O phishing e a engenharia social são o ponto de entrada mais comum nos ciberataques — responsáveis por mais de 80% das violações de segurança segundo dados da ENISA e Verizon DBIR. Nesta página encontra uma visão executiva sobre os tipos de ataque, como os reconhecer e as medidas de defesa mais eficazes.
O que é Engenharia Social
Engenharia social é a manipulação psicológica de pessoas para que revelem informação confidencial, executem ações prejudiciais ou cedam acessos a sistemas. Ao contrário dos ataques técnicos, explora vulnerabilidades humanas — urgência, medo, autoridade, confiança e curiosidade. O phishing é a forma mais comum de engenharia social digital.
Principais tipos de ataque
| Tipo | Descrição | Canal típico |
|---|---|---|
| Phishing | E-mail fraudulento que imita uma entidade legítima para roubar credenciais ou instalar malware | |
| Spear Phishing | Phishing altamente personalizado, dirigido a um indivíduo ou organização específica | |
| Smishing | Phishing via SMS, muitas vezes imitando bancos, correios ou serviços públicos | SMS |
| Vishing | Phishing por chamada de voz, simulando suporte técnico, banco ou autoridades | Telefone |
| Quishing | Phishing via código QR malicioso, redireciona para sites falsos | QR Code |
| BEC (Business Email Compromise) | Comprometimento ou falsificação de e-mail corporativo para fraude financeira | |
| Pretexting | Criação de um cenário falso (ex: auditoria, RH) para obter informação | E-mail, telefone |
| Baiting | Oferta de algo atrativo (ficheiro gratuito, USB abandonado) para instalar malware | Físico, digital |
Como reconhecer um ataque
- Urgência artificial: “A sua conta será suspensa em 24h”, “Ação imediata necessária”
- Remetente suspeito: Endereço de e-mail diferente do domínio legítimo (ex: [email protected])
- Links disfarçados: URL que parece legítimo mas aponta para domínio diferente ao passar o rato
- Erros ortográficos e gramaticais: Qualidade de texto inferior ao habitual da entidade
- Pedido de credenciais ou dados sensíveis: Entidades legítimas nunca pedem passwords por e-mail
- Anexos inesperados: Ficheiros .exe, .zip, .iso, macros Office de remetentes desconhecidos
- Pressão emocional: Medo, curiosidade, recompensa inesperada, apelo à autoridade
Impacto potencial
| Consequência | Exemplos |
|---|---|
| Roubo de credenciais | Acesso a contas de e-mail, sistemas internos, VPN |
| Instalação de malware | Ransomware, spyware, trojans bancários |
| Fraude financeira (BEC) | Transferências fraudulentas, alteração de IBAN de fornecedores |
| Exfiltração de dados | Roubo de dados pessoais, propriedade intelectual, dados clínicos |
| Comprometimento de contas privilegiadas | Acesso a sistemas críticos via conta de administrador comprometida |
Medidas de defesa
- Formação e sensibilização regular: Simulações de phishing, treino de reconhecimento de ataques sociais.
- Autenticação multifator (MFA): Mesmo que as credenciais sejam roubadas, o acesso fica bloqueado sem o segundo fator.
- Filtros de e-mail avançados: Anti-phishing, DMARC, DKIM e SPF para verificar autenticidade dos remetentes.
- Verificação fora de banda: Confirmar pedidos urgentes (ex: transferências, alteração de dados) por telefone ou outro canal.
- Gestão de identidade privilegiada (PAM): Limitar o que contas privilegiadas podem fazer sem aprovação adicional.
- Política de “Zero Trust”: Nunca confiar automaticamente — verificar sempre a identidade e o contexto do pedido.
- Denúncia de incidentes: Cultura organizacional que incentiva reportar suspeitas sem penalização.
Recursos úteis
- CNCS — Avisos e Alertas — campanhas de phishing ativas em Portugal
- ENISA — Phishing — análise de tendências europeias
- PhishTank — base de dados de URLs de phishing reportados
- FTC — How to Recognize Phishing — guia prático
- APWG — Anti-Phishing Working Group — relatórios trimestrais de tendências