Engenharia Social e Phishing para Concursos Públicos — Parte 1: As Técnicas de Ataque e a Taxonomia das Bancas

A Segurança da Informação tornou-se um dos temas mais relevantes nas provas de Informática para concursos públicos. Entre os assuntos mais cobrados pelas bancas, destacam-se a Engenharia Social e o Phishing, técnicas utilizadas por criminosos para manipular pessoas e obter informações confidenciais. Compreender esses conceitos é fundamental para resolver questões e evitar as armadilhas mais comuns presentes nos editais.

Compreender a fundo essas ameaças é o que diferencia quem fica na fila de espera de quem toma posse. As bancas sabem que a maioria dos candidatos foca apenas em soluções de software (como antivírus) e negligencia o comportamento humano. É exatamente aí que as armadilhas são montadas nos enunciados.

Esta aula foi elaborada estrategicamente para você blindar o seu percentual de acertos, dominar a taxonomia oficial da Cartilha do Cert.br (a bíblia das bancas examinadoras) e aprender a desmascarar as pegadinhas do Cebraspe, FGV, FCC e Vunesp.

A segurança da informação vai muito além de barreiras lógicas e códigos de programação. Para compreender as armadilhas das bancas de concurso, precisamos observar onde reside a verdadeira vulnerabilidade dos sistemas: a mente humana.

Uma peça de xadrez de um rei de madeira ao lado de um envelope lacrado sobre uma mesa de escritório escura e iluminada dramaticamente.
A mente humana é o tabuleiro onde se desenvolvem os ataques de engenharia social.

O que é Engenharia Social na Segurança da Informação?

Para as bancas de concurso, a Engenharia Social não é classificada como uma falha de sistema ou um bug de programação, mas sim como uma técnica de manipulação psicológica. O foco do ataque não é o computador de forma direta; é o usuário que o opera.

Conceito Oficial (Cert.br)

Engenharia social é uma prática utilizada por criminosos para enganar pessoas, fazendo com que elas revelem informações confidenciais, cliquem em links suspeitos ou executem ações prejudiciais à própria segurança ou à da instituição onde trabalham.

O Fator Humano como o “Elo Mais Fraco” da Segurança

Um órgão público pode investir milhões de reais em firewalls de última geração, criptografia de ponta e sistemas biométricos complexos. No entanto, se um servidor público aceitar uma ligação falsa e fornecer a sua credencial de acesso, toda a estrutura tecnológica terá sido burlada sem disparar um único alarme de invasão cibernética. É por isso que a doutrina afirma reiteradamente que o ser humano é o elo mais fraco da corrente de segurança.

⚠️ Alerta de Prova: Vulnerabilidade Humana vs. Técnica

A Engenharia Social explora o comportamento do usuário (vulnerabilidade humana) e não uma falha de software (vulnerabilidade técnica ou bug do sistema operacional). Se a questão associar Engenharia Social pura a uma falha no código de um programa, o item estará incorreto.

Para iniciar sua jornada com clareza total, observe a tabela comparativa abaixo. Ela sintetiza as principais técnicas exigidas nos editais modernos:

TécnicaVetor PrincipalObjetivo do AtaqueAlerta de Prova
PhishingE-mail / Mensagens digitaisPescar dados cadastrais e credenciais.Exige interação direta do usuário (clique, download ou preenchimento).
PharmingRedirecionamento de DNSForçar o acesso a um site falso clonado.Não depende de clique em link; a URL digitada no navegador está 100% correta.
VishingVoz (Telefone ou VoIP)Obter dados sigilosos fingindo ser do suporte técnico.Explora intensamente o gatilho da autoridade por chamada telefônica.
SmishingSMS ou Mensagens CurtasRoubar dados via links encurtados fraudulentos.Usa mensagens de texto urgentes sobre contas ou saldos bloqueados.
TailgatingMeio Físico (Presencial)Invasão física de áreas restritas de um órgão.Explora a cortesia e a polidez humana para entrar “de carona”.

Os Princípios Psicológicos da Engenharia Social (Gatilhos de Prova)

Os criminosos não atacam ao acaso; eles utilizam gatilhos mentais específicos para desativar o senso crítico da vítima. As bancas (especialmente a FGV) adoram criar casos práticos baseados nesses pilares do comportamento humano:

  • Autoridade: O atacante se passa por um diretor do órgão, um auditor fiscal ou um técnico de TI sênior. O respeito à hierarquia administrativa faz a vítima obedecer às instruções sem questionar.
  • Urgência: “Sua senha institucional irá expirar em 15 minutos”. O senso de imediatismo impede que o servidor verifique a veracidade do remetente ou consulte a equipe de TI.
  • Escassez: “Apenas os 10 primeiros servidores que atualizarem o cadastro ganharão acesso ao novo bônus de capacitação”. Explora a oportunidade de perder algo exclusivo.
  • Medo: “Se você não atualizar seus dados funcionais imediatamente, seu salário deste mês ficará retido administrativamente”.
  • Ganância: Promessas de prêmios, heranças falsas ou vantagens financeiras desproporcionais direcionadas a colaboradores.

🚨 Pegadinha Recorrente: O Ambiente da Engenharia Social

A banca vai tentar te convencer de que a Engenharia Social ocorre exclusivamente no ambiente virtual. Errado! Ela originou-se e ainda é fortemente executada no ambiente físico (chamadas telefônicas, falsificação de crachás, conversas presenciais) e posteriormente migrou para o meio digital.

As questões de cenários práticos exigem que você identifique qual fraqueza comportamental foi explorada. O infográfico abaixo resume os cinco principais gatilhos mentais mapeados pelas bancas.

Matriz visual contendo os cinco principais gatilhos psicológicos da engenharia social: Autoridade, Urgência, Medo, Ganância e Escassez.
Os cinco gatilhos comportamentais mais utilizados para desarmar as defesas dos servidores públicos.

Principais Técnicas de Engenharia Social Cobradas em Concursos

As bancas examinadoras cobram uma taxonomia muito clara dessas técnicas. Vamos analisar detalhadamente cada uma delas, combinando o rigor conceitual com a prática das provas.

⚠️ Pretexting (Pretexto) e Baiting (Isca)

Pretexting

No Pretexting, o criminoso cria um cenário fictício (um pretexto) bem estruturado e convincente para justificar a solicitação de dados confidenciais que, em situações normais, não seriam fornecidos.

  • Exemplo prático: Ligar para um servidor dizendo: “Aqui é da Ouvidoria do Tribunal, estamos atualizando os dados do setor de recursos humanos para o novo plano de cargos. Qual é o seu CPF, matrícula e cargo atual?”

Baiting

No Baiting, utiliza-se uma “isca” física ou digital para atrair a vítima, explorando diretamente a sua curiosidade ou ganância.

  • Exemplo prático: O criminoso deixa um pendrive deliberadamente em cima de uma mesa na recepção de um Tribunal com uma etiqueta escrita: “Folha de Pagamento – Sigiloso”. O servidor, movido pela curiosidade, espeta o pendrive em um computador conectado à rede interna do órgão, infectando o sistema com um código malicioso (malware).

Quid Pro Quo (Troca de Favores)

O Quid Pro Quo (expressão em latim que significa “isto por aquilo”) envolve uma promessa de troca direta de um serviço ou benefício técnico em contrapartida à informação solicitada.

  • Exemplo prático: O golpista liga para vários ramais de uma repartição pública até achar alguém reclamando de lentidão no sistema de processos. Ele diz: “Sou do suporte de TI e posso resolver essa lentidão agora para você. Basta me passar o seu usuário e senha temporariamente para eu rodar um script”. O funcionário entrega os dados de acesso em troca do suposto “conserto”.

Tailgating (Piggybacking) e Engenharia Social Física

O Tailgating ocorre estritamente no perímetro físico de segurança do órgão. O atacante busca obter acesso a uma área restrita sem possuir uma credencial ou crachá válido.

A Analogia do Porteiro e do Crachá

Imagine um invasor de terno que aguarda próximo à catraca eletrônica de uma autarquia federal. Ele espera um funcionário legítimo passar o crachá e liberar a entrada. Quando o funcionário passa — muitas vezes carregando caixas de arquivo ou objetos pesados —, o invasor aproveita a cortesia do servidor, que segura a porta ou a catraca para ele passar “de carona”, sem apresentar nenhuma identificação formal.

Shoulder Surfing e Dumpster Diving

Duas técnicas clássicas, analógicas e de baixo custo técnico que continuam despencando em provas de concurso de nível técnico e analista:

  • Shoulder Surfing (Olhar sobre o ombro): É o ato literal de espiar o que a pessoa está digitando ou visualizando na tela. Ocorre muito em filas de caixas eletrônicos, transporte público ou quando o servidor digita sua senha master na frente de cidadãos no balcão de atendimento.
  • Dumpster Diving (Vasculhar o lixo): É a busca por informações valiosas descartadas incorretamente no lixo comum (seja lixo físico ou lixeiras digitais não trituradas). Um relatório impresso jogado no lixo sem passar por uma fragmentadora pode conter dados estratégicos, organogramas confidenciais, CPFs de testemunhas ou senhas anotadas em papéis auto-adesivos (post-its).

🧠 Dica de Memorização: Mapeamento de Termos Físicos

  • Tailgating: Lembra “tail” (cauda/atrás). Significa ir colado atrás de alguém na catraca física.
  • Shoulder Surfing: Lembra “shoulder” (ombro). Significa surfar/olhar por cima do ombro alheio.
  • Dumpster Diving: Lembra “dumpster” (caçamba de lixo). Significa mergulhar no lixo atrás de papelada.

As bancas costumam utilizar os termos em inglês para confundir o candidato. O mapa mental abaixo associa cada técnica ao seu correspondente físico e literal, blindando sua memória para a hora da prova.

Infográfico em formato de mapa mental detalhando as técnicas de Tailgating, Shoulder Surfing e Dumpster Diving com ícones e explicações em português.
Mapeamento visual das principais técnicas físicas de engenharia social e seus conceitos literais.

Phishing: A Ameaça de Engenharia Social Mais Recorrente

Se a Engenharia Social é o conceito geral (gênero), o Phishing é a espécie mais famosa, automatizada e executada no mundo digital.

O Conceito de Phishing Segundo a Cartilha do Cert.br

O termo vem de fishing (pescar). O criminoso lança uma “linha com anzol e isca” para milhares de usuários na expectativa de que alguns mordam e entreguem seus dados voluntariamente.

Definição oficial: Phishing é um tipo de ataque que utiliza mensagens fraudulentas (normalmente e-mails, mas também páginas web falsas) projetadas para parecerem legítimas, com o objetivo de roubar dados confidenciais, como números de cartões de crédito, senhas e informações de contas bancárias.

🚨 Pegadinha de Prova: Automação vs. Interação

As bancas afirmam com frequência que o Phishing contamina computadores de forma 100% autônoma, atuando de maneira idêntica a um vírus ou Worm. Errado! O Phishing puramente dito depende fundamentalmente de uma ação ou interação da vítima (clicar em um link falso, baixar um anexo malicioso ou preencher um formulário fraudulento).

Variantes Avançadas de Phishing

As bancas adoram inverter os escopos e alvos do Phishing para eliminar candidatos desatentos. Memorize estas distinções cruciais:

Compreender a diferença de escopo e o alvo de cada variante de Phishing é o segredo para não cair nas pegadinhas da FGV e do Cebraspe. Analise a estrutura hierárquica das ameaças digitais no diagrama a seguir.

Infográfico vertical comparando os escopos do Phishing Tradicional, Spear Phishing, Whaling e Clone Phishing com textos explicativos.
Gráfico de escopo: do ataque genérico em massa (Phishing) ao ataque cirúrgico de alto valor (Whaling).

Phishing Tradicional (Em Massa)

É genérico e distribuído em larga escala. O mesmo e-mail padrão do “Banco X” ou da “Receita Federal” é enviado para 1 milhão de pessoas simultaneamente. O criminoso não sabe se você tem conta naquele banco ou se possui pendências; ele joga com a probabilidade estatística.

Spear Phishing (Pesca com Arpão)

É um ataque altamente direcionado, customizado e personalizado. O golpista estuda o alvo antes de agir (frequentemente coletando dados em redes sociais ou no Portal da Transparência). Ele envia um e-mail personalizado para os funcionários de um setor específico de um Ministério, citando o nome exato do chefe do setor, o cargo da vítima e o projeto em que estão trabalhando no momento.

Whaling (Pesca de Baleias)

É uma variação do Spear Phishing, mas o foco está exclusivamente no topo da pirâmide hierárquica ou em alvos de altíssimo valor financeiro/político. O alvo é o “peixe grande”: o Presidente da estatal, o Diretor Financeiro (CFO), Ministros de Estado ou Magistrados.

  • Cenário Real de Whaling: Um e-mail perfeitamente forjado é direcionado com exclusividade ao Diretor Financeiro de uma autarquia. A mensagem simula vir do e-mail pessoal do Presidente do órgão, exigindo o pagamento ou a transferência urgente e sigilosa de um lote orçamentário para um fornecedor internacional fictício, sob pena de graves sanções institucionais.

Clone Phishing

Nesta modalidade, o invasor intercepta ou obtém acesso a um e-mail legítimo e verdadeiro que já foi enviado anteriormente para a vítima. Ele cria uma cópia idêntica (um clone) desse e-mail, mas altera o link ou o anexo original por um arquivo malicioso. O e-mail clonado é enviado simulando ser uma “atualização”, “correção” ou “reenvio” do e-mail verdadeiro, gerando um falso senso de segurança.

Watering Hole (Ataque do Poço de Água)

Diferente do envio de mensagens, o criminoso identifica quais sites legítimos são frequentemente visitados pelos servidores de um determinado órgão público (ex: um portal de notícias jurídicas locais). O atacante infecta esse site específico com um malware. Quando os servidores acessam o site habitual para trabalhar ou ler notícias, suas máquinas são infectadas. Recebe esse nome em alusão ao predador que espera as presas irem beber água no poço.

Variações do Phishing Baseadas no Vetor de Ataque e Novas Tecnologias

O Phishing evoluiu e ganhou nomes específicos dependendo do canal (vetor) ou da tecnologia utilizada pelo criminoso para abordar o usuário.

Smishing (Ataques via SMS e Mensagens Curtas)

É o Phishing que utiliza mensagens de texto curtas (SMS) ou protocolos mais modernos de comunicação móvel, como o RCS (Rich Communication Services). Geralmente traz links encurtados fraudulentos (ex: bit.ly/suaconta-banco) e mensagens alarmantes sobre pontos do cartão de crédito expirando, entregas falsas de transportadoras ou movimentações suspeitas no Pix.

Vishing (Ataques via Voz e Engenharia de Áudio)

É o Phishing baseado em chamadas de voz. O criminoso utiliza sistemas de telefonia IP (VoIP) para realizar o Spoofing de chamadas (mascarando o número de telefone para fazer parecer o número real do suporte do banco ou do órgão público). A abordagem é inteiramente falada, simulando com precisão centrais de atendimento eletrônicas (URAs) com gravações de padrão profissional.

🚨 Pegadinha de Prova: O Canal do Vishing

A banca vai afirmar que o Vishing é realizado exclusivamente por mensagens de texto escritas via redes sociais. Errado! O Vishing exige obrigatoriamente a interação por VOZ (ligação telefônica tradicional, VoIP ou mensagem de áudio simulada).

Engenharia Social de Última Geração: O Impacto das Inteligências Artificiais e Deepfakes

Nos editais mais recentes, as bancas começaram a cobrar o impacto da Inteligência Artificial Generativa na Segurança da Informação.

Os criminosos utilizam ferramentas de IA para realizar a clonagem de voz por IA e a criação de Deepfakes (vídeos ou áudios manipulados hiper-realistas).

Em um ataque de Engenharia Social moderno, um servidor pode receber uma chamada de vídeo ou um áudio no aplicativo de mensagens com a voz e o rosto exatos do Secretário de

Administração solicitando a liberação emergencial de uma credencial ou dados sigilosos do sistema de pagamento.


🏆 Construa uma preparação completa
Explore centenas de conteúdos organizados por disciplina. Matemática, Português, Direito, Conhecimentos Bancários e muito mais para você estudar com estratégia e aumentar suas chances de aprovação.

LUCAS

Engenheiro e Concurseiro

Gostou do Conteúdo? Compartilhe

Sessão de Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

📚 Outras Aulas

Engenharia Social e Phishing para Concursos Públicos — Parte 1: As Técnicas de Ataque e a Taxonomia das Bancas

A Segurança da Informação tornou-se um dos temas mais relevantes nas provas de Informática para concursos públicos. Entre os assuntos mais cobrados pelas bancas, destacam-se a Engenharia Social e o Phishing, técnicas utilizadas por criminosos para manipular pessoas e obter informações confidenciais. Compreender esses conceitos é fundamental para resolver questões e evitar as armadilhas mais comuns presentes nos editais.

Compreender a fundo essas ameaças é o que diferencia quem fica na fila de espera de quem toma posse. As bancas sabem que a maioria dos candidatos foca apenas em soluções de software (como antivírus) e negligencia o comportamento humano. É exatamente aí que as armadilhas são montadas nos enunciados.

Esta aula foi elaborada estrategicamente para você blindar o seu percentual de acertos, dominar a taxonomia oficial da Cartilha do Cert.br (a bíblia das bancas examinadoras) e aprender a desmascarar as pegadinhas do Cebraspe, FGV, FCC e Vunesp.

A segurança da informação vai muito além de barreiras lógicas e códigos de programação. Para compreender as armadilhas das bancas de concurso, precisamos observar onde reside a verdadeira vulnerabilidade dos sistemas: a mente humana.

Uma peça de xadrez de um rei de madeira ao lado de um envelope lacrado sobre uma mesa de escritório escura e iluminada dramaticamente.
A mente humana é o tabuleiro onde se desenvolvem os ataques de engenharia social.

O que é Engenharia Social na Segurança da Informação?

Para as bancas de concurso, a Engenharia Social não é classificada como uma falha de sistema ou um bug de programação, mas sim como uma técnica de manipulação psicológica. O foco do ataque não é o computador de forma direta; é o usuário que o opera.

Conceito Oficial (Cert.br)

Engenharia social é uma prática utilizada por criminosos para enganar pessoas, fazendo com que elas revelem informações confidenciais, cliquem em links suspeitos ou executem ações prejudiciais à própria segurança ou à da instituição onde trabalham.

O Fator Humano como o “Elo Mais Fraco” da Segurança

Um órgão público pode investir milhões de reais em firewalls de última geração, criptografia de ponta e sistemas biométricos complexos. No entanto, se um servidor público aceitar uma ligação falsa e fornecer a sua credencial de acesso, toda a estrutura tecnológica terá sido burlada sem disparar um único alarme de invasão cibernética. É por isso que a doutrina afirma reiteradamente que o ser humano é o elo mais fraco da corrente de segurança.

⚠️ Alerta de Prova: Vulnerabilidade Humana vs. Técnica

A Engenharia Social explora o comportamento do usuário (vulnerabilidade humana) e não uma falha de software (vulnerabilidade técnica ou bug do sistema operacional). Se a questão associar Engenharia Social pura a uma falha no código de um programa, o item estará incorreto.

Para iniciar sua jornada com clareza total, observe a tabela comparativa abaixo. Ela sintetiza as principais técnicas exigidas nos editais modernos:

TécnicaVetor PrincipalObjetivo do AtaqueAlerta de Prova
PhishingE-mail / Mensagens digitaisPescar dados cadastrais e credenciais.Exige interação direta do usuário (clique, download ou preenchimento).
PharmingRedirecionamento de DNSForçar o acesso a um site falso clonado.Não depende de clique em link; a URL digitada no navegador está 100% correta.
VishingVoz (Telefone ou VoIP)Obter dados sigilosos fingindo ser do suporte técnico.Explora intensamente o gatilho da autoridade por chamada telefônica.
SmishingSMS ou Mensagens CurtasRoubar dados via links encurtados fraudulentos.Usa mensagens de texto urgentes sobre contas ou saldos bloqueados.
TailgatingMeio Físico (Presencial)Invasão física de áreas restritas de um órgão.Explora a cortesia e a polidez humana para entrar “de carona”.

Os Princípios Psicológicos da Engenharia Social (Gatilhos de Prova)

Os criminosos não atacam ao acaso; eles utilizam gatilhos mentais específicos para desativar o senso crítico da vítima. As bancas (especialmente a FGV) adoram criar casos práticos baseados nesses pilares do comportamento humano:

  • Autoridade: O atacante se passa por um diretor do órgão, um auditor fiscal ou um técnico de TI sênior. O respeito à hierarquia administrativa faz a vítima obedecer às instruções sem questionar.
  • Urgência: “Sua senha institucional irá expirar em 15 minutos”. O senso de imediatismo impede que o servidor verifique a veracidade do remetente ou consulte a equipe de TI.
  • Escassez: “Apenas os 10 primeiros servidores que atualizarem o cadastro ganharão acesso ao novo bônus de capacitação”. Explora a oportunidade de perder algo exclusivo.
  • Medo: “Se você não atualizar seus dados funcionais imediatamente, seu salário deste mês ficará retido administrativamente”.
  • Ganância: Promessas de prêmios, heranças falsas ou vantagens financeiras desproporcionais direcionadas a colaboradores.

🚨 Pegadinha Recorrente: O Ambiente da Engenharia Social

A banca vai tentar te convencer de que a Engenharia Social ocorre exclusivamente no ambiente virtual. Errado! Ela originou-se e ainda é fortemente executada no ambiente físico (chamadas telefônicas, falsificação de crachás, conversas presenciais) e posteriormente migrou para o meio digital.

As questões de cenários práticos exigem que você identifique qual fraqueza comportamental foi explorada. O infográfico abaixo resume os cinco principais gatilhos mentais mapeados pelas bancas.

Matriz visual contendo os cinco principais gatilhos psicológicos da engenharia social: Autoridade, Urgência, Medo, Ganância e Escassez.
Os cinco gatilhos comportamentais mais utilizados para desarmar as defesas dos servidores públicos.

Principais Técnicas de Engenharia Social Cobradas em Concursos

As bancas examinadoras cobram uma taxonomia muito clara dessas técnicas. Vamos analisar detalhadamente cada uma delas, combinando o rigor conceitual com a prática das provas.

⚠️ Pretexting (Pretexto) e Baiting (Isca)

Pretexting

No Pretexting, o criminoso cria um cenário fictício (um pretexto) bem estruturado e convincente para justificar a solicitação de dados confidenciais que, em situações normais, não seriam fornecidos.

  • Exemplo prático: Ligar para um servidor dizendo: “Aqui é da Ouvidoria do Tribunal, estamos atualizando os dados do setor de recursos humanos para o novo plano de cargos. Qual é o seu CPF, matrícula e cargo atual?”

Baiting

No Baiting, utiliza-se uma “isca” física ou digital para atrair a vítima, explorando diretamente a sua curiosidade ou ganância.

  • Exemplo prático: O criminoso deixa um pendrive deliberadamente em cima de uma mesa na recepção de um Tribunal com uma etiqueta escrita: “Folha de Pagamento – Sigiloso”. O servidor, movido pela curiosidade, espeta o pendrive em um computador conectado à rede interna do órgão, infectando o sistema com um código malicioso (malware).

Quid Pro Quo (Troca de Favores)

O Quid Pro Quo (expressão em latim que significa “isto por aquilo”) envolve uma promessa de troca direta de um serviço ou benefício técnico em contrapartida à informação solicitada.

  • Exemplo prático: O golpista liga para vários ramais de uma repartição pública até achar alguém reclamando de lentidão no sistema de processos. Ele diz: “Sou do suporte de TI e posso resolver essa lentidão agora para você. Basta me passar o seu usuário e senha temporariamente para eu rodar um script”. O funcionário entrega os dados de acesso em troca do suposto “conserto”.

Tailgating (Piggybacking) e Engenharia Social Física

O Tailgating ocorre estritamente no perímetro físico de segurança do órgão. O atacante busca obter acesso a uma área restrita sem possuir uma credencial ou crachá válido.

A Analogia do Porteiro e do Crachá

Imagine um invasor de terno que aguarda próximo à catraca eletrônica de uma autarquia federal. Ele espera um funcionário legítimo passar o crachá e liberar a entrada. Quando o funcionário passa — muitas vezes carregando caixas de arquivo ou objetos pesados —, o invasor aproveita a cortesia do servidor, que segura a porta ou a catraca para ele passar “de carona”, sem apresentar nenhuma identificação formal.

Shoulder Surfing e Dumpster Diving

Duas técnicas clássicas, analógicas e de baixo custo técnico que continuam despencando em provas de concurso de nível técnico e analista:

  • Shoulder Surfing (Olhar sobre o ombro): É o ato literal de espiar o que a pessoa está digitando ou visualizando na tela. Ocorre muito em filas de caixas eletrônicos, transporte público ou quando o servidor digita sua senha master na frente de cidadãos no balcão de atendimento.
  • Dumpster Diving (Vasculhar o lixo): É a busca por informações valiosas descartadas incorretamente no lixo comum (seja lixo físico ou lixeiras digitais não trituradas). Um relatório impresso jogado no lixo sem passar por uma fragmentadora pode conter dados estratégicos, organogramas confidenciais, CPFs de testemunhas ou senhas anotadas em papéis auto-adesivos (post-its).

🧠 Dica de Memorização: Mapeamento de Termos Físicos

  • Tailgating: Lembra “tail” (cauda/atrás). Significa ir colado atrás de alguém na catraca física.
  • Shoulder Surfing: Lembra “shoulder” (ombro). Significa surfar/olhar por cima do ombro alheio.
  • Dumpster Diving: Lembra “dumpster” (caçamba de lixo). Significa mergulhar no lixo atrás de papelada.

As bancas costumam utilizar os termos em inglês para confundir o candidato. O mapa mental abaixo associa cada técnica ao seu correspondente físico e literal, blindando sua memória para a hora da prova.

Infográfico em formato de mapa mental detalhando as técnicas de Tailgating, Shoulder Surfing e Dumpster Diving com ícones e explicações em português.
Mapeamento visual das principais técnicas físicas de engenharia social e seus conceitos literais.

Phishing: A Ameaça de Engenharia Social Mais Recorrente

Se a Engenharia Social é o conceito geral (gênero), o Phishing é a espécie mais famosa, automatizada e executada no mundo digital.

O Conceito de Phishing Segundo a Cartilha do Cert.br

O termo vem de fishing (pescar). O criminoso lança uma “linha com anzol e isca” para milhares de usuários na expectativa de que alguns mordam e entreguem seus dados voluntariamente.

Definição oficial: Phishing é um tipo de ataque que utiliza mensagens fraudulentas (normalmente e-mails, mas também páginas web falsas) projetadas para parecerem legítimas, com o objetivo de roubar dados confidenciais, como números de cartões de crédito, senhas e informações de contas bancárias.

🚨 Pegadinha de Prova: Automação vs. Interação

As bancas afirmam com frequência que o Phishing contamina computadores de forma 100% autônoma, atuando de maneira idêntica a um vírus ou Worm. Errado! O Phishing puramente dito depende fundamentalmente de uma ação ou interação da vítima (clicar em um link falso, baixar um anexo malicioso ou preencher um formulário fraudulento).

Variantes Avançadas de Phishing

As bancas adoram inverter os escopos e alvos do Phishing para eliminar candidatos desatentos. Memorize estas distinções cruciais:

Compreender a diferença de escopo e o alvo de cada variante de Phishing é o segredo para não cair nas pegadinhas da FGV e do Cebraspe. Analise a estrutura hierárquica das ameaças digitais no diagrama a seguir.

Infográfico vertical comparando os escopos do Phishing Tradicional, Spear Phishing, Whaling e Clone Phishing com textos explicativos.
Gráfico de escopo: do ataque genérico em massa (Phishing) ao ataque cirúrgico de alto valor (Whaling).

Phishing Tradicional (Em Massa)

É genérico e distribuído em larga escala. O mesmo e-mail padrão do “Banco X” ou da “Receita Federal” é enviado para 1 milhão de pessoas simultaneamente. O criminoso não sabe se você tem conta naquele banco ou se possui pendências; ele joga com a probabilidade estatística.

Spear Phishing (Pesca com Arpão)

É um ataque altamente direcionado, customizado e personalizado. O golpista estuda o alvo antes de agir (frequentemente coletando dados em redes sociais ou no Portal da Transparência). Ele envia um e-mail personalizado para os funcionários de um setor específico de um Ministério, citando o nome exato do chefe do setor, o cargo da vítima e o projeto em que estão trabalhando no momento.

Whaling (Pesca de Baleias)

É uma variação do Spear Phishing, mas o foco está exclusivamente no topo da pirâmide hierárquica ou em alvos de altíssimo valor financeiro/político. O alvo é o “peixe grande”: o Presidente da estatal, o Diretor Financeiro (CFO), Ministros de Estado ou Magistrados.

  • Cenário Real de Whaling: Um e-mail perfeitamente forjado é direcionado com exclusividade ao Diretor Financeiro de uma autarquia. A mensagem simula vir do e-mail pessoal do Presidente do órgão, exigindo o pagamento ou a transferência urgente e sigilosa de um lote orçamentário para um fornecedor internacional fictício, sob pena de graves sanções institucionais.

Clone Phishing

Nesta modalidade, o invasor intercepta ou obtém acesso a um e-mail legítimo e verdadeiro que já foi enviado anteriormente para a vítima. Ele cria uma cópia idêntica (um clone) desse e-mail, mas altera o link ou o anexo original por um arquivo malicioso. O e-mail clonado é enviado simulando ser uma “atualização”, “correção” ou “reenvio” do e-mail verdadeiro, gerando um falso senso de segurança.

Watering Hole (Ataque do Poço de Água)

Diferente do envio de mensagens, o criminoso identifica quais sites legítimos são frequentemente visitados pelos servidores de um determinado órgão público (ex: um portal de notícias jurídicas locais). O atacante infecta esse site específico com um malware. Quando os servidores acessam o site habitual para trabalhar ou ler notícias, suas máquinas são infectadas. Recebe esse nome em alusão ao predador que espera as presas irem beber água no poço.

Variações do Phishing Baseadas no Vetor de Ataque e Novas Tecnologias

O Phishing evoluiu e ganhou nomes específicos dependendo do canal (vetor) ou da tecnologia utilizada pelo criminoso para abordar o usuário.

Smishing (Ataques via SMS e Mensagens Curtas)

É o Phishing que utiliza mensagens de texto curtas (SMS) ou protocolos mais modernos de comunicação móvel, como o RCS (Rich Communication Services). Geralmente traz links encurtados fraudulentos (ex: bit.ly/suaconta-banco) e mensagens alarmantes sobre pontos do cartão de crédito expirando, entregas falsas de transportadoras ou movimentações suspeitas no Pix.

Vishing (Ataques via Voz e Engenharia de Áudio)

É o Phishing baseado em chamadas de voz. O criminoso utiliza sistemas de telefonia IP (VoIP) para realizar o Spoofing de chamadas (mascarando o número de telefone para fazer parecer o número real do suporte do banco ou do órgão público). A abordagem é inteiramente falada, simulando com precisão centrais de atendimento eletrônicas (URAs) com gravações de padrão profissional.

🚨 Pegadinha de Prova: O Canal do Vishing

A banca vai afirmar que o Vishing é realizado exclusivamente por mensagens de texto escritas via redes sociais. Errado! O Vishing exige obrigatoriamente a interação por VOZ (ligação telefônica tradicional, VoIP ou mensagem de áudio simulada).

Engenharia Social de Última Geração: O Impacto das Inteligências Artificiais e Deepfakes

Nos editais mais recentes, as bancas começaram a cobrar o impacto da Inteligência Artificial Generativa na Segurança da Informação.

Os criminosos utilizam ferramentas de IA para realizar a clonagem de voz por IA e a criação de Deepfakes (vídeos ou áudios manipulados hiper-realistas).

Em um ataque de Engenharia Social moderno, um servidor pode receber uma chamada de vídeo ou um áudio no aplicativo de mensagens com a voz e o rosto exatos do Secretário de

Administração solicitando a liberação emergencial de uma credencial ou dados sigilosos do sistema de pagamento.


🏆 Construa uma preparação completa
Explore centenas de conteúdos organizados por disciplina. Matemática, Português, Direito, Conhecimentos Bancários e muito mais para você estudar com estratégia e aumentar suas chances de aprovação.

LUCAS

Engenheiro e Concurseiro

Gostou do Conteúdo? Compartilhe

Sessão de Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Outros Posts

Principais instituições financeiras: definição, tipos e funções

O que são Instituições Financeiras e como esse tema cai em concursos. Entenda sua função de intermediar recursos e por...

Entenda o Sistema Financeiro Nacional para Gabaritar em Concursos Públicos

O que é o Sistema Financeiro Nacional? Quando comecei a estudar para concursos públicos, percebi que entender o funcionamento do...

pronomes pessoais, de tratamento, possessivos e demonstrativos.

Pronomes pessoais, de tratamento, possessivos e demonstrativos.

Aprenda pronomes para concursos! Guia completo de Pronomes Pessoais, Tratamento, Possessivos e Demonstrativos. Gabarite Cesgranrio, FGV, Cebraspe.

Art. 5º, Incisos 53 a 58 Comentados para concurso público

Incisos 53 a 58 do Art. 5º da CF garantem direitos como juiz natural, ampla defesa, devido processo e presunção...

Art. 5º Incisos 35 a 40 da Constituição Federal Comentados

Dando continuidade ao nosso conteúdo sobre os direitos fundamentais previstos na Constituição Federal, neste texto vamos abordar os incisos 35...

Média, Moda e Mediana: de forma simples para Concurso Público

Domine média, moda e mediana para concursos! Aprenda com exemplos práticos e exercícios resolvidos. Simplifique seus estudos e garanta pontos...

Art. 5º, Incisos 41 a 46 da Constituição Comentados

Dando continuidade ao nosso conteúdo sobre os direitos fundamentais garantidos pela Constituição Federal, neste artigo vou explicar de forma clara...

Pronomes Oblíquos: O Guia Definitivo para Concurso Público

Aprenda tudo sobre pronomes oblíquos para concurso público. Domine as regras, funções sintáticas e colocação pronominal cobradas pelas principais bancas.

Adjetivos: o que são e como não errar nas provas de português dos concursos

Quer mandar bem na prova? Entenda de vez o que são os adjetivos, como usar e não errar nas questões...