INÍCIO
Livros do Prof.
Aula 6 – Engenharia Social: Manipulação, Ataques e Defesa
Descubra como ataques psicológicos exploram o elo mais fraco da segurança: o ser humano. Aprenda a identificar, prevenir e defender-se contra as técnicas mais sofisticadas de manipulação digital.
Exercícios Práticos
Laboratórios
Laboratório 1 — Identificando um E-mail de Phishing
Ferramenta: Google Message Header Analyzer https://toolbox.googleapps.com/apps/messageheader/
Objetivo
Aprender a identificar sinais técnicos de phishing em um e-mail analisando seu cabeçalho.
Cenário
Um funcionário recebeu um e-mail aparentemente enviado pelo setor financeiro solicitando atualização de senha.
Atividade
  1. O professor fornecerá um exemplo de cabeçalho de e-mail (phishing ou suspeito).
  1. Acesse:
  1. Cole o cabeçalho do e-mail na ferramenta.
  1. Analise os seguintes itens:
  • IP de origem
  • servidor de envio
  • autenticação SPF
  • autenticação DKIM
  • inconsistências no domínio
Perguntas
  1. Qual é o IP de origem do e-mail?
  1. O domínio do servidor é legítimo?
  1. O SPF passou ou falhou?
  1. Existem sinais de spoofing?
  1. Você classificaria esse e-mail como legítimo ou phishing? Justifique.
Entrega
Relatório curto contendo:
  • prints da análise
  • respostas às perguntas
  • conclusão.
Laboratório 2 — Investigação de Vazamento de Dados
Ferramenta: Have I Been Pwned https://haveibeenpwned.com
Objetivo
Compreender como vazamentos de dados podem ser utilizados em ataques de engenharia social.
Atividade
  1. Acesse:
  1. Pesquise:
  • seu próprio e-mail acadêmico ou
  • um e-mail de teste fornecido pelo professor.
  1. Analise:
  • quantos vazamentos foram encontrados
  • quais empresas sofreram o vazamento
  • quais dados foram expostos.
Perguntas
  1. O e-mail pesquisado apareceu em vazamentos?
  1. Em quais serviços ocorreu o vazamento?
  1. Quais tipos de dados foram expostos?
  1. Como um atacante poderia usar essas informações em um ataque de engenharia social?
Entrega
Documento contendo:
  • prints da pesquisa
  • análise dos dados encontrados
  • explicação do risco de engenharia social.
Laboratório 3 — Investigação OSINT de um Domínio
Ferramenta: Maltego (Community Edition)
Objetivo
Demonstrar como informações públicas podem ser coletadas para engenharia social.
Atividade
  1. Instale ou utilize Maltego Community Edition.
  1. Crie um novo projeto.
  1. Pesquise um domínio de exemplo fornecido pelo professor (exemplo: empresa fictícia).
Execute transformações para descobrir:
  • domínios relacionados
  • e-mails
  • servidores
  • redes sociais associadas.
Perguntas
  1. Quantos domínios relacionados foram encontrados?
  1. Existem e-mails públicos associados ao domínio?
  1. Quais informações poderiam ser usadas para engenharia social?
  1. Quais riscos isso representa para a organização?
Entrega
Relatório contendo:
  • gráfico gerado no Maltego
  • análise das relações encontradas
  • possíveis riscos.
Laboratório 4 — Análise de Link Suspeito
Ferramenta: VirusTotal https://www.virustotal.com
Objetivo
Aprender a verificar links suspeitos antes de acessá-los.
Atividade
  1. Acesse:
  1. Insira um link fornecido pelo professor (exemplo de teste).
  1. Analise:
  • detecções de malware
  • reputação do domínio
  • data de criação do domínio
  • motores antivírus que detectaram ameaça.
Perguntas
  1. Quantos mecanismos detectaram o link como malicioso?
  1. O domínio é recente?
  1. Existem arquivos associados ao domínio?
  1. Você recomendaria acessar esse link? Por quê?
Entrega
Relatório com:
  • prints da análise
  • interpretação dos resultados
  • decisão final.
Laboratório 5 — Investigação de Reputação de IP
Ferramenta: AbuseIPDB https://abuseipdb.com
Objetivo
Compreender como endereços IP podem estar associados a atividades maliciosas.
Atividade
  1. Acesse:
  1. Consulte um IP fornecido pelo professor.
  1. Analise:
  • score de abuso
  • número de denúncias
  • tipos de ataques associados.
Perguntas
  1. Qual é o nível de reputação do IP?
  1. Quantas denúncias existem?
  1. Quais tipos de ataques foram registrados?
  1. O IP deve ser bloqueado em um firewall?
Entrega
Documento contendo:
  • prints da análise
  • interpretação dos dados
  • recomendação de segurança.
Atividade Extra (Discussão em Sala)
Tema
Por que a engenharia social continua sendo um dos ataques mais eficazes mesmo com tecnologias avançadas de segurança?
Cada aluno deve discutir:
  • fatores humanos
  • confiança
  • falta de treinamento
  • uso de dados vazados.
Atividade Prática - Simulação de Engenharia Social
Disciplina: Segurança da Informação Tema: Engenharia Social: Manipulação, Ataques e Defesa
Objetivo da Atividade
Esta atividade tem como objetivo demonstrar, na prática, como ataques de engenharia social exploram fatores humanos presentes nas organizações, tais como:
  • confiança
  • urgência
  • autoridade
  • curiosidade
  • distração
Além disso, a atividade busca desenvolver nos estudantes a capacidade de identificar, analisar e bloquear tentativas de manipulação, compreendendo como esses ataques ocorrem e quais estratégias podem ser utilizadas para evitá-los.
Estrutura da Simulação
A turma será dividida em grupos de 3 a 5 alunos.
Cada grupo representará um departamento de uma empresa fictícia chamada:
TechSecure Solutions
Cada grupo terá acesso a:
  • funcionários da empresa (fictícios)
  • sistemas internos simulados
  • informações sensíveis
Durante a dinâmica, os grupos deverão proteger suas informações internas, enquanto outros grupos tentarão obter essas informações utilizando técnicas de engenharia social.
Ambiente Fictício da Empresa
Todos os grupos fazem parte da mesma organização simulada: TechSecure Solutions.
Estrutura organizacional da empresa
A empresa possui os seguintes departamentos:
  • TI
  • Financeiro
  • Recursos Humanos
  • Suporte
  • Segurança da Informação
Cada grupo representará um desses departamentos, sendo responsável por proteger as informações associadas ao seu setor.
Informações Secretas de Cada Grupo
O professor fornecerá a cada grupo um cartão secreto contendo informações internas fictícias. Essas informações representam dados que devem ser protegidos.
Exemplo de cartão
Cartão do Grupo 1 – Departamento de TI
Informações internas:
Administrador do sistema: Carlos Mendes
Servidor principal: srv-dados-01
Senha do sistema interno (fictícia): TechSecure2026
Código interno do projeto: ALPHA-742
Cartão do Grupo 2 – Financeiro
Responsável pelo sistema financeiro: Ana Ribeiro
Servidor financeiro: fin-server-03
Código de aprovação de pagamentos: FIN-9982
Senha fictícia: Finance2026
Cartão do Grupo 3 – Recursos Humanos
Responsável pelo cadastro de funcionários: Mariana Lopes
Servidor RH: rh-server-02
Código de acesso a documentos: RH-4451
Senha fictícia: RHsystem2026
Objetivo dos Ataques
Cada grupo deverá tentar obter pelo menos uma informação secreta de outro grupo, utilizando técnicas de engenharia social.
Exemplos de informações que podem ser obtidas:
  • senha fictícia
  • código interno
  • nome de servidor
  • responsável por determinado sistema
  • documento interno fictício
Técnicas Permitidas
Os grupos podem utilizar técnicas clássicas de engenharia social para tentar obter informações.
1. Phishing
Envio de mensagens simulando sistemas internos.
Exemplo:
"Atualização urgente do sistema. Por favor confirme o login do servidor."
2. Pretexting
Criação de uma história ou contexto fictício para justificar o pedido de informação.
Exemplo:
"Sou do suporte técnico e precisamos validar os servidores antes da atualização."
3. Autoridade
Simulação de uma figura com maior nível hierárquico.
Exemplo:
"O diretor pediu que confirmássemos o servidor do RH."
4. Urgência
Pressionar o alvo para agir rapidamente.
Exemplo:
"Seu acesso será bloqueado se não confirmar o código do sistema."
5. Curiosidade
Utilizar informações atraentes para induzir o compartilhamento de dados.
Exemplo:
"Veja os novos salários aprovados."
Regras Importantes
Para garantir um ambiente seguro e ético, devem ser respeitadas as seguintes regras.
Permitido
  • conversa presencial
  • chat da sala
  • e-mails simulados
  • formulários fictícios
  • histórias inventadas dentro da dinâmica
Proibido
  • coletar dados pessoais reais
  • utilizar contas ou sistemas reais
  • acessar redes externas
  • constranger ou expor colegas
Toda a atividade deve ocorrer exclusivamente dentro da simulação proposta.
O descumprimento dessas regras poderá resultar na anulação da atividade.
Reflexão Final
Ao término da dinâmica, os grupos deverão discutir:
  • quais técnicas funcionaram melhor
  • quais sinais indicavam tentativa de manipulação
  • quais práticas poderiam evitar esse tipo de ataque em ambientes organizacionais
O objetivo final da atividade é compreender que muitos ataques de segurança da informação exploram principalmente vulnerabilidades humanas, e não apenas falhas tecnológicas.
Capítulo 1
O Poder da Engenharia Social
A engenharia social representa uma das ameaças mais perigosas no cenário atual de segurança cibernética. Diferente dos ataques técnicos, ela explora vulnerabilidades humanas, tornando qualquer pessoa um alvo potencial.
Engenharia Social: A Arma do Engano Humano
Psicologia como Alvo
Ataques que exploram comportamentos humanos, emoções e confiança em vez de vulnerabilidades técnicas em sistemas de computador.
Manipulação Estratégica
Técnicas sofisticadas de persuasão para obter informações confidenciais, credenciais ou acesso privilegiado a sistemas críticos.
Quando a mente é o alvo
A vulnerabilidade humana é explorada através de gatilhos emocionais cuidadosamente planejados. O medo, a urgência e a confiança tornam-se armas nas mãos de atacantes experientes.
Técnicas de Manipulação e Persuasão
1
Apelo à Autoridade e Urgência
Atacantes se passam por figuras de poder ou criam situações que exigem resposta imediata, inibindo análise crítica e forçando decisões precipitadas.
2
Cenários Falsos Convincentes
Criação de histórias elaboradas e contextos críveis que induzem a vítima a tomar ações comprometedoras sem questionar a legitimidade.
3
Exploração de Emoções
Uso estratégico de gatilhos emocionais como medo de perder algo, ganância por recompensas e curiosidade natural para baixar defesas psicológicas.
10 Técnicas Comuns em Engenharia Social
Baseado em pesquisas do IBSEC, estas são as táticas mais utilizadas por atacantes modernos:
Ataques por E-mail
  • Spear Phishing: ataques personalizados e altamente direcionados
  • Clone Phishing: e-mails legítimos replicados com links maliciosos
  • Whaling: ataques a executivos com mensagens críticas
Outras Técnicas
  • Vishing e Smishing: phishing por voz e SMS
  • Pretexting: criação de histórias falsas para obter dados
  • BEC: falsificação de autoridade para fraudes financeiras
Capítulo 2
Ataques de Phishing e Pretexting
Mergulhe nas técnicas mais comuns e perigosas de engenharia social. Compreenda como funcionam os ataques de phishing e pretexting para melhor se defender contra eles.
O Que é Phishing?
Engano Digital
Tentativa sofisticada de enganar usuários para revelar dados confidenciais, credenciais de acesso ou instalar malware em seus dispositivos.
Múltiplos Canais
Pode ocorrer por e-mail, SMS, mensagens em redes sociais, aplicativos de mensagem e até mesmo por telefone.
Impacto Crescente
36% das violações de dados envolvem phishing, segundo o Verizon DBIR 2021, tornando-se a porta de entrada mais comum para ataques.
Spear Phishing: O Golpe Personalizado
Pesquisa Detalhada
Uso de informações reais da vítima coletadas em redes sociais, sites corporativos e vazamentos de dados para aumentar a credibilidade do ataque.
Exemplo Real
E-mail falso aparentemente do departamento de RH solicitando atualização urgente de dados bancários para depósito de bonificação.
Pretexting: A História Inventada
Cenário Fabricado
Atacante cria um contexto convincente e elaborado para extrair informações sensíveis, construindo confiança através de uma narrativa cuidadosamente planejada.
Exemplo Típico
Falso técnico de TI ligando e pedindo senha para "resolver urgentemente um problema de segurança detectado no sistema".
Cuidado com o clique
Um único clique pode comprometer toda a segurança de uma organização. Aprenda a identificar sinais de alerta em mensagens suspeitas antes que seja tarde demais.
Impacto Real dos Ataques
$1.8B
Perdas Anuais
Empresas perdem bilhões globalmente por fraudes BEC e campanhas de phishing sofisticadas
95%
Fator Humano
Das violações de segurança começam com erro humano

Funcionários são a maior vulnerabilidade, mas também representam a primeira e mais importante linha de defesa quando adequadamente treinados.
Capítulo 3
Conscientização e Treinamento
A educação contínua e o treinamento especializado transformam funcionários de vulnerabilidades potenciais em guardiões da segurança organizacional.
Por Que Treinar Contra Engenharia Social?
Sofisticação Crescente
Ataques modernos enganam até usuários experientes com técnicas cada vez mais refinadas
Fator Humano Decisivo
Tecnologia sozinha não basta: o comportamento e julgamento humano são elementos críticos
Defesa Proativa
Treinamento transforma cada colaborador em sensor de segurança ativo
Treinamento de Conscientização sobre Phishing
Baseado em pesquisas da usecure.io, programas eficazes combinam múltiplas abordagens:
01
Educação Contínua
Programas regulares para reconhecer sinais de phishing, atualizados com novas técnicas de ataque
02
Métodos Diversos
E-learning interativo, simulações realistas e aulas presenciais para diferentes estilos de aprendizagem
03
Benefícios Mensuráveis
Maior retenção de conhecimento, engajamento ativo e redução significativa de incidentes de segurança
Simulações de Ataques: Aprender na Prática
Treinamento Imersivo
Plataformas como Sophos Phish Threat permitem criar testes realistas em ambiente controlado, sem riscos reais para a organização.
Métricas Acionáveis
Resultados detalhados e mensuráveis permitem ajustar treinamentos e identificar áreas de vulnerabilidade específicas.
Exemplo de Sucesso
Redução de 70% em cliques em links maliciosos após apenas 3 meses de programa de simulação estruturado.
Treinamento que salva
Dados comprovam que organizações com programas estruturados de conscientização reduzem incidentes de segurança em até 80% no primeiro ano.
Boas Práticas para Usuários
Verificação Rigorosa
Sempre verificar remetentes e passar o mouse sobre links antes de clicar para visualizar o URL real de destino
Proteção de Credenciais
Nunca compartilhar senhas, códigos de segurança ou tokens de autenticação por e-mail, telefone ou mensagem
Autenticação Reforçada
Usar autenticação multifator (MFA) em todas as contas possíveis para criar camada adicional de proteção
Comunicação Rápida
Reportar mensagens suspeitas imediatamente à equipe de segurança, mesmo que não tenha certeza da ameaça
Capítulo 4
Prática – Simulação de Ataques de Engenharia Social
Chegou a hora de colocar o conhecimento em prática. Vamos simular ataques reais em ambiente controlado para desenvolver reflexos de segurança.
Objetivo da Simulação
Teste Realista
Avaliar a capacidade atual de identificar e reagir adequadamente a diferentes tipos de ataques de engenharia social
Consciência Situacional
Criar consciência sobre sinais de alerta e desenvolver hábitos seguros que se tornam automáticos no dia a dia
Passos da Simulação
1
Fase 1: Ataque
Envio de e-mails falsos utilizando diferentes técnicas como spear phishing e pretexting
2
Fase 2: Monitoramento
Acompanhamento em tempo real das respostas e ações dos participantes
3
Fase 3: Análise
Feedback individual e coletivo com lições aprendidas e melhores práticas
Cenários de Simulação
Urgência Fabricada
Pedido urgente de atualização de senha alegando suspeita de invasão na conta
Suporte Falso
Mensagem de "suporte técnico" solicitando acesso remoto para resolver problema inexistente
Isca Atrativa
Oferta falsa de benefício exclusivo ou prêmio que requer dados pessoais
Você clicaria aqui?
A simulação revela padrões de comportamento e áreas de vulnerabilidade. Cada tentativa é uma oportunidade de aprendizado sem consequências reais.
Resultados Esperados
80%
Taxa de Identificação
Participantes capazes de reconhecer ataques corretamente
60%
Melhoria na Comunicação
Aumento em reportes de ameaças suspeitas
75%
Redução de Incidentes
Diminuição de cliques em links maliciosos reais
Programas bem estruturados transformam comportamentos e criam cultura de segurança sustentável na organização.
Estudos de Caso Reais

Caso de Sucesso Corporativo
Empresa multinacional evitou fraude de R$ 2,5 milhões após funcionário treinado identificar tentativa de BEC direcionada ao departamento financeiro.

Vigilância que Funciona
Analista de TI detectou e bloqueou ataque sofisticado de pretexting após reconhecer padrões aprendidos em simulação, protegendo dados de 50 mil clientes.
Capítulo 5
Conclusão e Próximos Passos
A jornada de segurança é contínua. Consolidemos os aprendizados e tracemos o caminho para fortalecer ainda mais nossas defesas.
Engenharia Social: Uma Batalha Contínua
Ataques Evoluem
Técnicas se sofisticam constantemente
Treinamento Contínuo
Educação deve ser permanente
Cultura de Segurança
Cada colaborador é fundamental
Defesa Fortalecida
Organização mais resiliente
A segurança efetiva nasce do compromisso coletivo e da vigilância constante de todos os membros da organização.
Recursos Recomendados
Cartilha de Segurança para Internet
Guia completo do CERT.br com orientações práticas e atualizadas sobre segurança digital para usuários brasileiros
Plataformas de Simulação
Ferramentas profissionais como Sophos Phish Threat e usecure para treinamento contínuo e mensuração de resultados
Políticas Internas
Documentação clara e regularmente atualizada sobre procedimentos de segurança e canais de comunicação de incidentes
Segurança é responsabilidade de todos
A proteção efetiva surge quando cada membro da organização se torna um guardião ativo da segurança, vigilante e preparado para identificar e neutralizar ameaças.
Obrigado! Perguntas e Discussão
Vamos praticar a defesa contra engenharia social juntos! Compartilhe suas dúvidas, experiências e insights. A troca de conhecimento fortalece toda a equipe.
Lembre-se: o conhecimento compartilhado hoje pode prevenir o ataque de amanhã.