A Segurança da Informação tornou-se um dos temas mais relevantes nas provas de Informática para concursos públicos. Entre os assuntos mais cobrados pelas bancas, destacam-se a Engenharia Social e o Phishing, técnicas utilizadas por criminosos para manipular pessoas e obter informações confidenciais. Compreender esses conceitos é fundamental para resolver questões e evitar as armadilhas mais comuns presentes nos editais.
Compreender a fundo essas ameaças é o que diferencia quem fica na fila de espera de quem toma posse. As bancas sabem que a maioria dos candidatos foca apenas em soluções de software (como antivírus) e negligencia o comportamento humano. É exatamente aí que as armadilhas são montadas nos enunciados.
Esta aula foi elaborada estrategicamente para você blindar o seu percentual de acertos, dominar a taxonomia oficial da Cartilha do Cert.br (a bíblia das bancas examinadoras) e aprender a desmascarar as pegadinhas do Cebraspe, FGV, FCC e Vunesp.
A segurança da informação vai muito além de barreiras lógicas e códigos de programação. Para compreender as armadilhas das bancas de concurso, precisamos observar onde reside a verdadeira vulnerabilidade dos sistemas: a mente humana.

O que é Engenharia Social na Segurança da Informação?
Para as bancas de concurso, a Engenharia Social não é classificada como uma falha de sistema ou um bug de programação, mas sim como uma técnica de manipulação psicológica. O foco do ataque não é o computador de forma direta; é o usuário que o opera.
Conceito Oficial (Cert.br)
Engenharia social é uma prática utilizada por criminosos para enganar pessoas, fazendo com que elas revelem informações confidenciais, cliquem em links suspeitos ou executem ações prejudiciais à própria segurança ou à da instituição onde trabalham.
O Fator Humano como o “Elo Mais Fraco” da Segurança
Um órgão público pode investir milhões de reais em firewalls de última geração, criptografia de ponta e sistemas biométricos complexos. No entanto, se um servidor público aceitar uma ligação falsa e fornecer a sua credencial de acesso, toda a estrutura tecnológica terá sido burlada sem disparar um único alarme de invasão cibernética. É por isso que a doutrina afirma reiteradamente que o ser humano é o elo mais fraco da corrente de segurança.
⚠️ Alerta de Prova: Vulnerabilidade Humana vs. Técnica
A Engenharia Social explora o comportamento do usuário (vulnerabilidade humana) e não uma falha de software (vulnerabilidade técnica ou bug do sistema operacional). Se a questão associar Engenharia Social pura a uma falha no código de um programa, o item estará incorreto.
Para iniciar sua jornada com clareza total, observe a tabela comparativa abaixo. Ela sintetiza as principais técnicas exigidas nos editais modernos:
| Técnica | Vetor Principal | Objetivo do Ataque | Alerta de Prova |
| Phishing | E-mail / Mensagens digitais | Pescar dados cadastrais e credenciais. | Exige interação direta do usuário (clique, download ou preenchimento). |
| Pharming | Redirecionamento de DNS | Forçar o acesso a um site falso clonado. | Não depende de clique em link; a URL digitada no navegador está 100% correta. |
| Vishing | Voz (Telefone ou VoIP) | Obter dados sigilosos fingindo ser do suporte técnico. | Explora intensamente o gatilho da autoridade por chamada telefônica. |
| Smishing | SMS ou Mensagens Curtas | Roubar dados via links encurtados fraudulentos. | Usa mensagens de texto urgentes sobre contas ou saldos bloqueados. |
| Tailgating | Meio Físico (Presencial) | Invasão física de áreas restritas de um órgão. | Explora a cortesia e a polidez humana para entrar “de carona”. |
Os Princípios Psicológicos da Engenharia Social (Gatilhos de Prova)
Os criminosos não atacam ao acaso; eles utilizam gatilhos mentais específicos para desativar o senso crítico da vítima. As bancas (especialmente a FGV) adoram criar casos práticos baseados nesses pilares do comportamento humano:
- Autoridade: O atacante se passa por um diretor do órgão, um auditor fiscal ou um técnico de TI sênior. O respeito à hierarquia administrativa faz a vítima obedecer às instruções sem questionar.
- Urgência: “Sua senha institucional irá expirar em 15 minutos”. O senso de imediatismo impede que o servidor verifique a veracidade do remetente ou consulte a equipe de TI.
- Escassez: “Apenas os 10 primeiros servidores que atualizarem o cadastro ganharão acesso ao novo bônus de capacitação”. Explora a oportunidade de perder algo exclusivo.
- Medo: “Se você não atualizar seus dados funcionais imediatamente, seu salário deste mês ficará retido administrativamente”.
- Ganância: Promessas de prêmios, heranças falsas ou vantagens financeiras desproporcionais direcionadas a colaboradores.
🚨 Pegadinha Recorrente: O Ambiente da Engenharia Social
A banca vai tentar te convencer de que a Engenharia Social ocorre exclusivamente no ambiente virtual. Errado! Ela originou-se e ainda é fortemente executada no ambiente físico (chamadas telefônicas, falsificação de crachás, conversas presenciais) e posteriormente migrou para o meio digital.
As questões de cenários práticos exigem que você identifique qual fraqueza comportamental foi explorada. O infográfico abaixo resume os cinco principais gatilhos mentais mapeados pelas bancas.

Principais Técnicas de Engenharia Social Cobradas em Concursos
As bancas examinadoras cobram uma taxonomia muito clara dessas técnicas. Vamos analisar detalhadamente cada uma delas, combinando o rigor conceitual com a prática das provas.
⚠️ Pretexting (Pretexto) e Baiting (Isca)
Pretexting
No Pretexting, o criminoso cria um cenário fictício (um pretexto) bem estruturado e convincente para justificar a solicitação de dados confidenciais que, em situações normais, não seriam fornecidos.
- Exemplo prático: Ligar para um servidor dizendo: “Aqui é da Ouvidoria do Tribunal, estamos atualizando os dados do setor de recursos humanos para o novo plano de cargos. Qual é o seu CPF, matrícula e cargo atual?”
Baiting
No Baiting, utiliza-se uma “isca” física ou digital para atrair a vítima, explorando diretamente a sua curiosidade ou ganância.
- Exemplo prático: O criminoso deixa um pendrive deliberadamente em cima de uma mesa na recepção de um Tribunal com uma etiqueta escrita: “Folha de Pagamento – Sigiloso”. O servidor, movido pela curiosidade, espeta o pendrive em um computador conectado à rede interna do órgão, infectando o sistema com um código malicioso (malware).
Quid Pro Quo (Troca de Favores)
O Quid Pro Quo (expressão em latim que significa “isto por aquilo”) envolve uma promessa de troca direta de um serviço ou benefício técnico em contrapartida à informação solicitada.
- Exemplo prático: O golpista liga para vários ramais de uma repartição pública até achar alguém reclamando de lentidão no sistema de processos. Ele diz: “Sou do suporte de TI e posso resolver essa lentidão agora para você. Basta me passar o seu usuário e senha temporariamente para eu rodar um script”. O funcionário entrega os dados de acesso em troca do suposto “conserto”.
Tailgating (Piggybacking) e Engenharia Social Física
O Tailgating ocorre estritamente no perímetro físico de segurança do órgão. O atacante busca obter acesso a uma área restrita sem possuir uma credencial ou crachá válido.
A Analogia do Porteiro e do Crachá
Imagine um invasor de terno que aguarda próximo à catraca eletrônica de uma autarquia federal. Ele espera um funcionário legítimo passar o crachá e liberar a entrada. Quando o funcionário passa — muitas vezes carregando caixas de arquivo ou objetos pesados —, o invasor aproveita a cortesia do servidor, que segura a porta ou a catraca para ele passar “de carona”, sem apresentar nenhuma identificação formal.
Shoulder Surfing e Dumpster Diving
Duas técnicas clássicas, analógicas e de baixo custo técnico que continuam despencando em provas de concurso de nível técnico e analista:
- Shoulder Surfing (Olhar sobre o ombro): É o ato literal de espiar o que a pessoa está digitando ou visualizando na tela. Ocorre muito em filas de caixas eletrônicos, transporte público ou quando o servidor digita sua senha master na frente de cidadãos no balcão de atendimento.
- Dumpster Diving (Vasculhar o lixo): É a busca por informações valiosas descartadas incorretamente no lixo comum (seja lixo físico ou lixeiras digitais não trituradas). Um relatório impresso jogado no lixo sem passar por uma fragmentadora pode conter dados estratégicos, organogramas confidenciais, CPFs de testemunhas ou senhas anotadas em papéis auto-adesivos (post-its).
🧠 Dica de Memorização: Mapeamento de Termos Físicos
- Tailgating: Lembra “tail” (cauda/atrás). Significa ir colado atrás de alguém na catraca física.
- Shoulder Surfing: Lembra “shoulder” (ombro). Significa surfar/olhar por cima do ombro alheio.
- Dumpster Diving: Lembra “dumpster” (caçamba de lixo). Significa mergulhar no lixo atrás de papelada.
As bancas costumam utilizar os termos em inglês para confundir o candidato. O mapa mental abaixo associa cada técnica ao seu correspondente físico e literal, blindando sua memória para a hora da prova.

Phishing: A Ameaça de Engenharia Social Mais Recorrente
Se a Engenharia Social é o conceito geral (gênero), o Phishing é a espécie mais famosa, automatizada e executada no mundo digital.
O Conceito de Phishing Segundo a Cartilha do Cert.br
O termo vem de fishing (pescar). O criminoso lança uma “linha com anzol e isca” para milhares de usuários na expectativa de que alguns mordam e entreguem seus dados voluntariamente.
Definição oficial: Phishing é um tipo de ataque que utiliza mensagens fraudulentas (normalmente e-mails, mas também páginas web falsas) projetadas para parecerem legítimas, com o objetivo de roubar dados confidenciais, como números de cartões de crédito, senhas e informações de contas bancárias.
🚨 Pegadinha de Prova: Automação vs. Interação
As bancas afirmam com frequência que o Phishing contamina computadores de forma 100% autônoma, atuando de maneira idêntica a um vírus ou Worm. Errado! O Phishing puramente dito depende fundamentalmente de uma ação ou interação da vítima (clicar em um link falso, baixar um anexo malicioso ou preencher um formulário fraudulento).
Variantes Avançadas de Phishing
As bancas adoram inverter os escopos e alvos do Phishing para eliminar candidatos desatentos. Memorize estas distinções cruciais:
Compreender a diferença de escopo e o alvo de cada variante de Phishing é o segredo para não cair nas pegadinhas da FGV e do Cebraspe. Analise a estrutura hierárquica das ameaças digitais no diagrama a seguir.

Phishing Tradicional (Em Massa)
É genérico e distribuído em larga escala. O mesmo e-mail padrão do “Banco X” ou da “Receita Federal” é enviado para 1 milhão de pessoas simultaneamente. O criminoso não sabe se você tem conta naquele banco ou se possui pendências; ele joga com a probabilidade estatística.
Spear Phishing (Pesca com Arpão)
É um ataque altamente direcionado, customizado e personalizado. O golpista estuda o alvo antes de agir (frequentemente coletando dados em redes sociais ou no Portal da Transparência). Ele envia um e-mail personalizado para os funcionários de um setor específico de um Ministério, citando o nome exato do chefe do setor, o cargo da vítima e o projeto em que estão trabalhando no momento.
Whaling (Pesca de Baleias)
É uma variação do Spear Phishing, mas o foco está exclusivamente no topo da pirâmide hierárquica ou em alvos de altíssimo valor financeiro/político. O alvo é o “peixe grande”: o Presidente da estatal, o Diretor Financeiro (CFO), Ministros de Estado ou Magistrados.
- Cenário Real de Whaling: Um e-mail perfeitamente forjado é direcionado com exclusividade ao Diretor Financeiro de uma autarquia. A mensagem simula vir do e-mail pessoal do Presidente do órgão, exigindo o pagamento ou a transferência urgente e sigilosa de um lote orçamentário para um fornecedor internacional fictício, sob pena de graves sanções institucionais.
Clone Phishing
Nesta modalidade, o invasor intercepta ou obtém acesso a um e-mail legítimo e verdadeiro que já foi enviado anteriormente para a vítima. Ele cria uma cópia idêntica (um clone) desse e-mail, mas altera o link ou o anexo original por um arquivo malicioso. O e-mail clonado é enviado simulando ser uma “atualização”, “correção” ou “reenvio” do e-mail verdadeiro, gerando um falso senso de segurança.
Watering Hole (Ataque do Poço de Água)
Diferente do envio de mensagens, o criminoso identifica quais sites legítimos são frequentemente visitados pelos servidores de um determinado órgão público (ex: um portal de notícias jurídicas locais). O atacante infecta esse site específico com um malware. Quando os servidores acessam o site habitual para trabalhar ou ler notícias, suas máquinas são infectadas. Recebe esse nome em alusão ao predador que espera as presas irem beber água no poço.
Variações do Phishing Baseadas no Vetor de Ataque e Novas Tecnologias
O Phishing evoluiu e ganhou nomes específicos dependendo do canal (vetor) ou da tecnologia utilizada pelo criminoso para abordar o usuário.
Smishing (Ataques via SMS e Mensagens Curtas)
É o Phishing que utiliza mensagens de texto curtas (SMS) ou protocolos mais modernos de comunicação móvel, como o RCS (Rich Communication Services). Geralmente traz links encurtados fraudulentos (ex: bit.ly/suaconta-banco) e mensagens alarmantes sobre pontos do cartão de crédito expirando, entregas falsas de transportadoras ou movimentações suspeitas no Pix.
Vishing (Ataques via Voz e Engenharia de Áudio)
É o Phishing baseado em chamadas de voz. O criminoso utiliza sistemas de telefonia IP (VoIP) para realizar o Spoofing de chamadas (mascarando o número de telefone para fazer parecer o número real do suporte do banco ou do órgão público). A abordagem é inteiramente falada, simulando com precisão centrais de atendimento eletrônicas (URAs) com gravações de padrão profissional.
🚨 Pegadinha de Prova: O Canal do Vishing
A banca vai afirmar que o Vishing é realizado exclusivamente por mensagens de texto escritas via redes sociais. Errado! O Vishing exige obrigatoriamente a interação por VOZ (ligação telefônica tradicional, VoIP ou mensagem de áudio simulada).
Engenharia Social de Última Geração: O Impacto das Inteligências Artificiais e Deepfakes
Nos editais mais recentes, as bancas começaram a cobrar o impacto da Inteligência Artificial Generativa na Segurança da Informação.
Os criminosos utilizam ferramentas de IA para realizar a clonagem de voz por IA e a criação de Deepfakes (vídeos ou áudios manipulados hiper-realistas).
Em um ataque de Engenharia Social moderno, um servidor pode receber uma chamada de vídeo ou um áudio no aplicativo de mensagens com a voz e o rosto exatos do Secretário de
Administração solicitando a liberação emergencial de uma credencial ou dados sigilosos do sistema de pagamento.






