e reset de senha), a erradicação inclui: (1) listar regras e encaminhamentos criados, (2) remover delegações adicionadas, (3) revisar aplicativos conectados com permissões de leitura/envio, (4) checar se houve envio de mensagens para contatos do usuário e (5) auditar logins e IPs para identificar janela de comprometimento. Se o atacante usou a conta para solicitar pagamentos, a erradicação também envolve revisar transações e cadastros alterados no período.

Recuperação: retomar operações com segurança e monitorar recaídas

Recuperação é a fase de voltar ao funcionamento normal com confiança, garantindo que acessos, sistemas e processos estejam íntegros e que o risco residual esteja sob controle. Em incidentes de engenharia social, a recuperação inclui restaurar a confiança nos canais de comunicação (e-mail, mensageria, telefone), retomar pagamentos e cadastros com validações reforçadas, e monitorar sinais de tentativa de retorno do atacante.

Passo a passo prático de recuperação

  • 1) Valide integridade antes de “voltar ao normal”:

    • Confirme que não há regras suspeitas, integrações desconhecidas ou sessões ativas indevidas.

    • Confirme que endpoints afetados estão limpos ou reimaginados.

    • Confirme que cadastros e dados críticos foram revisados e, quando necessário, revertidos.

  • 2) Reative acessos de forma gradual e com controles:

    • Reabilite contas com MFA reforçado e alertas de login.

    • Evite reativar permissões elevadas sem revisão; aplique privilégio mínimo.

    • Para contas sensíveis (financeiro, diretoria), considere monitoramento adicional por período definido.

  • 3) Retome processos financeiros com “modo cautela” temporário:

    • Exigir validação adicional para pagamentos fora do padrão (valor, urgência, novo beneficiário).

    • Reconciliar pagamentos do período do incidente e verificar divergências.

    • Se houve tentativa de fraude, registrar e acompanhar protocolos com banco e, se aplicável, seguradora.

  • 4) Comunicação de recuperação para públicos impactados:

    • Interno: orientar colaboradores sobre o que ocorreu, o que fazer se receberam mensagens, e como reportar novos sinais. Evite expor dados pessoais desnecessários.

    • Externo (quando necessário): fornecedores/clientes podem precisar ser informados sobre mensagens fraudulentas enviadas em nome da organização e como validar comunicações futuras.

  • 5) Monitoramento pós-incidente (período de observação):

    • Alertas para logins anômalos, criação de regras, envios em massa, alterações de dados bancários e tentativas de redefinição de senha.

    • Busca retroativa por indicadores do incidente em caixas de e-mail e logs (para achar vítimas adicionais).

    • Revisão de tentativas de contato do atacante por outros canais (ex.: novas mensagens para o mesmo time).

  • 6) Documentação para auditoria e melhoria: consolide linha do tempo, impacto, ações tomadas, evidências preservadas, custos e decisões. Isso sustenta lições aprendidas e ajustes de controles.

Preservação de evidências e cadeia de custódia (essencial em fraudes)

Em incidentes com potencial financeiro ou legal, a preservação de evidências deve ocorrer desde a contenção. O objetivo é manter registros confiáveis para investigação interna, contestação bancária, seguros e eventual ação judicial. Mesmo em organizações pequenas, um procedimento simples ajuda muito.

O que preservar (exemplos)

  • Comunicações: e-mails completos (incluindo cabeçalhos), mensagens de chat exportadas, registros de ligações (quando disponíveis), anexos originais.

  • Metadados: IDs de mensagem, horários, endereços, domínios, links, hashes de arquivos.

  • Registros de autenticação: logins, alterações de senha, eventos de MFA, criação de regras, delegações.

  • Financeiro: comprovantes, dados de beneficiário, trilha de aprovação, logs do ERP, protocolos com banco.

  • Endpoint: alertas do antivírus/EDR, lista de processos, conexões, arquivos baixados.

Como preservar sem “contaminar”

  • Armazene cópias em repositório restrito, com controle de acesso.

  • Registre quem coletou, quando e de onde veio.

  • Evite editar arquivos originais; trabalhe com cópias.

  • Se houver investigação forense, coordene antes de reimagens e limpezas profundas.

Playbooks por cenário (resposta orientada a casos comuns)

Playbooks são roteiros curtos para acelerar decisões. Abaixo, modelos que você pode adaptar.

Playbook A: suspeita de comprometimento de e-mail corporativo

  • Contenção: revogar sessões; reset de senha; revisar MFA; bloquear encaminhamentos; alertar contatos internos críticos; buscar mensagens enviadas.

  • Erradicação: remover regras/delegações/apps; revisar permissões; checar criação de contas; analisar janela de acesso; bloquear indicadores.

  • Recuperação: reativar com monitoramento; revisar caixas compartilhadas; comunicar áreas impactadas; monitorar tentativas de reset e novos logins.

Playbook B: fraude de pagamento iniciada (transferência/PIX/boleto)

  • Contenção: acionar banco imediatamente; suspender pagamentos relacionados; preservar evidências; travar alterações cadastrais correlatas.

  • Erradicação: reverter dados alterados; auditar cadastros e aprovações; identificar quem recebeu a solicitação e por quais canais; bloquear recorrência por regras de processo.

  • Recuperação: reconciliar contas; reforçar validações temporárias; comunicar fornecedor legítimo; monitorar novas tentativas com o mesmo pretexto.

Playbook C: colaborador executou anexo/link e suspeita de infecção

  • Contenção: isolar endpoint; revogar sessões; bloquear indicadores; identificar outros destinatários; preservar artefatos.

  • Erradicação: varredura e remoção; reimagem se necessário; corrigir vulnerabilidades; revisar credenciais usadas na máquina.

  • Recuperação: restaurar dados de backup confiável; reintroduzir na rede com monitoramento; revisar permissões e acessos recentes.

Coordenação com áreas de negócio: decisões que não são só técnicas

Incidentes de engenharia social frequentemente exigem decisões de negócio: parar pagamentos, suspender onboarding de fornecedores, notificar terceiros, lidar com possíveis vazamentos. Para evitar conflitos e atrasos, defina previamente papéis e critérios de decisão. Durante o incidente, use perguntas objetivas:

  • Qual é o pior impacto plausível nas próximas 2 horas? Isso orienta contenção imediata.

  • Quais operações podem continuar com controles adicionais? Ex.: pagamentos apenas para beneficiários já validados.

  • Quem aprova exceções? Evite que a urgência do incidente vire “atalho” para burlar controles.

  • Quem comunica fornecedores/clientes? Mensagens inconsistentes podem aumentar danos reputacionais e confundir vítimas.

Métricas e registros mínimos para melhorar a resposta

Sem métricas, a organização repete erros. Registre ao menos:

  • Tempo até contenção: do primeiro alerta até revogação/bloqueio principal.

  • Escopo: número de contas afetadas, destinatários, transações, máquinas.

  • Impacto: valores envolvidos, dados expostos, indisponibilidade causada por contenção.

  • Causa raiz: lacuna de processo, falha de controle, permissões, treinamento, monitoramento.

  • Ações corretivas: o que foi mudado (técnico e processual) e responsável/prazo.

Modelos práticos (copiar e adaptar)

Modelo de linha do tempo do incidente

Incidente: [identificador interno]  Data: [AAAA-MM-DD]  Severidade: [Alta/Média/Baixa]  Dono: [nome/área]  Status: [Em contenção/Erradicação/Recuperação]  1) Detecção: [hora] - [quem] - [como foi detectado]  2) Evidências coletadas: [hora] - [o que foi coletado] - [onde armazenado]  3) Contenção: [hora] - [ação] - [responsável] - [resultado]  4) Erradicação: [hora] - [ação] - [responsável] - [resultado]  5) Recuperação: [hora] - [ação] - [responsável] - [resultado]  6) Impacto: [financeiro/dados/operação]  7) Próximos passos: [tarefas com prazo]

Modelo de mensagem interna de alerta (após contenção inicial)

Assunto: Alerta de segurança – possível tentativa de fraude por engenharia social  Identificamos uma tentativa de fraude envolvendo [tipo: pagamento/conta/e-mail]. Se você recebeu mensagem relacionada a [tema], não responda e não clique em links/anexos. Encaminhe para [canal interno] e informe: data/hora, remetente, e se alguma ação foi tomada. Pagamentos/alterações relacionados a [fornecedor/tema] estão temporariamente suspensos até validação. Dúvidas: [contato do time responsável].

Agora responda o exercício sobre o conteúdo:

Durante a fase de contenção em um incidente de engenharia social com possível fraude financeira em andamento, qual ação é mais adequada para limitar danos rapidamente sem depender do canal possivelmente comprometido?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Na contenção, o foco é interromper transações e reduzir o impacto imediatamente: acionar banco/tesouraria para bloqueio/estorno e congelar alterações sensíveis até validação fora do canal comprometido. Isso limita danos sem ampliar o risco.

Próximo capitúlo

Preservação de evidências e registro de eventos para investigação

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store