Clique para acessar a aula
,desmistificamos a taxonomia dos ataques de Engenharia Social e as principais
vertentes de Phishing baseadas em comportamento e engenharia humana.Nesta aula, avançaremos para os aspectos técnicos da proteção contra essas ameaças, compreendendo como funcionam os protocolos SPF, DKIM e DMARC, quais são suas funções e de que forma as bancas costumam explorar esse conteúdo em questões de concursos públicos.
Antes de destrincharmos as camadas lógicas que protegem os servidores públicos contra golpes sofisticados, visualize a complexidade das conexões e barreiras que formam a nossa infraestrutura de rede atual.

Pharming: O Envenenamento de DNS (Phishing sem Cliques)
O Pharming é classificado por muitas bancas como um tipo avançado ou evolução do Phishing, mas ele possui uma diferença técnica crucial que você deve levar para a prova: ele não depende do clique do usuário em um link fraudulento enviado por mensagem.
No Pharming, ocorre o que chamamos de envenenamento de cache DNS (DNS Cache Poisoning) ou modificação maliciosa do arquivo hosts local do sistema operacional. O DNS (Domain Name System) funciona como a lista telefônica da internet; ele traduz o nome textual que você digita (www.estudaae.com.br) no endereço IP real do servidor onde o site está hospedado.
No ataque de Pharming, o criminoso corrompe esse mapeamento DNS.
- Caso Prático de Pharming: O usuário abre o navegador e digita perfeitamente a URL legítima do banco: www.bb.com.br. O navegador não exibe nenhum alerta de digitação. No entanto, como o arquivo hosts local do computador ou o cache do servidor DNS do roteador Wi-Fi foi previamente envenenado por um malware, o tráfego é redirecionado silenciosamente para um site idêntico clonado e controlado pelo criminoso. O usuário insere suas credenciais achando que está seguro, pois digitou o endereço correto na barra do navegador.
Resumo: Diferença Essencial
- Phishing Clássico: O usuário é enganado a clicar em um link falso enviado a ele. O erro está no link que ele seguiu.
- Pharming: O usuário digita o link correto, mas a infraestrutura de rede (DNS) o direciona para o servidor do criminoso. O erro está na tradução do endereço.
Compreender a diferença prática entre ser induzido ao erro e ter o seu tráfego silenciosamente desviado é um diferencial nas questões de concurso. Observe o fluxo comparativo abaixo.

🧠 Dica de Memorização: Mnemônico dos Vetores
- Smishing = Começa com S de SMS.
- Vishing = Começa com V de Voz (Ligação telefônica / VoIP).
- Pharming = Lembra Fazenda (Farm em inglês). O ataque é plantado na terra (servidor DNS), cresce silenciosamente e colhe os dados sem que a vítima perceba que foi redirecionada.
Como as Bancas Examinadoras Cobram Engenharia Social e Phishing?
Cada banca examinadora possui uma identidade própria de cobrança. Entender o perfil de cada uma poupa tempo de estudo e direciona sua atenção para os pontos corretos do enunciado.
O Perfil do Cebraspe (CESPE): Certo ou Errado e a Literalidade do Cert.br
O Cebraspe prefere itens diretos, mas estruturados com inversões conceituais sutis. Adora afirmar que o Phishing é um programa (software) ou que a Engenharia Social ocorre estritamente de forma automatizada por redes de computadores. Outra tática comum é misturar os conceitos de Phishing e Spoofing.
🚨 Diferença Crucial de Prova: Phishing vs. Spoofing
- Spoofing (Falsificação): É a técnica puramente técnica de falsificar o cabeçalho de um e-mail (Email Spoofing) ou o endereço IP de origem (IP Spoofing) para fingir que a mensagem nasceu de uma fonte confiável.
- Phishing (Pescaria): É o ataque completo, conceitual e social, que usa engenharia social, argumentos psicológicos e links falsos para enganar e capturar (pescar) as credenciais da vítima. O Spoofing é uma ferramenta técnica utilizada dentro do Phishing para dar credibilidade ao golpe.
O Perfil da FGV: Estudos de Caso Complexos e Tomada de Decisão
A FGV raramente cobra conceitos secos ou decoreba pura. Ela cria narrativas longas com personagens fictícios (geralmente servidores públicos ou técnicos de TI de tribunais) enfrentando dilemas operacionais no dia a dia do órgão. O candidato deve analisar o cenário e classificar a conduta.
- Exemplo de enunciado padrão FGV: “João, técnico judiciário do TRT, recebeu uma ligação telefônica de um indivíduo que se identificou como chefe do setor de segurança institucional. O interlocutor exigiu que João confirmasse o código enviado ao seu celular para evitar o bloqueio imediato de suas credenciais de acesso ao PJe. Diante do cenário exposto, a técnica de ataque aplicada corresponde a…” (Resposta correta: Vishing, combinando os gatilhos de Autoridade e Urgência).
O Perfil da FCC e Vunesp: Classificação Direta e Correspondência de Termos
Essas bancas adotam o modelo clássico de múltipla escolha focado na taxonomia do assunto. Elas exigem que você identifique o termo exato correspondente a uma definição fornecida no enunciado ou apresentam questões no formato de associação de colunas (Coluna 1 e Coluna 2).
- Modelo FCC/Vunesp: Assinale a alternativa que apresenta a técnica de engenharia social na qual o criminoso vasculha materiais descartados para obter informações confidenciais. (Resposta correta: Dumpster Diving).
Mecanismos de Proteção e Mitigação contra Engenharia Social
Como a Engenharia Social ataca prioritariamente o elo humano, as defesas puramente tecnológicas (como firewalls e antivírus) não resolvem o problema sozinhas. A proteção eficaz exige uma abordagem em camadas, combinando processos, pessoas e tecnologia.
Políticas de Conscientização e Treinamento Organizacional
É a principal linha de defesa. Campanhas periódicas de simulação controlada de Phishing dentro do órgão público, palestras de segurança da informação e cartilhas comportamentais treinam o servidor para desconfiar de solicitações urgentes, conferir detalhadamente os remetentes dos e-mails e nunca abrir anexos executáveis (extensões como .exe, .scr, .vbs, .bat).
Implicações Administrativas e Legais (Conexão com Legislação)
No serviço público, a falha crassa ou negligência de um funcionário que entrega dados confidenciais por Engenharia Social pode resultar na instauração de um Processo Administrativo Disciplinar (PAD) por descumprimento do dever de guardar sigilo sobre os assuntos da repartição (conforme a Lei 8.112/90).
Além disso, sob as diretrizes da LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018), o vazamento de dados pessoais de cidadãos custodiados pelo Estado decorrente de um ataque de engenharia social pode acarretar sanções administrativas para o órgão e obrigação de reparação civil, fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados).
Tecnologias de Apoio e Protocolos de Autenticação
Embora não sejam 100% infalíveis contra o erro humano, existem tecnologias indispensáveis que reduzem drasticamente o volume de ataques que chegam até o usuário final:
MFA (Autenticação de Múltiplos Fatores)
É a ferramenta técnica mais eficaz para mitigar o impacto do Phishing. Mesmo que o criminoso consiga “pescar” o usuário e a senha do servidor público por meio de um site clonado, ele não conseguirá acessar o sistema institucional se não possuir o segundo fator de autenticação, que pode ser:
- Um código temporário (token TOTP) gerado em um aplicativo no celular do servidor.
- Uma chave física de segurança de hardware.
- A validação biométrica (impressão digital ou leitura facial).
Filtros de Anti-Spam e Filtros de Conteúdo Email
Bloqueiam e-mails em massa baseados em reputação de blocos de IPs, listas de bloqueio (blacklists) e análise heurística de palavras-chave suspeitas no corpo da mensagem.
A Tríade de Defesa e Autenticação de E-mail (Termos Avançados de Prova)
As bancas de alto nível técnico cobram os três protocolos abaixo, fundamentais para combater o Email Spoofing e, consequentemente, o Phishing por e-mail:
SPF
Sender Policy FrameworkRegistro TXT publicado no DNS que informa quais servidores e endereços IP estão autorizados a enviar e-mails em nome de um domínio.
DKIM
DomainKeys Identified MailAdiciona uma assinatura criptográfica ao e-mail. O servidor de destino verifica essa assinatura utilizando uma chave pública.
DMARC
Domain-based Message AuthenticationUtiliza os resultados do SPF e do DKIM para definir como o servidor deverá tratar e-mails que falharem na autenticação.
- none → apenas monitora.
- quarantine → envia para Spam.
- reject → bloqueia o e-mail.
Para gabaritar as questões de TI e redes das bancas mais exigentes, analise como os protocolos SPF, DKIM e DMARC atuam em camadas complementares para blindar os servidores de e-mail.

Resumo Estratégico para Revisão de Véspera (Reta Final)
Use este bloco estruturado para fixar os conceitos principais antes de entrar no local de prova:
Engenharia Social
Técnica baseada na exploração de vulnerabilidades psicológicas e comportamentais humanas. O homem é tratado como o elo mais fraco. Não se confunde com bug de software.
Phishing
Ataque digital que busca roubar credenciais por meio de mensagens fraudulentas que simulam marcas legítimas. Exige ação da vítima.
Spear Phishing
Variação do Phishing focada, personalizada e direcionada a um grupo ou indivíduo específico.
Whaling
Modalidade de Phishing direcionada à alta liderança, executivos e autoridades institucionais (“peixes grandes”).
Clone Phishing
Duplicação de um e-mail legítimo enviado anteriormente, substituindo links e anexos por versões maliciosas.
Watering Hole
Infecção de sites legítimos frequentemente acessados pelo grupo alvo escolhido pelo atacante.
Smishing
Phishing realizado por meio de mensagens SMS ou outros aplicativos de mensagens em dispositivos móveis.
Vishing
Phishing executado por chamadas telefônicas ou VoIP, muitas vezes utilizando gravações profissionais ou clonagem de voz por IA.
Pharming
Ataque que altera registros DNS ou o arquivo hosts, redirecionando o usuário para um site falso mesmo digitando a URL correta.
Tailgating
Invasão física em que o atacante aproveita a entrada de um funcionário para acessar áreas restritas sem autenticação.
Shoulder Surfing
Obtenção de informações sigilosas observando a tela ou a digitação da vítima por cima do ombro.
Dumpster Diving
Coleta de informações estratégicas em documentos descartados incorretamente no lixo.
MFA
Autenticação Multifator. Principal barreira para impedir o uso de senhas obtidas em ataques de Phishing.
SPF • DKIM • DMARC
Mecanismos de autenticação de e-mails que validam remetentes, garantem integridade das mensagens e definem políticas contra fraudes.
Questões de Concurso Comentadas e Inéditas
Para fixar todo esse conhecimento e garantir seus pontos na prova, resolva as questões com perfis de bancas diferentes apresentadas abaixo:
Seu objetivo é explorar o comportamento humano por meio de técnicas de manipulação psicológica, convencendo a vítima a clicar em links, abrir arquivos maliciosos ou fornecer informações confidenciais.
Em concursos, lembre-se de que ataques como o Phishing dependem da interação da vítima e são exemplos clássicos de Engenharia Social.
Se a questão afirmar que ela utiliza vírus, malware, criptografia ou invasões automáticas, desconfie: normalmente a alternativa estará errada.
Dois técnicos clicaram no endereço indicado e digitaram suas credenciais de rede em uma página visualmente idêntica à do órgão.
O cenário descrito caracteriza uma campanha de:
O ataque foi direcionado aos servidores daquela autarquia federal, característica típica do Spear Phishing, modalidade de phishing personalizada para um grupo específico de vítimas.
Os criminosos utilizaram dois importantes gatilhos da Engenharia Social:
• Autoridade: a mensagem aparentava ter sido enviada pelo Diretor-Geral da instituição.
• Urgência: foi estabelecido um prazo de apenas duas horas, acompanhado da ameaça de suspensão do acesso aos sistemas, reduzindo o senso crítico das vítimas.
A combinação desses fatores levou os servidores a acessar uma página falsa e informar suas credenciais, objetivo clássico de um ataque de phishing.
✔ Phishing → ataque genérico.
✔ Spear Phishing → ataque direcionado a uma pessoa ou grupo específico.
✔ Whaling → ataque voltado para altos executivos e autoridades.
Sempre que a banca mencionar informações específicas sobre a vítima, cargo, empresa ou órgão público, a resposta costuma ser Spear Phishing.







