Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Sinais de alerta em comunicações: inconsistências, pressão e solicitações incomuns

Capítulo 9

Tempo estimado de leitura: 14 minutos

+ Exercício

Nem toda comunicação suspeita é um golpe, mas quase todo golpe deixa rastros na forma como a mensagem é construída, no tipo de pedido e no comportamento de quem solicita. Este capítulo foca em sinais de alerta que aparecem em qualquer canal (e-mail, chat corporativo, mensageria, telefone, videoconferência ou presencial), com ênfase em três famílias de indícios: inconsistências, pressão e solicitações incomuns. A ideia é treinar a leitura crítica do contexto e do “jeito” da comunicação, para identificar quando algo foge do padrão esperado e exige verificação.

1) O que são sinais de alerta em comunicações

Sinais de alerta são elementos observáveis que aumentam a probabilidade de uma comunicação ser fraudulenta, manipulativa ou indevida. Eles não são prova isolada; funcionam como um painel de instrumentos: quanto mais luzes acesas, maior a necessidade de interromper o fluxo normal e aplicar validações.

Na prática, sinais de alerta surgem quando há desalinhamento entre: (a) quem diz ser, (b) o que pede, (c) como pede, (d) quando pede, (e) por qual canal pede, e (f) o que você sabe sobre processos internos. Fraudes exploram exatamente as “zonas cinzentas” do dia a dia: pressa, multitarefa, exceções, mudanças de rotina e falhas de comunicação entre áreas.

2) Inconsistências: quando a história não fecha

Inconsistências são contradições, lacunas ou detalhes fora do padrão que indicam que o emissor não domina o contexto real. Um fraudador pode copiar logotipos e assinaturas, mas costuma errar em rotinas internas, nomenclaturas, sequência de etapas, tom de conversa e detalhes operacionais.

2.1 Tipos comuns de inconsistências

  • Identidade e contexto desalinhados: a pessoa se apresenta como alguém “de dentro”, mas não conhece informações básicas que alguém daquela função conheceria (nome do sistema usado, fluxo de aprovação, horário de atendimento, equipe responsável).

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Dados que não batem: número de pedido, contrato, centro de custo, CNPJ/CPF, endereço, nome do fornecedor, banco, agência, ou mesmo o nome do projeto aparece com variações estranhas.

  • Tom e estilo fora do padrão: um gestor que sempre escreve de forma objetiva e curta passa a enviar mensagens longas, com excesso de formalidade, ou o inverso; alguém que sempre usa o chat passa a insistir em e-mail (ou vice-versa) sem motivo.

  • Sequência de eventos improvável: “o financeiro já aprovou, só falta você” quando você sabe que o financeiro aprova por último; “o jurídico liberou” sem número de parecer; “a TI pediu” sem ticket.

  • Detalhes técnicos incoerentes: pedido para “confirmar senha”, “desativar MFA”, “enviar código de verificação”, “instalar atualização urgente” sem procedimento formal; uso de termos técnicos errados ou genéricos.

  • Erros de referência interna: nomes de departamentos antigos, cargos desatualizados, ramais inexistentes, assinatura com telefone que não corresponde ao padrão da empresa.

2.2 Exemplos práticos de inconsistências

Exemplo A (processo): você recebe uma mensagem dizendo: “preciso que você libere o pagamento agora, o pedido já está no sistema”. Ao checar, não há registro no sistema, ou o pedido está em status inicial sem aprovação. A inconsistência é a afirmação de que “já está pronto” sem evidência.

Exemplo B (dados): um suposto fornecedor informa “mudança de banco” e envia novos dados. O CNPJ na mensagem não corresponde ao cadastro, ou o nome do favorecido não bate com a razão social. Mesmo que o e-mail pareça legítimo, a inconsistência de dados é um alerta forte.

Exemplo C (linguagem): alguém que normalmente trata você pelo nome e conhece seu papel manda “Prezado colaborador, gentileza providenciar” com linguagem genérica. Isso pode indicar disparo em massa ou tentativa de parecer formal sem familiaridade real.

2.3 Checklist rápido para detectar inconsistências

  • O pedido faz sentido dentro do fluxo normal?

  • Há números, referências e evidências verificáveis (ticket, pedido, contrato) ou só afirmações?

  • Os dados (nomes, bancos, valores, prazos) batem com registros internos?

  • O canal usado é o habitual para esse tipo de solicitação?

  • O tom e o estilo combinam com o emissor real?

3) Pressão: urgência, medo e “janela de tempo” artificial

Pressão é a tentativa de reduzir seu tempo de análise e impedir validações. Em golpes, a urgência raramente é “natural”; ela é construída para que você pule etapas, aceite exceções e aja antes de confirmar. A pressão pode vir como ameaça (penalidade, bloqueio, auditoria), como oportunidade (desconto, bônus, “última chance”) ou como apelo emocional (ajudar alguém em apuros).

3.1 Formas típicas de pressão

  • Prazos curtos e específicos: “preciso em 10 minutos”, “antes das 15h”, “agora ou perde”. Prazos muito precisos podem ser fabricados para criar ansiedade.

  • Escalada de consequências: “se não fizer, sua conta será suspensa”, “vai gerar multa”, “o diretor vai ficar sabendo”.

  • Interrupção de rotina: contato fora do horário, em feriados, em momentos de pico, ou durante reuniões, quando a atenção está dividida.

  • Isolamento: “não envolva mais ninguém”, “não abra chamado”, “não mande para o time, é confidencial”. O objetivo é impedir que outra pessoa identifique o problema.

  • Autoridade implícita: “isso veio de cima”, “ordem direta”, “não questione”. Mesmo sem citar gatilhos, a pressão aparece como tentativa de encerrar a conversa.

3.2 Como a pressão se manifesta em conversas reais

Pressão por velocidade: a pessoa responde imediatamente, cobra respostas rápidas, manda várias mensagens seguidas, liga repetidas vezes, ou muda de canal para “acelerar”.

Pressão por culpa: “você vai atrasar o projeto”, “todo mundo já fez, só falta você”, “se der errado, a responsabilidade é sua”.

Pressão por sigilo: “é uma aquisição sensível”, “é um caso de auditoria”, “é um problema de compliance, não pode circular”. Sigilo legítimo existe, mas não elimina controles; ele muda o grupo de pessoas autorizadas, não remove validações.

3.3 Antídotos práticos contra pressão

  • Nomeie a pressão: dizer “eu entendo a urgência, mas preciso validar” reduz o efeito psicológico e coloca o processo acima do impulso.

  • Use frases-padrão: respostas curtas e consistentes evitam improviso. Ex.: “Para esse tipo de solicitação, preciso confirmar por um canal oficial antes de executar.”

  • Troque velocidade por rastreabilidade: peça número de ticket, registro no sistema, ou formalização. Golpistas evitam deixar trilha.

  • Trave exceções: se a solicitação depende de “abrir uma exceção”, trate como risco alto e aplique dupla validação.

4) Solicitações incomuns: quando o pedido é atípico ou desproporcional

Solicitações incomuns são pedidos que fogem do padrão de trabalho, do escopo do cargo, do processo formal ou do comportamento histórico do solicitante. O pedido pode até parecer “possível”, mas é estranho em contexto: por que você? por que agora? por que desse jeito?

4.1 Categorias de solicitações incomuns

  • Dados sensíveis sem justificativa: pedir lista de colaboradores, dados pessoais, documentos, informações financeiras, relatórios internos, ou detalhes de infraestrutura sem motivo claro e sem autorização formal.

  • Ações irreversíveis: transferências, alteração de dados bancários, criação de usuários privilegiados, mudança de permissões, desativação de controles, liberação de acesso, envio de arquivos críticos.

  • Quebra de processo: “faz sem aprovação”, “pula o sistema”, “manda por fora”, “não registra”.

  • Uso de canais não oficiais: pedir para continuar em número pessoal, e-mail alternativo, ou aplicativo não aprovado “porque é mais rápido”.

  • Pedidos de credenciais ou códigos: qualquer solicitação de senha, token, código de verificação, QR de autenticação, ou confirmação de login é altamente suspeita, mesmo quando vem “da TI”.

  • Solicitações financeiras fora do padrão: pagamento para conta nova, adiantamento, fracionamento de valores, mudança de favorecido, ou “taxa” inesperada para liberar algo.

4.2 Exemplos práticos de solicitações incomuns

Exemplo A (RH/administrativo): “Preciso da planilha com nomes, CPF e dados bancários de todos para atualizar o convênio”. Mesmo que exista um processo de atualização, o pedido de dados completos e em massa, por mensagem, é desproporcional. O correto é direcionar para o canal e procedimento oficial, com autorização e minimização de dados.

Exemplo B (TI): “Estou ajustando sua conta, me envie o código que chegou no seu celular para eu concluir”. Isso é uma tentativa de contornar autenticação. O procedimento legítimo não exige que você repasse códigos de verificação.

Exemplo C (compras/financeiro): “O fornecedor mudou de banco hoje, paga nessa conta para não atrasar”. Mudança de dados bancários é um evento que exige validação independente (por cadastro, contrato, contato oficial). A urgência não torna o pedido válido.

5) Método prático: como avaliar uma comunicação em 90 segundos

Quando você suspeitar, use um roteiro curto para decidir se deve prosseguir, pausar ou escalar. O objetivo é reduzir decisões “no feeling” e aumentar consistência.

5.1 Passo a passo (90 segundos)

  • Passo 1 — Identifique o tipo de pedido: é informação, acesso, dinheiro, mudança de cadastro, ou ação operacional? Quanto mais crítico e irreversível, maior o rigor.

  • Passo 2 — Procure 3 sinais de alerta: (a) inconsistência, (b) pressão, (c) solicitação incomum. Se encontrar dois ou mais, trate como alto risco.

  • Passo 3 — Verifique o “porquê você”: por que essa pessoa está pedindo para você especificamente? Isso faz sentido com seu papel? Pedidos fora do escopo são um alerta.

  • Passo 4 — Exija rastreabilidade: peça ticket, número de pedido, registro no sistema, ou e-mail corporativo formal (quando aplicável). A ausência de rastros é um sinal.

  • Passo 5 — Faça validação por canal independente: confirme com o solicitante por um canal já conhecido e previamente registrado (ramal interno, contato do diretório, portal oficial). Não use o contato fornecido na mensagem suspeita.

  • Passo 6 — Documente o mínimo: registre data/hora, canal, conteúdo do pedido e o que você fez (pausou, escalou, confirmou). Isso ajuda resposta e auditoria.

5.2 Perguntas de validação que funcionam sem confronto

  • “Você pode me passar o número do ticket/pedido para eu acompanhar pelo sistema?”

  • “Qual é o procedimento interno que devo seguir para esse caso?”

  • “Vou te retornar pelo ramal/canal cadastrado para confirmar, tudo bem?”

  • “Quem mais está ciente/aprovou? Posso incluir a área responsável no loop?”

6) Sinais de alerta por contexto (sem repetir padrões de canal)

Em vez de focar no canal, observe o contexto organizacional. Muitos golpes se apoiam em momentos previsíveis: fechamento de mês, troca de fornecedor, auditoria, reestruturação, eventos, viagens de executivos, ou onboarding de novos colaboradores.

6.1 Momentos de maior risco

  • Fechamento financeiro e prazos contábeis: aumento de urgência legítima, o que facilita urgência falsa.

  • Mudanças internas: troca de liderança, reestruturação, mudança de sistemas, migração de e-mails. Golpistas exploram confusão e falta de referência.

  • Terceirização e fornecedores novos: cadastros em andamento, dados incompletos e múltiplos contatos.

  • Trabalho remoto e mobilidade: mais comunicação assíncrona e menos “confirmação no corredor”.

6.2 O que observar nesses momentos

  • Pedidos para “acelerar” etapas que normalmente exigem aprovação.

  • Solicitações para enviar documentos “só para adiantar” antes de contrato assinado.

  • Mensagens que citam pessoas ausentes (“ele está em reunião/voo”) para impedir confirmação.

7) Mini-playbooks: o que fazer diante de cada família de sinais

7.1 Quando perceber inconsistências

  • Pause a execução: não avance para “adiantar” enquanto esclarece.

  • Peça evidências verificáveis: número de pedido, documento formal, registro no sistema.

  • Valide com fonte interna: confirme com a área dona do processo (compras, financeiro, TI, RH) usando contatos oficiais.

  • Compare com histórico: verifique mensagens anteriores, cadastros, contratos e padrões de aprovação.

7.2 Quando perceber pressão

  • Reduza a velocidade: diga explicitamente que seguirá o procedimento.

  • Traga uma segunda pessoa: dupla checagem reduz erro sob estresse.

  • Converta urgência em prioridade formal: “Se é urgente, abra como prioridade no sistema para ficar registrado.”

  • Evite justificativas longas: quanto mais você explica, mais o manipulador encontra brechas para insistir.

7.3 Quando perceber solicitação incomum

  • Classifique o risco: envolve dinheiro, acesso, dados sensíveis ou mudança de cadastro? Trate como crítico.

  • Exija autorização: peça aprovação formal e verificável conforme política interna.

  • Minimize dados: se houver necessidade legítima, compartilhe apenas o mínimo necessário e pelo canal correto.

  • Recuse com base em política: “Não posso enviar isso por aqui; preciso seguir o procedimento X.”

8) Exercício guiado: análise de mensagens com sinais mistos

A seguir, um exercício para treinar identificação de sinais. Leia cada cenário e marque: (1) inconsistências, (2) pressão, (3) solicitação incomum, e (4) ação recomendada.

8.1 Cenário 1

“Oi, aqui é do time de auditoria. Precisamos hoje ainda da lista de acessos administrativos do seu setor. Não abra chamado para não gerar ruído. Me manda por aqui mesmo.”

  • Inconsistências: “auditoria” sem identificação formal, sem referência de processo, sem ticket.

  • Pressão: “hoje ainda”, pedido para não abrir chamado.

  • Solicitação incomum: lista de acessos administrativos é dado sensível.

  • Ação: pausar, solicitar formalização e validar com compliance/auditoria por canal oficial; envolver TI/segurança.

8.2 Cenário 2

“Sou novo no financeiro, estou fechando o mês. O diretor pediu para você me passar os dados bancários do fornecedor X porque o cadastro está ‘travando’. Se não pagar hoje, vai dar problema.”

  • Inconsistências: “novo” + “diretor pediu” sem evidência; “cadastro travando” sem ticket.

  • Pressão: fechamento do mês, “vai dar problema”.

  • Solicitação incomum: dados bancários por mensagem, fora do fluxo.

  • Ação: direcionar para o procedimento de cadastro; confirmar com o responsável do fornecedor e com o gestor por canal conhecido.

8.3 Cenário 3

“Preciso que você compartilhe este arquivo com permissões de edição para ‘qualquer pessoa com o link’. É só por 30 minutos, depois você revoga. É urgente.”

  • Inconsistências: justificativa vaga (“só por 30 minutos”).

  • Pressão: urgência sem contexto.

  • Solicitação incomum: abrir acesso amplo (“qualquer pessoa com o link”) aumenta risco de vazamento.

  • Ação: oferecer alternativa segura (acesso nominal, expiração, restrição de domínio) e validar necessidade com o dono do documento.

9) Modelos de resposta (scripts) para o dia a dia

Ter respostas prontas ajuda a manter firmeza sem gerar conflito. Ajuste ao seu contexto e políticas internas.

9.1 Para pedidos urgentes

  • “Consigo ajudar, mas preciso confirmar pelo canal oficial antes de executar. Vou retornar em seguida.”

  • “Para cumprir o prazo com segurança, preciso do número do pedido/ticket e da aprovação registrada.”

9.2 Para pedidos de dados sensíveis

  • “Esse tipo de informação só posso compartilhar via procedimento e com autorização. Quem é o aprovador e qual o ticket?”

  • “Posso encaminhar sua solicitação para a área responsável, para garantir rastreabilidade.”

9.3 Para pedidos fora do processo

  • “Não consigo fazer por aqui. Vou seguir o fluxo padrão para evitar retrabalho e risco.”

  • “Se for exceção, preciso que a exceção seja aprovada e registrada.”

10) Registro e escalonamento: quando e como acionar ajuda

Identificar sinais é metade do trabalho; a outra metade é reagir de forma consistente. Sempre que houver combinação de sinais (por exemplo, pressão + pedido incomum), trate como incidente potencial e escale conforme o processo interno.

10.1 Passo a passo de escalonamento (genérico)

  • Passo 1: interrompa a ação solicitada (não envie dados, não altere cadastros, não aprove pagamentos).

  • Passo 2: preserve evidências (captura de tela, cabeçalhos quando aplicável, número do telefone, horário, conteúdo da conversa).

  • Passo 3: comunique o ponto focal (segurança da informação, TI, compliance, gestor) com resumo objetivo: quem pediu, o que pediu, por qual canal, quais sinais observados.

  • Passo 4: siga instruções do time responsável e não “negocie” com o solicitante suspeito.

10.2 Exemplo de registro objetivo

Data/hora: 12/01 14:35  Canal: chat corporativo (mensagem direta) Solicitante: “Fulano - Financeiro” (perfil recém-criado) Pedido: alterar dados bancários do fornecedor X e confirmar pagamento hoje Sinais: urgência (“hoje ou multa”), pedido fora do fluxo, ausência de ticket, dados divergentes do cadastro Ação tomada: recusei execução, solicitei ticket e validei com compras por canal oficial; escalei para Segurança/Compliance

Agora responda o exercício sobre o conteúdo:

Ao receber um pedido urgente para compartilhar dados sensíveis, acompanhado de instruções para nao envolver outras pessoas e sem ticket ou registro no sistema, qual deve ser a reacao mais adequada?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Pressao, falta de rastreabilidade e pedido incomum formam alto risco. O correto e interromper o fluxo, exigir ticket/registro e confirmar a solicitacao por canal independente e oficial antes de agir.

Próximo capitúlo

Validação de remetentes e domínios: cabeçalhos, URLs e reputação

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store