A engenharia social é a arte de manipular as pessoas para que façam algo que não fariam se tivessem toda a informação. Ao contrário dos ataques técnicos, não explora falhas no software, mas sim na nossa forma natural de reagir: a confiança, o medo, a pressa ou o desejo de ajudar. E os dados confirmam que funciona. Segundo o Global Cybersecurity Outlook 2026 do Fórum Económico Mundial, a fraude e a engenharia social potenciadas por IA consolidaram-se como uma das principais ameaças do ano, acima inclusive do ransomware.
Como funciona?
A engenharia social procura uma vulnerabilidade no comportamento humano e, para isso, apoia-se em quatro princípios psicológicos fundamentais. O primeiro é a autoridade: fazer-se passar por um chefe, um técnico de suporte ou um organismo oficial para gerar obediência sem que a vítima questione a ordem. O segundo é a urgência: criar uma situação de stresse —”a tua conta será bloqueada em 30 minutos”— para que se aja de forma impulsiva, sem tempo para verificar. O terceiro é a confiança: suplantar a identidade de um amigo, um colega ou uma marca conhecida para baixar as defesas. E o quarto, a curiosidade ou a ganância: prometer prémios, ofertas exclusivas ou informação escandalosa que resulta demasiado atrativa para ignorar.
Evolução das Táticas de Manipulação
As táticas evoluíram, mas o objetivo continua a ser o mesmo: enganar. O phishing gerado com IA deu origem a e-mails muito personalizados e multilíngues, sem erros gramaticais nem sinais de alerta evidentes, praticamente indistinguíveis de uma comunicação legítima. O deepfake vishing vai um passo mais além: através da clonagem de voz em tempo real, os atacantes podem suplantar a identidade de um quadro diretivo numa chamada para autorizar um pagamento ou comprometer informação sensível. A isto somam-se o smishing e o QRishing, que utilizam mensagens de texto e códigos QR para eludir os filtros de segurança tradicionais, e o pretexting industrial, onde os atacantes constroem histórias elaboradas apoiadas em dados reais previamente filtrados para que tudo pareça completamente credível.
A decepção como estratégia: como os atacantes operam.
Estes ataques não se baseiam na força, mas sim no engano. Os atacantes constroem pretextos convincentes, oferecem iscas atrativas ou aproveitam-se do facto de nem sempre verificarmos o que recebemos. Entender como agem é a melhor forma de não cair na sua armadilha.
O ponto de partida costuma ser a informação que nós próprios tornamos pública. O que publicas nas tuas redes sociais profissionais pode converter-se no ponto de partida de um ataque. Dados aparentemente inocentes —o teu cargo, as tuas responsabilidades, os teus contactos— são exatamente o que um ciberleitor precisa para construir um engano personalizado e difícil de detetar.
A partir daí, ativam diferentes mecanismos psicológicos. O princípio da autoridade leva a executar ordens sem hesitar —um e-mail que parece vir de um administrador ou diretor pode solicitar um pagamento urgente ou uma transferência fora dos canais habituais—. A urgência emocional procura atuar sem pensar, com frases como ‘a tua conta será bloqueada’ ou ‘ação imediata requerida’. O engano e a isca materializam-se em documentos falsos, chamadas de um suposto Help Desk ou mensagens que simulam proceder de alguém de confiança. E quando a pressão não funciona, recorrem à simpatia: primeiro ganham a tua confiança e, depois, pedem o favor.
Algumas dicas
Perante qualquer mensagem que gere urgência ou pressão, pare: os criminosos usam precisamente a urgência para o levar a agir sem pensar. Se algo fugir aos procedimentos habituais, reserve um momento para verificar a autenticidade da mensagem antes de clicar, introduzir dados ou executar qualquer ação. No caso dos e-mails, verifique sempre o remetente e o endereço real, e não apenas o nome visível: aquilo que parece legítimo pode ser o primeiro passo de um ataque. E, se a situação o justificar, confirme através de um canal alternativo de confiança, seja uma chamada para um número conhecido ou uma verificação cruzada com um terceiro contacto. Como regra geral: se lhe pedirem rapidez, dinheiro, dados ou que ignore um procedimento, confirme por outro canal.
A tecnologia continuará a evoluir, e os ataques também. Mas enquanto o engano continuar a depender das pessoas, a melhor defesa será sempre uma pessoa bem preparada.
Configuração de cookies
