Engenharia social além do phishing: as novas táticas que enganam até profissionais de TI

Uma pesquisa da Gartner conduzida em 2025 com 302 líderes de cibersegurança revelou que 62% das empresas sofreram ao menos um ataque envolvendo deepfake e engenharia social nos últimos doze meses. Não se trata mais de e-mails mal escritos pedindo que alguém clique em um link. A nova geração de ataques de engenharia social utiliza vozes clonadas por inteligência artificial, vídeos sintéticos de executivos em chamadas falsas e mensagens hiperpersonalizadas construídas a partir de informações públicas sobre a vítima e a empresa em que trabalha.

No Brasil, onde a pesquisa da Vanson Bourne de 2025 apontou que 37% das empresas já enfrentaram ataques envolvendo deepfakes e 28% foram alvo de phishing, o problema ganha contornos próprios: a confiança em comunicações por voz e aplicativos de mensagem, combinada com o volume de dados pessoais expostos em redes sociais, cria um terreno fértil para golpes que exploram não falhas de sistema, mas falhas humanas.

Por que a engenharia social continua funcionando contra equipes preparadas

A engenharia social funciona porque ataca o elo da cadeia de segurança que nenhuma ferramenta tecnológica consegue proteger completamente: o comportamento humano. Firewalls bloqueiam tráfego malicioso, EDR detecta malware em endpoints, SIEM correlaciona eventos suspeitos. Mas nenhuma dessas camadas impede um colaborador de autorizar uma transferência porque recebeu uma ligação convincente do que parecia ser o diretor financeiro pedindo urgência. A eficácia desses ataques não depende de vulnerabilidades técnicas. Depende de emoções como confiança, medo, curiosidade e senso de urgência, fatores que independem do nível de conhecimento técnico da vítima.

O que mudou nos últimos anos foi a sofisticação. O phishing tradicional, baseado em e-mails genéricos disparados em massa, ainda existe e ainda funciona contra uma parcela dos usuários. Mas o spear phishing, que pesquisa a vítima individualmente e constrói mensagens sob medida, já superou em eficácia qualquer campanha genérica. O Identity Theft Resource Center registrou um aumento de 148% em casos de falsificação de identidade entre abril de 2024 e março de 2025, impulsionado pelo uso de IA generativa na personalização dos ataques. Cada mensagem parece legítima porque foi construída com dados reais da vítima: nome do gestor direto, projeto em andamento, fornecedor com o qual a empresa tem contrato, linguagem compatível com a comunicação interna.

A chegada da inteligência artificial ao arsenal dos atacantes transformou o que era artesanato em produção industrial. Ferramentas de IA generativa permitem criar e-mails de phishing gramaticalmente perfeitos em qualquer idioma, adaptar o tom da comunicação ao perfil da vítima e gerar variações em escala que tornam cada mensagem única, dificultando a detecção por filtros baseados em assinaturas. Plataformas como o Xanthorox AI, construída especificamente para operações de ciberataque, automatizam campanhas inteiras de engenharia social. O custo e o tempo necessários para executar um ataque sofisticado caíram drasticamente, enquanto a taxa de sucesso subiu.

Deepfakes, vishing e smishing: as táticas de engenharia social que vão além do e-mail

O deepfake é, provavelmente, a evolução mais perigosa da engenharia social. Ferramentas de clonagem de voz conseguem reproduzir a fala de qualquer pessoa a partir de apenas três segundos de áudio, obtidos de um vídeo corporativo, uma palestra gravada ou até uma mensagem de WhatsApp. Com essa capacidade, atacantes simulam ligações de diretores, gestores ou fornecedores para induzir funcionários a autorizar pagamentos, compartilhar credenciais ou liberar acessos. Em um caso amplamente documentado, uma multinacional perdeu US$ 25 milhões quando criminosos utilizaram deepfake em vídeo para simular uma videoconferência inteira com múltiplos executivos falsos. O funcionário que autorizou as transferências acreditou estar conversando com colegas reais.

O vishing, que combina “voice” com “phishing”, cresceu de forma expressiva. Segundo o relatório do Anti-Phishing Working Group (APWG) referente a 2024, campanhas de vishing aumentaram 442% no segundo semestre daquele ano. O FBI emitiu alerta específico sobre o crescimento de fraudes que utilizam IA para clonagem de voz e vídeo. No Brasil, o relatório da BioCatch publicado no final de 2025 apontou que 51% dos brasileiros foram vítimas de algum tipo de golpe digital no período analisado, com perdas de R$ 4,9 bilhões somente em fraudes envolvendo Pix. O smishing, que utiliza mensagens SMS como vetor, cresceu 14 vezes no mesmo período, segundo o mesmo levantamento. A América Latina registrou um aumento de seis vezes no volume total de ataques de engenharia social em apenas um ano.

Além do phishing, do vishing e do smishing, táticas como o pretexting (criação de narrativas falsas para obter informações), o baiting (distribuição de dispositivos USB infectados ou links atrativos) e o tailgating (acompanhar alguém autorizado para acessar áreas restritas) continuam eficazes em contextos corporativos. O que torna a engenharia social particularmente perigosa é a capacidade de combinar múltiplas táticas em uma mesma operação. Um atacante pode coletar informações por redes sociais, usar IA para gerar um e-mail convincente, reforçar a abordagem com uma ligação de voz clonada e, se necessário, complementar com uma mensagem de texto urgente. Cada camada aumenta a credibilidade da anterior, e a vítima segue um roteiro planejado sem perceber que está sendo manipulada.

O impacto corporativo: quando engenharia social vira crise de negócio

Os prejuízos de ataques de engenharia social vão muito além da transferência indevida de valores. Quando um atacante obtém credenciais legítimas por meio de manipulação social, o acesso resultante parece normal para os sistemas de segurança. Não há malware para o EDR detectar, não há tráfego anômalo para o SIEM sinalizar, não há IP malicioso para o firewall bloquear. O invasor entra pela porta da frente, com chave legítima, e se move lateralmente pela rede sem disparar alertas. O relatório OWASP GenAI Incident Exploit Round-Up de 2025 documentou campanhas em que criminosos usaram voz sintética para simular autoridades governamentais e obter dados de acesso a sistemas corporativos. A partir desse ponto, a movimentação dentro da rede ocorreu sem gerar alertas imediatos.

O custo médio de uma violação de dados no Brasil já alcança R$ 7,19 milhões, segundo o relatório da IBM de 2025. Quando o vetor de entrada é engenharia social, o tempo de detecção tende a ser maior porque o acesso parece legítimo, o que amplia o período de exposição e, consequentemente, o impacto financeiro. Ataques bem-sucedidos também geram consequências regulatórias: a LGPD e a Resolução CD/ANPD nº 15/2024 exigem comunicação de incidentes em três dias úteis e registro por cinco anos. Uma empresa que perde dados pessoais porque um funcionário foi manipulado por deepfake precisa explicar à ANPD e aos titulares o que aconteceu, quais medidas existiam antes do incidente e o que foi feito depois. A ausência de um programa estruturado de conscientização pode ser interpretada como negligência.

O dano reputacional completa o quadro. Quando uma empresa é vítima de engenharia social, a narrativa pública raramente distingue entre falha técnica e falha humana. Para clientes, parceiros e reguladores, o resultado é o mesmo: dados foram comprometidos, operações foram afetadas, confiança foi quebrada. Empresas de setores regulados, como financeiro e saúde, enfrentam consequências adicionais porque lidam com dados sensíveis cuja exposição pode gerar danos diretos aos titulares. A Febraban apontou que, entre setembro de 2024 e março de 2025, as principais fraudes digitais no Brasil envolviam justamente táticas de engenharia social, com smishing já figurando entre os cinco golpes mais frequentes.

Como proteger a empresa quando o alvo é o comportamento humano

A defesa contra engenharia social exige uma abordagem que combina tecnologia, processos e cultura. No lado tecnológico, filtros avançados de e-mail com detecção baseada em IA, autenticação multifator resistente a phishing, controles de acesso condicional e ferramentas de análise comportamental (UEBA) formam a primeira camada de proteção. Soluções de proteção de identidade que combinam MFA adaptativo, validação contextual e análise de comportamento permitem identificar tentativas de acesso fora do padrão, mesmo quando as credenciais utilizadas são legítimas. A integração dessas ferramentas com o SOC e o SIEM garante que eventos suspeitos sejam correlacionados e investigados em tempo real.

No lado dos processos, protocolos de validação são indispensáveis. Toda solicitação financeira, de acesso ou de dados sensíveis que fuja do fluxo habitual deve ser verificada por um segundo canal. Se o pedido chegou por e-mail, a confirmação deve ser por telefone, usando um número previamente cadastrado, não o que consta na mensagem. Se chegou por ligação, a validação deve ser por outro meio. Algumas empresas adotam palavras-código entre executivos e equipes financeiras para autenticar solicitações sensíveis. Pode parecer rudimentar, mas é justamente essa simplicidade que torna a medida eficaz contra deepfakes sofisticados: o atacante pode clonar a voz, mas não conhece a palavra combinada.

No lado cultural, o investimento em conscientização precisa ser contínuo, não pontual. Treinamentos anuais de compliance não mudam comportamento. Programas eficazes de conscientização incluem simulações regulares de phishing, vishing e smishing, com feedback imediato e sem punição para quem falha, criando um ambiente em que colaboradores se sintam seguros para questionar pedidos estranhos, mesmo que venham da diretoria. A métrica de sucesso não é o percentual de cliques em simulações, mas a taxa de reporte: quantas pessoas identificaram a tentativa e avisaram a equipe de segurança. Transformar cada colaborador em sensor de ameaças é mais valioso do que qualquer ferramenta tecnológica isolada.

Engenharia social e o papel do SOC na detecção de ataques baseados em manipulação

A integração entre programas de conscientização e a operação de segurança é o que separa empresas que detectam ataques de engenharia social das que só descobrem quando o dano já está feito. Quando um colaborador reporta uma tentativa suspeita ao SOC, essa informação se torna inteligência: o analista pode verificar se outras pessoas receberam abordagens semelhantes, correlacionar com indicadores de comprometimento no SIEM e, se necessário, bloquear preventivamente acessos ou domínios associados à campanha. Sem esse fluxo, a tentativa de engenharia social morre na caixa de entrada do funcionário que desconfiou, sem gerar nenhum aprendizado para a defesa.

O SOC também desempenha um papel fundamental na detecção de acessos obtidos por engenharia social. Quando um atacante usa credenciais legítimas conquistadas por manipulação, as camadas tradicionais de prevenção não conseguem distinguir o acesso legítimo do malicioso. A análise comportamental entra como fator diferenciador: um login válido feito de uma localização atípica, seguido de acesso a recursos fora do escopo habitual daquele usuário, pode ser sinalizado automaticamente para investigação. A correlação entre eventos de identidade, endpoints e rede permite identificar padrões que nenhuma camada isolada conseguiria captar.

A simulação de ataques de engenharia social com participação do SOC é outra prática que fortalece a defesa. Exercícios que simulam campanhas reais, incluindo deepfakes e vishing, testam não apenas a resiliência dos colaboradores, mas também a capacidade da operação de segurança de detectar, investigar e responder a ameaças que começam no fator humano. A recomendação é realizar essas simulações ao menos trimestralmente, variando as táticas e os vetores utilizados, e alimentar os resultados de volta para o programa de conscientização e para o refinamento das regras do SIEM. Essa retroalimentação contínua é o que transforma treinamento em capacidade real de defesa.

O firewall que nenhuma tecnologia substitui

A engenharia social vai continuar evoluindo. Deepfakes ficarão mais realistas, ferramentas de IA vão gerar ataques ainda mais personalizados, e os vetores de comunicação explorados por criminosos vão se diversificar. Nenhuma tecnologia sozinha será capaz de impedir que um ser humano confie em outro ser humano, real ou sintético. A defesa mais eficaz é uma combinação de tecnologia que dificulte o ataque, processos que exijam validação antes de qualquer ação sensível e uma cultura na qual questionar é incentivado, não punido.

Ferramentas de segurança protegem sistemas, mas quem protege as pessoas? O Iron Human Firewall da Solo Iron transforma colaboradores no elo mais forte da cadeia de defesa, com programas de conscientização e capacitação contínua que simulam ataques reais, incluindo phishing, vishing e deepfakes, para treinar equipes a reconhecer e reagir antes que o golpe se concretize. A solução opera em parceria com a maior plataforma integrada de treinamentos em segurança da informação do mercado, oferecendo simulações personalizadas por perfil de risco e métricas que permitem medir a evolução da maturidade humana da empresa ao longo do tempo. Fale com a equipe da Solo Iron e descubra como reduzir o risco que nenhum firewall consegue eliminar sozinho.

 

mais conteúdo

Zero Trust: como implementar uma arquitetura de confiança zero na sua empresa
Zero Trust: como implementar uma arquitetura de confiança zero na sua empresa
Como criar um plano de resposta a incidentes cibernéticos eficiente
Como criar um plano de resposta a incidentes cibernéticos eficiente
Cloud Security: como proteger dados e aplicações em ambientes de nuvem corporativa
Cloud Security: como proteger dados e aplicações em ambientes de nuvem corporativa
O que é ZTNA? Entenda o acesso por que substitui a VPN tradicional
O que é ZTNA? Entenda o acesso por que substitui a VPN tradicional
Backup imutável: a última linha de defesa contra ransomware
Backup imutável: a última linha de defesa contra ransomware

Quer saber como o seu negócio pode se tornar nosso próximo case de sucesso?

Entre em contato agora mesmo!

Fale Conosco