Avançado Governança e Compliance

Awareness e engenharia social — phishing, pretexting, vishing e simulações

Engenharia social é a arte de manipular pessoas para que realizem ações ou divulguem informações que comprometam a segurança. Não importa o quanto os sistemas sejam seguros — se um colaborador pode ser enganado, o atacante entra. Segundo o Verizon DBIR, mais de 80% das violações envolvem elemento humano.

Principais Técnicas

Phishing

E-mail fraudulento que imita remetente legítimo para obter credenciais, instalar malware ou induzir transferência financeira.

Variantes:
- Spear phishing: alvo específico, e-mail personalizado com dados reais do alvo
- Whaling: alvo é C-level (CEO, CFO)
- Clone phishing: cópia de e-mail legítimo anterior com link trocado

Indicadores comuns:
- Domínio parecido: example-corp.com em vez de examplecorp.com
- Urgência artificial: "sua conta será bloqueada em 24h"
- Link que não corresponde ao texto exibido (hover revela URL diferente)
- Anexo inesperado: .xlsx com macro, .pdf com link embutido

Pretexting

Criação de um cenário falso (pretexto) para ganhar confiança e obter informação.

Exemplo (ambiente fictício de treinamento):
Atacante liga para o help desk da Example Corp fingindo ser o
técnico João da filial de Campinas. Solicita reset de senha de
conta privilegiada alegando "bloqueio urgente antes de reunião
com diretoria". Sem verificação de identidade, o help desk reseta.

Contra-medida: procedimento formal de verificação de identidade antes de qualquer reset de credencial, mesmo por solicitação interna.

Vishing

Voice phishing — ataque via ligação telefônica. Atacante se passa por suporte técnico, banco, governo ou fornecedor.

Sinais de alerta:
- Ligação não solicitada pedindo credenciais ou código SMS
- Pressão para agir "agora mesmo" sem tempo para verificar
- Recusa em fornecer número de protocolo verificável
- Solicitação de acesso remoto (AnyDesk, TeamViewer)

Smishing e QR Phishing (Quishing)

Phishing via SMS ou QR code. Campanhas de quishing cresceram com a popularização de cardápios digitais — usuários escaneiam QR codes sem questionar.

Programa de Awareness

Um programa eficaz não é um treinamento anual de 30 minutos. É contínuo, mensurável e contextualizado.

Estrutura

1. Avaliação de linha de base
   └─ Simulação de phishing não anunciada → mede taxa de clique inicial

2. Treinamento modular
   └─ Micro-aprendizados de 5-10 min por tema (phishing, senha, BYOD, dados)
   └─ Frequência: mensal ou bimestral

3. Simulações periódicas
   └─ Phishing simulado a cada 60-90 dias
   └─ Vishing simulado 1-2x por ano
   └─ Testes de acesso físico (tailgating, pendrives deixados no estacionamento)

4. Feedback imediato
   └─ Colaborador que clica no link simulado → tela educativa imediata
   └─ Sem punição; foco em aprendizado

5. Métricas e relatório
   └─ Taxa de clique, taxa de reporte, tempo de reporte
   └─ Segmentação por área, cargo, senioridade

Métricas de Maturidade

MétricaMeta
Taxa de clique em simulação< 5%
Taxa de reporte de e-mail suspeito> 70%
Tempo médio de reporte< 1 hora
Cobertura de treinamento concluído100% dos ativos

Política de Uso Aceitável (AUP)

Associe o programa de awareness a uma AUP clara que defina:

  • O que é permitido em dispositivos corporativos
  • Como reportar e-mail suspeito (botão “Reportar Phishing” no cliente de e-mail)
  • Consequências de cliques em links maliciosos reais vs. negligência confirmada

A cultura de segurança não nasce de medo. Nasce de consciência, prática e reforço positivo.