INÍCIO
Livros do Prof.
Aula 6 – Engenharia Social: Manipulação, Ataques e Defesa
Descubra como ataques psicológicos exploram o elo mais fraco da segurança: o ser humano. Aprenda a identificar, prevenir e defender-se contra as técnicas mais sofisticadas de manipulação digital.
Exercícios Práticos
Laboratórios
Aula 6 – Engenharia Social: Manipulação, Ataques e Defesa
Apresentação da aula
Nesta aula, você vai estudar como ataques de engenharia social exploram o comportamento humano para obter acesso, informações ou confiança indevida. Em vez de focar apenas em falhas técnicas, a proposta é entender como urgência, autoridade, medo, curiosidade e distração podem ser usados por atacantes para induzir decisões erradas.
Ao longo da atividade, você irá analisar evidências digitais com ferramentas online, investigar um e-mail suspeito, verificar a reputação de links e IPs e compreender como vazamentos de dados podem ser usados em ataques de phishing e pretexting.
Objetivos de aprendizagem
Ao final desta aula, você deverá ser capaz de:
  • identificar sinais de phishing em e-mails;
  • interpretar indícios técnicos em cabeçalhos de mensagens;
  • consultar reputação de links e IPs;
  • relacionar vazamentos de dados a ataques de engenharia social;
  • justificar tecnicamente se uma evidência é legítima, suspeita ou maliciosa;
  • propor medidas de prevenção e defesa.
Ferramentas online utilizadas
Todas as ferramentas abaixo funcionam diretamente no navegador:
1. Google Admin Toolbox – Messageheader Usada para analisar cabeçalhos de e-mail e identificar origem, roteamento e indícios de autenticação. (Google Admin Toolbox)
2. Have I Been Pwned Usada para verificar se um endereço de e-mail apareceu em vazamentos de dados conhecidos. (Have I Been Pwned)
3. VirusTotal Usada para analisar URLs, domínios, IPs e arquivos suspeitos com base em múltiplos mecanismos de detecção. (VirusTotal)
4. AbuseIPDB Usada para consultar denúncias e reputação de endereços IP associados a atividade abusiva ou maliciosa. (AbuseIPDB)
Links das ferramentas
  • Google Messageheader: https://toolbox.googleapps.com/apps/messageheader/
  • Have I Been Pwned: https://haveibeenpwned.com
  • VirusTotal: https://www.virustotal.com
  • AbuseIPDB: https://www.abuseipdb.com
Parte 1 – Conceitos fundamentais
O que é engenharia social?
Engenharia social é o uso de manipulação psicológica para induzir uma pessoa a revelar informações, clicar em links, abrir anexos, fornecer credenciais ou executar ações indevidas. O alvo principal não é o computador, mas o comportamento humano.
Técnicas comuns
Phishing
Mensagem falsa enviada por e-mail, SMS ou outro canal, tentando parecer legítima.
Spear phishing
Phishing direcionado, com detalhes personalizados sobre a vítima ou a organização.
Pretexting
Criação de uma história convincente para justificar um pedido de informação.
Vishing
Phishing por voz, normalmente por ligação telefônica.
Smishing
Phishing por mensagens SMS ou aplicativos semelhantes.
BEC (Business Email Compromise)
Fraude por comprometimento ou falsificação de e-mail corporativo, frequentemente usada contra setores financeiros e administrativos.
Parte 2 – Laboratório guiado
Cenário da investigação
A empresa fictícia TechSecure Solutions recebeu um e-mail supostamente enviado pelo setor financeiro, solicitando atualização urgente de senha por motivo de segurança.
Você deverá investigar se a mensagem é legítima ou se se trata de uma tentativa de phishing.
Laboratório 1 – Identificando um e-mail de phishing
Ferramenta
Google Messageheader Link: https://toolbox.googleapps.com/apps/messageheader/ (Google Admin Toolbox)
Objetivo
Aprender a identificar sinais técnicos de phishing em um e-mail por meio do cabeçalho da mensagem.
Passo a passo
  1. Acesse o Google Messageheader.
  1. Copie o cabeçalho de teste fornecido abaixo.
  1. Cole o conteúdo completo no campo da ferramenta.
  1. Execute a análise.
  1. Observe especialmente:
  • IP de origem
  • cadeia de servidores Received
  • resultado SPF
  • resultado DKIM
  • resultado DMARC
  • diferenças entre From, Reply-To e Return-Path
Cabeçalho de teste para uso em aula
Copie e cole o texto abaixo na ferramenta:
Delivered-To: aluno@exemplo.com
Received: by 2002:a05:620a:140:b0:123:4567:89ab with SMTP id x12csp123456qka;
        Mon, 10 Mar 2025 10:15:30 -0300 (BRT)
Received: from mail.servidor-legitimo.com (mail.servidor-legitimo.com. [192.168.1.10])
        by mx.google.com with ESMTPS id abc123xyz
        for <aluno@exemplo.com>;
        Mon, 10 Mar 2025 10:15:29 -0300 (BRT)
Received: from unknown (HELO suspicious-host.ru) (185.234.219.55)
        by mail.servidor-legitimo.com with SMTP;
        Mon, 10 Mar 2025 10:15:20 -0300
Authentication-Results: mx.google.com;
       spf=fail (google.com: domain of fraude@banco-seguro.com does not designate 185.234.219.55 as permitted sender) smtp.mailfrom=fraude@banco-seguro.com;
       dkim=none;
       dmarc=fail (p=REJECT sp=REJECT dis=NONE) header.from=banco-seguro.com
Return-Path: <fraude@banco-seguro.com>
Received-SPF: Fail (google.com: domain of fraude@banco-seguro.com does not designate 185.234.219.55 as permitted sender)
From: "Banco Seguro" <suporte@banco-seguro.com>
Reply-To: contato.suspeito@gmail.com
To: aluno@exemplo.com
Subject: [URGENTE] Sua conta será bloqueada!
Date: Mon, 10 Mar 2025 10:15:18 -0300
Message-ID: <1234567890@suspicious-host.ru>
MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8
Como interpretar este cabeçalho
Neste exemplo, alguns indícios devem chamar sua atenção:
  • o campo Reply-To aponta para um endereço Gmail, enquanto o remetente aparenta ser institucional;
  • o SPF falhou;
  • o DKIM está ausente;
  • o DMARC falhou;
  • há um host suspeito no caminho de envio;
  • o domínio aparente no From não está coerente com a infraestrutura observada.
Esses sinais, quando aparecem em conjunto, aumentam fortemente a suspeita de spoofing ou phishing. O Messageheader foi criado justamente para ajudar na interpretação do fluxo e dos atrasos de mensagens SMTP. (Google Admin Toolbox)
Exercício guiado
Responda:
  1. Qual é o IP de origem provável da mensagem?
  1. O servidor de envio parece legítimo?
  1. O SPF passou ou falhou?
  1. Existe DKIM válido?
  1. Há sinais de spoofing?
  1. Você classificaria esta mensagem como legítima, suspeita ou phishing? Justifique com base em pelo menos três evidências.
Entrega
Envie um relatório curto contendo:
  • captura de tela da análise;
  • respostas às perguntas;
  • conclusão final.
Laboratório 2 – Investigação de vazamento de dados
Ferramenta
Have I Been Pwned Link: https://haveibeenpwned.com (Have I Been Pwned)
Objetivo
Compreender como vazamentos de dados podem ser usados para tornar ataques de engenharia social mais convincentes.
Passo a passo
  1. Acesse o site.
  1. Pesquise um e-mail de teste fornecido pelo professor.
  1. Verifique:
  • se o e-mail apareceu em vazamentos;
  • em quais serviços;
  • quais tipos de dados foram expostos.
Importante
Para fins éticos e de privacidade, utilize preferencialmente um e-mail de teste da atividade, e não um endereço pessoal real.
Exercício guiado
Responda:
  1. O e-mail pesquisado apareceu em vazamentos?
  1. Em quais serviços ocorreu a exposição?
  1. Que tipos de dados foram comprometidos?
  1. Como essas informações poderiam ser usadas em spear phishing ou pretexting?
Exemplo de interpretação
Se um atacante souber que uma vítima possui conta em determinado serviço e que dados como nome, telefone ou senha antiga foram expostos, ele pode construir uma mensagem muito mais convincente, fingindo ser suporte técnico, banco, RH ou administrador de sistema.
Entrega
Documento com:
  • captura de tela;
  • análise do resultado;
  • explicação do risco para engenharia social.
Laboratório 3 – Análise de link suspeito
Ferramenta
VirusTotal Link: https://www.virustotal.com (VirusTotal)
Objetivo
Aprender a verificar um link suspeito antes de acessá-lo.
Passo a passo
  1. Acesse o VirusTotal.
  1. Cole a URL de teste fornecida pelo professor.
  1. Analise:
  • número de detecções;
  • reputação;
  • domínio associado;
  • relações com IP ou arquivos, se disponíveis.
Exercício guiado
Responda:
  1. Quantos mecanismos detectaram a URL como suspeita ou maliciosa?
  1. O domínio parece confiável?
  1. Há indícios de reputação negativa?
  1. Você recomendaria acessar esse link? Por quê?
Exemplo de interpretação
Mesmo quando uma URL não aparece com muitas detecções, sinais como domínio recém-observado, baixa reputação e relações suspeitas podem justificar cautela.
Entrega
Relatório com:
  • print da análise;
  • interpretação dos resultados;
  • decisão final.
Laboratório 4 – Investigação de reputação de IP
Ferramenta
AbuseIPDB Link: https://www.abuseipdb.com (AbuseIPDB)
Objetivo
Compreender como endereços IP podem ser associados a atividades abusivas ou maliciosas.
Passo a passo
  1. Acesse o AbuseIPDB.
  1. Pesquise o IP fornecido pelo professor.
  1. Observe:
  • score de abuso;
  • quantidade de denúncias;
  • categorias de abuso associadas.
Exercício guiado
Responda:
  1. Qual é o score ou nível de reputação do IP?
  1. Quantas denúncias foram registradas?
  1. Que tipos de abuso aparecem associados ao endereço?
  1. Você recomendaria monitoramento, bloqueio ou apenas cautela? Justifique.
Exemplo de interpretação
Um IP com alto número de denúncias e histórico consistente de atividades abusivas pode representar risco para ambientes corporativos e justificar regras de firewall, monitoramento ou bloqueio, dependendo do contexto.
Entrega
Documento contendo:
  • print da consulta;
  • interpretação técnica;
  • recomendação de segurança.
Parte 3 – Exercício integrador
Missão final
Com base em todos os laboratórios, responda:
A TechSecure Solutions foi alvo de uma tentativa de engenharia social?
Sua resposta deve integrar:
  • análise do cabeçalho de e-mail;
  • resultado de reputação da URL;
  • reputação do IP;
  • possíveis dados públicos ou vazados que poderiam fortalecer a fraude.
Modelo de conclusão esperado
Exemplo:
A evidência analisada indica uma tentativa de phishing. O cabeçalho apresenta falha em SPF, ausência de DKIM e falha em DMARC, além de inconsistência entre remetente e Reply-To. A URL analisada possui indícios de baixa confiabilidade e o IP consultado apresenta histórico de abuso. Em conjunto, os elementos sugerem tentativa de manipulação com uso de urgência e falsificação de identidade.
Parte 4 – Simulação prática de engenharia social
Objetivo
Demonstrar, em ambiente controlado, como ataques de engenharia social exploram fatores humanos como confiança, urgência, autoridade, curiosidade e distração.
Como funcionará
A turma será dividida em grupos de 3 a 5 alunos. Cada grupo representará um departamento da empresa fictícia TechSecure Solutions:
  • TI
  • Financeiro
  • Recursos Humanos
  • Suporte
  • Segurança da Informação
Cada grupo receberá um cartão com informações fictícias que devem ser protegidas.
Exemplo de cartão fictício
Departamento de TI
  • Administrador do sistema: Carlos Mendes
  • Servidor principal: srv-dados-01
  • Senha fictícia: TechSecure2026
  • Código interno do projeto: ALPHA-742
Missão dos grupos
Cada grupo deverá:
  • proteger suas informações;
  • tentar obter ao menos uma informação fictícia de outro grupo usando técnicas de engenharia social.
Técnicas permitidas
  • phishing simulado;
  • pretexting;
  • autoridade;
  • urgência;
  • curiosidade.
Regras
É permitido:
  • conversa presencial;
  • chat da sala;
  • formulários fictícios;
  • e-mails simulados dentro da dinâmica.
É proibido:
  • usar dados pessoais reais;
  • acessar contas reais;
  • usar sistemas reais;
  • constranger colegas;
  • expor informações fora da atividade.
Reflexão final
Ao término, cada grupo deverá discutir:
  • quais técnicas funcionaram melhor;
  • quais sinais indicavam manipulação;
  • o que poderia ter sido feito para evitar o ataque.
Boas práticas de defesa
Ao final da aula, lembre-se destas recomendações:
  • verificar sempre remetentes e domínios;
  • desconfiar de mensagens com urgência excessiva;
  • nunca compartilhar senha, token ou código por e-mail ou mensagem;
  • inspecionar links antes de clicar;
  • usar autenticação multifator;
  • comunicar imediatamente mensagens suspeitas à equipe responsável.
Atividade avaliativa
Entregáveis
O aluno deverá enviar:
  1. relatório do Laboratório 1;
  1. relatório do Laboratório 2;
  1. relatório do Laboratório 3;
  1. relatório do Laboratório 4;
  1. conclusão integradora final.
Critérios de avaliação
  • correta interpretação técnica;
  • capacidade de justificar conclusões;
  • clareza na redação;
  • uso adequado das evidências;
  • compreensão dos riscos de engenharia social.
Encerramento
A engenharia social continua sendo uma das ameaças mais eficazes porque explora pessoas, e não apenas sistemas. Por isso, a melhor defesa combina tecnologia, análise crítica, treinamento contínuo e cultura de segurança.
Capítulo 1
O Poder da Engenharia Social
A engenharia social representa uma das ameaças mais perigosas no cenário atual de segurança cibernética. Diferente dos ataques técnicos, ela explora vulnerabilidades humanas, tornando qualquer pessoa um alvo potencial.
Engenharia Social: A Arma do Engano Humano
Psicologia como Alvo
Ataques que exploram comportamentos humanos, emoções e confiança em vez de vulnerabilidades técnicas em sistemas de computador.
Manipulação Estratégica
Técnicas sofisticadas de persuasão para obter informações confidenciais, credenciais ou acesso privilegiado a sistemas críticos.
Quando a mente é o alvo
A vulnerabilidade humana é explorada através de gatilhos emocionais cuidadosamente planejados. O medo, a urgência e a confiança tornam-se armas nas mãos de atacantes experientes.
Técnicas de Manipulação e Persuasão
1
Apelo à Autoridade e Urgência
Atacantes se passam por figuras de poder ou criam situações que exigem resposta imediata, inibindo análise crítica e forçando decisões precipitadas.
2
Cenários Falsos Convincentes
Criação de histórias elaboradas e contextos críveis que induzem a vítima a tomar ações comprometedoras sem questionar a legitimidade.
3
Exploração de Emoções
Uso estratégico de gatilhos emocionais como medo de perder algo, ganância por recompensas e curiosidade natural para baixar defesas psicológicas.
10 Técnicas Comuns em Engenharia Social
Baseado em pesquisas do IBSEC, estas são as táticas mais utilizadas por atacantes modernos:
Ataques por E-mail
  • Spear Phishing: ataques personalizados e altamente direcionados
  • Clone Phishing: e-mails legítimos replicados com links maliciosos
  • Whaling: ataques a executivos com mensagens críticas
Outras Técnicas
  • Vishing e Smishing: phishing por voz e SMS
  • Pretexting: criação de histórias falsas para obter dados
  • BEC: falsificação de autoridade para fraudes financeiras
Capítulo 2
Ataques de Phishing e Pretexting
Mergulhe nas técnicas mais comuns e perigosas de engenharia social. Compreenda como funcionam os ataques de phishing e pretexting para melhor se defender contra eles.
O Que é Phishing?
Engano Digital
Tentativa sofisticada de enganar usuários para revelar dados confidenciais, credenciais de acesso ou instalar malware em seus dispositivos.
Múltiplos Canais
Pode ocorrer por e-mail, SMS, mensagens em redes sociais, aplicativos de mensagem e até mesmo por telefone.
Impacto Crescente
36% das violações de dados envolvem phishing, segundo o Verizon DBIR 2021, tornando-se a porta de entrada mais comum para ataques.
Spear Phishing: O Golpe Personalizado
Pesquisa Detalhada
Uso de informações reais da vítima coletadas em redes sociais, sites corporativos e vazamentos de dados para aumentar a credibilidade do ataque.
Exemplo Real
E-mail falso aparentemente do departamento de RH solicitando atualização urgente de dados bancários para depósito de bonificação.
Pretexting: A História Inventada
Cenário Fabricado
Atacante cria um contexto convincente e elaborado para extrair informações sensíveis, construindo confiança através de uma narrativa cuidadosamente planejada.
Exemplo Típico
Falso técnico de TI ligando e pedindo senha para "resolver urgentemente um problema de segurança detectado no sistema".
Cuidado com o clique
Um único clique pode comprometer toda a segurança de uma organização. Aprenda a identificar sinais de alerta em mensagens suspeitas antes que seja tarde demais.
Impacto Real dos Ataques
$1.8B
Perdas Anuais
Empresas perdem bilhões globalmente por fraudes BEC e campanhas de phishing sofisticadas
95%
Fator Humano
Das violações de segurança começam com erro humano

Funcionários são a maior vulnerabilidade, mas também representam a primeira e mais importante linha de defesa quando adequadamente treinados.
Capítulo 3
Conscientização e Treinamento
A educação contínua e o treinamento especializado transformam funcionários de vulnerabilidades potenciais em guardiões da segurança organizacional.
Por Que Treinar Contra Engenharia Social?
Sofisticação Crescente
Ataques modernos enganam até usuários experientes com técnicas cada vez mais refinadas
Fator Humano Decisivo
Tecnologia sozinha não basta: o comportamento e julgamento humano são elementos críticos
Defesa Proativa
Treinamento transforma cada colaborador em sensor de segurança ativo
Treinamento de Conscientização sobre Phishing
Baseado em pesquisas da usecure.io, programas eficazes combinam múltiplas abordagens:
01
Educação Contínua
Programas regulares para reconhecer sinais de phishing, atualizados com novas técnicas de ataque
02
Métodos Diversos
E-learning interativo, simulações realistas e aulas presenciais para diferentes estilos de aprendizagem
03
Benefícios Mensuráveis
Maior retenção de conhecimento, engajamento ativo e redução significativa de incidentes de segurança
Simulações de Ataques: Aprender na Prática
Treinamento Imersivo
Plataformas como Sophos Phish Threat permitem criar testes realistas em ambiente controlado, sem riscos reais para a organização.
Métricas Acionáveis
Resultados detalhados e mensuráveis permitem ajustar treinamentos e identificar áreas de vulnerabilidade específicas.
Exemplo de Sucesso
Redução de 70% em cliques em links maliciosos após apenas 3 meses de programa de simulação estruturado.
Treinamento que salva
Dados comprovam que organizações com programas estruturados de conscientização reduzem incidentes de segurança em até 80% no primeiro ano.
Boas Práticas para Usuários
Verificação Rigorosa
Sempre verificar remetentes e passar o mouse sobre links antes de clicar para visualizar o URL real de destino
Proteção de Credenciais
Nunca compartilhar senhas, códigos de segurança ou tokens de autenticação por e-mail, telefone ou mensagem
Autenticação Reforçada
Usar autenticação multifator (MFA) em todas as contas possíveis para criar camada adicional de proteção
Comunicação Rápida
Reportar mensagens suspeitas imediatamente à equipe de segurança, mesmo que não tenha certeza da ameaça
Capítulo 4
Prática – Simulação de Ataques de Engenharia Social
Chegou a hora de colocar o conhecimento em prática. Vamos simular ataques reais em ambiente controlado para desenvolver reflexos de segurança.
Objetivo da Simulação
Teste Realista
Avaliar a capacidade atual de identificar e reagir adequadamente a diferentes tipos de ataques de engenharia social
Consciência Situacional
Criar consciência sobre sinais de alerta e desenvolver hábitos seguros que se tornam automáticos no dia a dia
Passos da Simulação
1
Fase 1: Ataque
Envio de e-mails falsos utilizando diferentes técnicas como spear phishing e pretexting
2
Fase 2: Monitoramento
Acompanhamento em tempo real das respostas e ações dos participantes
3
Fase 3: Análise
Feedback individual e coletivo com lições aprendidas e melhores práticas
Cenários de Simulação
Urgência Fabricada
Pedido urgente de atualização de senha alegando suspeita de invasão na conta
Suporte Falso
Mensagem de "suporte técnico" solicitando acesso remoto para resolver problema inexistente
Isca Atrativa
Oferta falsa de benefício exclusivo ou prêmio que requer dados pessoais
Você clicaria aqui?
A simulação revela padrões de comportamento e áreas de vulnerabilidade. Cada tentativa é uma oportunidade de aprendizado sem consequências reais.
Resultados Esperados
80%
Taxa de Identificação
Participantes capazes de reconhecer ataques corretamente
60%
Melhoria na Comunicação
Aumento em reportes de ameaças suspeitas
75%
Redução de Incidentes
Diminuição de cliques em links maliciosos reais
Programas bem estruturados transformam comportamentos e criam cultura de segurança sustentável na organização.
Estudos de Caso Reais

Caso de Sucesso Corporativo
Empresa multinacional evitou fraude de R$ 2,5 milhões após funcionário treinado identificar tentativa de BEC direcionada ao departamento financeiro.

Vigilância que Funciona
Analista de TI detectou e bloqueou ataque sofisticado de pretexting após reconhecer padrões aprendidos em simulação, protegendo dados de 50 mil clientes.
Capítulo 5
Conclusão e Próximos Passos
A jornada de segurança é contínua. Consolidemos os aprendizados e tracemos o caminho para fortalecer ainda mais nossas defesas.
Engenharia Social: Uma Batalha Contínua
Ataques Evoluem
Técnicas se sofisticam constantemente
Treinamento Contínuo
Educação deve ser permanente
Cultura de Segurança
Cada colaborador é fundamental
Defesa Fortalecida
Organização mais resiliente
A segurança efetiva nasce do compromisso coletivo e da vigilância constante de todos os membros da organização.
Recursos Recomendados
Cartilha de Segurança para Internet
Guia completo do CERT.br com orientações práticas e atualizadas sobre segurança digital para usuários brasileiros
Plataformas de Simulação
Ferramentas profissionais como Sophos Phish Threat e usecure para treinamento contínuo e mensuração de resultados
Políticas Internas
Documentação clara e regularmente atualizada sobre procedimentos de segurança e canais de comunicação de incidentes
Segurança é responsabilidade de todos
A proteção efetiva surge quando cada membro da organização se torna um guardião ativo da segurança, vigilante e preparado para identificar e neutralizar ameaças.
Obrigado! Perguntas e Discussão
Vamos praticar a defesa contra engenharia social juntos! Compartilhe suas dúvidas, experiências e insights. A troca de conhecimento fortalece toda a equipe.
Lembre-se: o conhecimento compartilhado hoje pode prevenir o ataque de amanhã.