Engenharia Social e Phishing — Parte 2: Pharming, Perfil das Bancas e Mecanismos de Defesa

Na primeira aula sobreEngenharia Social e Técnicas de AtaquesEngenharia Social e Técnicas de Ataques Clique para acessar a aula ,desmistificamos a taxonomia dos ataques de Engenharia Social e as principais vertentes de Phishing baseadas em comportamento e engenharia humana.

Nesta aula, avançaremos para os aspectos técnicos da proteção contra essas ameaças, compreendendo como funcionam os protocolos SPF, DKIM e DMARC, quais são suas funções e de que forma as bancas costumam explorar esse conteúdo em questões de concursos públicos.

Antes de destrincharmos as camadas lógicas que protegem os servidores públicos contra golpes sofisticados, visualize a complexidade das conexões e barreiras que formam a nossa infraestrutura de rede atual.

Um cadeado de aço escovado com LED azul ao lado de um cabo de fibra óptica iluminado conectado a um servidor de rede em ambiente de TI.
A segurança lógica e a proteção de redes exigem barreiras tecnológicas robustas.

Pharming: O Envenenamento de DNS (Phishing sem Cliques)

O Pharming é classificado por muitas bancas como um tipo avançado ou evolução do Phishing, mas ele possui uma diferença técnica crucial que você deve levar para a prova: ele não depende do clique do usuário em um link fraudulento enviado por mensagem.

No Pharming, ocorre o que chamamos de envenenamento de cache DNS (DNS Cache Poisoning) ou modificação maliciosa do arquivo hosts local do sistema operacional. O DNS (Domain Name System) funciona como a lista telefônica da internet; ele traduz o nome textual que você digita (www.estudaae.com.br) no endereço IP real do servidor onde o site está hospedado.

No ataque de Pharming, o criminoso corrompe esse mapeamento DNS.

  • Caso Prático de Pharming: O usuário abre o navegador e digita perfeitamente a URL legítima do banco: www.bb.com.br. O navegador não exibe nenhum alerta de digitação. No entanto, como o arquivo hosts local do computador ou o cache do servidor DNS do roteador Wi-Fi foi previamente envenenado por um malware, o tráfego é redirecionado silenciosamente para um site idêntico clonado e controlado pelo criminoso. O usuário insere suas credenciais achando que está seguro, pois digitou o endereço correto na barra do navegador.

Resumo: Diferença Essencial

  • Phishing Clássico: O usuário é enganado a clicar em um link falso enviado a ele. O erro está no link que ele seguiu.
  • Pharming: O usuário digita o link correto, mas a infraestrutura de rede (DNS) o direciona para o servidor do criminoso. O erro está na tradução do endereço.

Compreender a diferença prática entre ser induzido ao erro e ter o seu tráfego silenciosamente desviado é um diferencial nas questões de concurso. Observe o fluxo comparativo abaixo.

Infográfico comparativo exibindo o fluxo do Phishing Clássico através de clique em link falso versus o fluxo do Pharming através do envenenamento de DNS.
Infográfico: A diferença crucial nos mecanismos de ataque entre Phishing e Pharming.

🧠 Dica de Memorização: Mnemônico dos Vetores

  • Smishing = Começa com S de SMS.
  • Vishing = Começa com V de Voz (Ligação telefônica / VoIP).
  • Pharming = Lembra Fazenda (Farm em inglês). O ataque é plantado na terra (servidor DNS), cresce silenciosamente e colhe os dados sem que a vítima perceba que foi redirecionada.

Como as Bancas Examinadoras Cobram Engenharia Social e Phishing?

Cada banca examinadora possui uma identidade própria de cobrança. Entender o perfil de cada uma poupa tempo de estudo e direciona sua atenção para os pontos corretos do enunciado.

O Perfil do Cebraspe (CESPE): Certo ou Errado e a Literalidade do Cert.br

O Cebraspe prefere itens diretos, mas estruturados com inversões conceituais sutis. Adora afirmar que o Phishing é um programa (software) ou que a Engenharia Social ocorre estritamente de forma automatizada por redes de computadores. Outra tática comum é misturar os conceitos de Phishing e Spoofing.

🚨 Diferença Crucial de Prova: Phishing vs. Spoofing

  • Spoofing (Falsificação): É a técnica puramente técnica de falsificar o cabeçalho de um e-mail (Email Spoofing) ou o endereço IP de origem (IP Spoofing) para fingir que a mensagem nasceu de uma fonte confiável.
  • Phishing (Pescaria): É o ataque completo, conceitual e social, que usa engenharia social, argumentos psicológicos e links falsos para enganar e capturar (pescar) as credenciais da vítima. O Spoofing é uma ferramenta técnica utilizada dentro do Phishing para dar credibilidade ao golpe.

O Perfil da FGV: Estudos de Caso Complexos e Tomada de Decisão

A FGV raramente cobra conceitos secos ou decoreba pura. Ela cria narrativas longas com personagens fictícios (geralmente servidores públicos ou técnicos de TI de tribunais) enfrentando dilemas operacionais no dia a dia do órgão. O candidato deve analisar o cenário e classificar a conduta.

  • Exemplo de enunciado padrão FGV: “João, técnico judiciário do TRT, recebeu uma ligação telefônica de um indivíduo que se identificou como chefe do setor de segurança institucional. O interlocutor exigiu que João confirmasse o código enviado ao seu celular para evitar o bloqueio imediato de suas credenciais de acesso ao PJe. Diante do cenário exposto, a técnica de ataque aplicada corresponde a…” (Resposta correta: Vishing, combinando os gatilhos de Autoridade e Urgência).

O Perfil da FCC e Vunesp: Classificação Direta e Correspondência de Termos

Essas bancas adotam o modelo clássico de múltipla escolha focado na taxonomia do assunto. Elas exigem que você identifique o termo exato correspondente a uma definição fornecida no enunciado ou apresentam questões no formato de associação de colunas (Coluna 1 e Coluna 2).

  • Modelo FCC/Vunesp: Assinale a alternativa que apresenta a técnica de engenharia social na qual o criminoso vasculha materiais descartados para obter informações confidenciais. (Resposta correta: Dumpster Diving).

Mecanismos de Proteção e Mitigação contra Engenharia Social

Como a Engenharia Social ataca prioritariamente o elo humano, as defesas puramente tecnológicas (como firewalls e antivírus) não resolvem o problema sozinhas. A proteção eficaz exige uma abordagem em camadas, combinando processos, pessoas e tecnologia.

Políticas de Conscientização e Treinamento Organizacional

É a principal linha de defesa. Campanhas periódicas de simulação controlada de Phishing dentro do órgão público, palestras de segurança da informação e cartilhas comportamentais treinam o servidor para desconfiar de solicitações urgentes, conferir detalhadamente os remetentes dos e-mails e nunca abrir anexos executáveis (extensões como .exe, .scr, .vbs, .bat).

Implicações Administrativas e Legais (Conexão com Legislação)

No serviço público, a falha crassa ou negligência de um funcionário que entrega dados confidenciais por Engenharia Social pode resultar na instauração de um Processo Administrativo Disciplinar (PAD) por descumprimento do dever de guardar sigilo sobre os assuntos da repartição (conforme a Lei 8.112/90).

Além disso, sob as diretrizes da LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018), o vazamento de dados pessoais de cidadãos custodiados pelo Estado decorrente de um ataque de engenharia social pode acarretar sanções administrativas para o órgão e obrigação de reparação civil, fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados).

Tecnologias de Apoio e Protocolos de Autenticação

Embora não sejam 100% infalíveis contra o erro humano, existem tecnologias indispensáveis que reduzem drasticamente o volume de ataques que chegam até o usuário final:

MFA (Autenticação de Múltiplos Fatores)

É a ferramenta técnica mais eficaz para mitigar o impacto do Phishing. Mesmo que o criminoso consiga “pescar” o usuário e a senha do servidor público por meio de um site clonado, ele não conseguirá acessar o sistema institucional se não possuir o segundo fator de autenticação, que pode ser:

  • Um código temporário (token TOTP) gerado em um aplicativo no celular do servidor.
  • Uma chave física de segurança de hardware.
  • A validação biométrica (impressão digital ou leitura facial).

Filtros de Anti-Spam e Filtros de Conteúdo Email

Bloqueiam e-mails em massa baseados em reputação de blocos de IPs, listas de bloqueio (blacklists) e análise heurística de palavras-chave suspeitas no corpo da mensagem.

A Tríade de Defesa e Autenticação de E-mail (Termos Avançados de Prova)

As bancas de alto nível técnico cobram os três protocolos abaixo, fundamentais para combater o Email Spoofing e, consequentemente, o Phishing por e-mail:

Para gabaritar as questões de TI e redes das bancas mais exigentes, analise como os protocolos SPF, DKIM e DMARC atuam em camadas complementares para blindar os servidores de e-mail.

Infográfico em camadas exibindo o funcionamento dos protocolos SPF para IP, DKIM para assinatura criptográfica e DMARC para regras de rejeição de e-mail.
Infográfico: As três camadas de autenticação da tríade de proteção de e-mails.

Resumo Estratégico para Revisão de Véspera (Reta Final)

Use este bloco estruturado para fixar os conceitos principais antes de entrar no local de prova:

🎭

Engenharia Social

Técnica baseada na exploração de vulnerabilidades psicológicas e comportamentais humanas. O homem é tratado como o elo mais fraco. Não se confunde com bug de software.

🎣

Phishing

Ataque digital que busca roubar credenciais por meio de mensagens fraudulentas que simulam marcas legítimas. Exige ação da vítima.

🎯

Spear Phishing

Variação do Phishing focada, personalizada e direcionada a um grupo ou indivíduo específico.

🐋

Whaling

Modalidade de Phishing direcionada à alta liderança, executivos e autoridades institucionais (“peixes grandes”).

📧

Clone Phishing

Duplicação de um e-mail legítimo enviado anteriormente, substituindo links e anexos por versões maliciosas.

🌐

Watering Hole

Infecção de sites legítimos frequentemente acessados pelo grupo alvo escolhido pelo atacante.

📱

Smishing

Phishing realizado por meio de mensagens SMS ou outros aplicativos de mensagens em dispositivos móveis.

☎️

Vishing

Phishing executado por chamadas telefônicas ou VoIP, muitas vezes utilizando gravações profissionais ou clonagem de voz por IA.

🌍

Pharming

Ataque que altera registros DNS ou o arquivo hosts, redirecionando o usuário para um site falso mesmo digitando a URL correta.

🚪

Tailgating

Invasão física em que o atacante aproveita a entrada de um funcionário para acessar áreas restritas sem autenticação.

👀

Shoulder Surfing

Obtenção de informações sigilosas observando a tela ou a digitação da vítima por cima do ombro.

🗑️

Dumpster Diving

Coleta de informações estratégicas em documentos descartados incorretamente no lixo.

🔒

MFA

Autenticação Multifator. Principal barreira para impedir o uso de senhas obtidas em ataques de Phishing.

🛡️

SPF • DKIM • DMARC

Mecanismos de autenticação de e-mails que validam remetentes, garantem integridade das mensagens e definem políticas contra fraudes.

Questões de Concurso Comentadas e Inéditas

Para fixar todo esse conhecimento e garantir seus pontos na prova, resolva as questões com perfis de bancas diferentes apresentadas abaixo:

Questão 1
Estilo Cebraspe
📝 Enunciado
A engenharia social consiste em um método de ataque cibernético baseado em algoritmos criptográficos automatizados que infectam sistemas operacionais e capturam credenciais de usuários sem a necessidade de interação humana.
( ) Certo
( ) Errado
✅ GabaritoErrado
💬 Resolução Comentada
A afirmativa está incorreta, pois a Engenharia Social não utiliza algoritmos criptográficos nem infecta sistemas automaticamente.

Seu objetivo é explorar o comportamento humano por meio de técnicas de manipulação psicológica, convencendo a vítima a clicar em links, abrir arquivos maliciosos ou fornecer informações confidenciais.

Em concursos, lembre-se de que ataques como o Phishing dependem da interação da vítima e são exemplos clássicos de Engenharia Social.
💡 Dica para Concursos
Engenharia Social = Explora Pessoas.

Se a questão afirmar que ela utiliza vírus, malware, criptografia ou invasões automáticas, desconfie: normalmente a alternativa estará errada.
Questão 2
Estilo Cebraspe
📝 Enunciado
O setor de protocolo de uma autarquia federal recebeu um lote de correspondências eletrônicas. Uma delas, supostamente emitida pelo Diretor-Geral, solicitava que todos os servidores clicassem em um link oculto para atualizar com urgência seus dados funcionais nas próximas duas horas, sob pena de suspensão imediata de seus acessos aos sistemas de pagamento.

Dois técnicos clicaram no endereço indicado e digitaram suas credenciais de rede em uma página visualmente idêntica à do órgão.

O cenário descrito caracteriza uma campanha de:
A) Pharming direcionado baseado em quebra de chaves SPF
B) Spear Phishing explorando gatilhos de autoridade e urgência
C) Dumpster Diving corporativo focado em interceptação lógica
D) Vishing em massa com uso de criptografia simétrica
✅ GabaritoB
💬 Resolução Comentada
A alternativa B está correta.

O ataque foi direcionado aos servidores daquela autarquia federal, característica típica do Spear Phishing, modalidade de phishing personalizada para um grupo específico de vítimas.

Os criminosos utilizaram dois importantes gatilhos da Engenharia Social:

Autoridade: a mensagem aparentava ter sido enviada pelo Diretor-Geral da instituição.

Urgência: foi estabelecido um prazo de apenas duas horas, acompanhado da ameaça de suspensão do acesso aos sistemas, reduzindo o senso crítico das vítimas.

A combinação desses fatores levou os servidores a acessar uma página falsa e informar suas credenciais, objetivo clássico de um ataque de phishing.
💡 Dica para Concursos
Memorize:

Phishing → ataque genérico.
Spear Phishing → ataque direcionado a uma pessoa ou grupo específico.
Whaling → ataque voltado para altos executivos e autoridades.

Sempre que a banca mencionar informações específicas sobre a vítima, cargo, empresa ou órgão público, a resposta costuma ser Spear Phishing.
📝 Aprenda na prática com mais exercícios resolvidos
Resolver questões é uma das formas mais eficientes de consolidar o conteúdo e identificar os assuntos mais cobrados pelas bancas. Explore nossa coleção de exercícios resolvidos passo a passo em Matemática, Português, Direito, Conhecimentos Bancários e diversas outras disciplinas.
🏆 Construa uma preparação completa
Explore centenas de conteúdos organizados por disciplina. Matemática, Português, Direito, Conhecimentos Bancários e muito mais para você estudar com estratégia e aumentar suas chances de aprovação.

LUCAS

Engenheiro e Concurseiro

Gostou do Conteúdo? Compartilhe

Sessão de Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

📚 Outras Aulas

Engenharia Social e Phishing — Parte 2: Pharming, Perfil das Bancas e Mecanismos de Defesa

Na primeira aula sobreEngenharia Social e Técnicas de AtaquesEngenharia Social e Técnicas de Ataques Clique para acessar a aula ,desmistificamos a taxonomia dos ataques de Engenharia Social e as principais vertentes de Phishing baseadas em comportamento e engenharia humana.

Nesta aula, avançaremos para os aspectos técnicos da proteção contra essas ameaças, compreendendo como funcionam os protocolos SPF, DKIM e DMARC, quais são suas funções e de que forma as bancas costumam explorar esse conteúdo em questões de concursos públicos.

Antes de destrincharmos as camadas lógicas que protegem os servidores públicos contra golpes sofisticados, visualize a complexidade das conexões e barreiras que formam a nossa infraestrutura de rede atual.

Um cadeado de aço escovado com LED azul ao lado de um cabo de fibra óptica iluminado conectado a um servidor de rede em ambiente de TI.
A segurança lógica e a proteção de redes exigem barreiras tecnológicas robustas.

Pharming: O Envenenamento de DNS (Phishing sem Cliques)

O Pharming é classificado por muitas bancas como um tipo avançado ou evolução do Phishing, mas ele possui uma diferença técnica crucial que você deve levar para a prova: ele não depende do clique do usuário em um link fraudulento enviado por mensagem.

No Pharming, ocorre o que chamamos de envenenamento de cache DNS (DNS Cache Poisoning) ou modificação maliciosa do arquivo hosts local do sistema operacional. O DNS (Domain Name System) funciona como a lista telefônica da internet; ele traduz o nome textual que você digita (www.estudaae.com.br) no endereço IP real do servidor onde o site está hospedado.

No ataque de Pharming, o criminoso corrompe esse mapeamento DNS.

  • Caso Prático de Pharming: O usuário abre o navegador e digita perfeitamente a URL legítima do banco: www.bb.com.br. O navegador não exibe nenhum alerta de digitação. No entanto, como o arquivo hosts local do computador ou o cache do servidor DNS do roteador Wi-Fi foi previamente envenenado por um malware, o tráfego é redirecionado silenciosamente para um site idêntico clonado e controlado pelo criminoso. O usuário insere suas credenciais achando que está seguro, pois digitou o endereço correto na barra do navegador.

Resumo: Diferença Essencial

  • Phishing Clássico: O usuário é enganado a clicar em um link falso enviado a ele. O erro está no link que ele seguiu.
  • Pharming: O usuário digita o link correto, mas a infraestrutura de rede (DNS) o direciona para o servidor do criminoso. O erro está na tradução do endereço.

Compreender a diferença prática entre ser induzido ao erro e ter o seu tráfego silenciosamente desviado é um diferencial nas questões de concurso. Observe o fluxo comparativo abaixo.

Infográfico comparativo exibindo o fluxo do Phishing Clássico através de clique em link falso versus o fluxo do Pharming através do envenenamento de DNS.
Infográfico: A diferença crucial nos mecanismos de ataque entre Phishing e Pharming.

🧠 Dica de Memorização: Mnemônico dos Vetores

  • Smishing = Começa com S de SMS.
  • Vishing = Começa com V de Voz (Ligação telefônica / VoIP).
  • Pharming = Lembra Fazenda (Farm em inglês). O ataque é plantado na terra (servidor DNS), cresce silenciosamente e colhe os dados sem que a vítima perceba que foi redirecionada.

Como as Bancas Examinadoras Cobram Engenharia Social e Phishing?

Cada banca examinadora possui uma identidade própria de cobrança. Entender o perfil de cada uma poupa tempo de estudo e direciona sua atenção para os pontos corretos do enunciado.

O Perfil do Cebraspe (CESPE): Certo ou Errado e a Literalidade do Cert.br

O Cebraspe prefere itens diretos, mas estruturados com inversões conceituais sutis. Adora afirmar que o Phishing é um programa (software) ou que a Engenharia Social ocorre estritamente de forma automatizada por redes de computadores. Outra tática comum é misturar os conceitos de Phishing e Spoofing.

🚨 Diferença Crucial de Prova: Phishing vs. Spoofing

  • Spoofing (Falsificação): É a técnica puramente técnica de falsificar o cabeçalho de um e-mail (Email Spoofing) ou o endereço IP de origem (IP Spoofing) para fingir que a mensagem nasceu de uma fonte confiável.
  • Phishing (Pescaria): É o ataque completo, conceitual e social, que usa engenharia social, argumentos psicológicos e links falsos para enganar e capturar (pescar) as credenciais da vítima. O Spoofing é uma ferramenta técnica utilizada dentro do Phishing para dar credibilidade ao golpe.

O Perfil da FGV: Estudos de Caso Complexos e Tomada de Decisão

A FGV raramente cobra conceitos secos ou decoreba pura. Ela cria narrativas longas com personagens fictícios (geralmente servidores públicos ou técnicos de TI de tribunais) enfrentando dilemas operacionais no dia a dia do órgão. O candidato deve analisar o cenário e classificar a conduta.

  • Exemplo de enunciado padrão FGV: “João, técnico judiciário do TRT, recebeu uma ligação telefônica de um indivíduo que se identificou como chefe do setor de segurança institucional. O interlocutor exigiu que João confirmasse o código enviado ao seu celular para evitar o bloqueio imediato de suas credenciais de acesso ao PJe. Diante do cenário exposto, a técnica de ataque aplicada corresponde a…” (Resposta correta: Vishing, combinando os gatilhos de Autoridade e Urgência).

O Perfil da FCC e Vunesp: Classificação Direta e Correspondência de Termos

Essas bancas adotam o modelo clássico de múltipla escolha focado na taxonomia do assunto. Elas exigem que você identifique o termo exato correspondente a uma definição fornecida no enunciado ou apresentam questões no formato de associação de colunas (Coluna 1 e Coluna 2).

  • Modelo FCC/Vunesp: Assinale a alternativa que apresenta a técnica de engenharia social na qual o criminoso vasculha materiais descartados para obter informações confidenciais. (Resposta correta: Dumpster Diving).

Mecanismos de Proteção e Mitigação contra Engenharia Social

Como a Engenharia Social ataca prioritariamente o elo humano, as defesas puramente tecnológicas (como firewalls e antivírus) não resolvem o problema sozinhas. A proteção eficaz exige uma abordagem em camadas, combinando processos, pessoas e tecnologia.

Políticas de Conscientização e Treinamento Organizacional

É a principal linha de defesa. Campanhas periódicas de simulação controlada de Phishing dentro do órgão público, palestras de segurança da informação e cartilhas comportamentais treinam o servidor para desconfiar de solicitações urgentes, conferir detalhadamente os remetentes dos e-mails e nunca abrir anexos executáveis (extensões como .exe, .scr, .vbs, .bat).

Implicações Administrativas e Legais (Conexão com Legislação)

No serviço público, a falha crassa ou negligência de um funcionário que entrega dados confidenciais por Engenharia Social pode resultar na instauração de um Processo Administrativo Disciplinar (PAD) por descumprimento do dever de guardar sigilo sobre os assuntos da repartição (conforme a Lei 8.112/90).

Além disso, sob as diretrizes da LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018), o vazamento de dados pessoais de cidadãos custodiados pelo Estado decorrente de um ataque de engenharia social pode acarretar sanções administrativas para o órgão e obrigação de reparação civil, fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados).

Tecnologias de Apoio e Protocolos de Autenticação

Embora não sejam 100% infalíveis contra o erro humano, existem tecnologias indispensáveis que reduzem drasticamente o volume de ataques que chegam até o usuário final:

MFA (Autenticação de Múltiplos Fatores)

É a ferramenta técnica mais eficaz para mitigar o impacto do Phishing. Mesmo que o criminoso consiga “pescar” o usuário e a senha do servidor público por meio de um site clonado, ele não conseguirá acessar o sistema institucional se não possuir o segundo fator de autenticação, que pode ser:

  • Um código temporário (token TOTP) gerado em um aplicativo no celular do servidor.
  • Uma chave física de segurança de hardware.
  • A validação biométrica (impressão digital ou leitura facial).

Filtros de Anti-Spam e Filtros de Conteúdo Email

Bloqueiam e-mails em massa baseados em reputação de blocos de IPs, listas de bloqueio (blacklists) e análise heurística de palavras-chave suspeitas no corpo da mensagem.

A Tríade de Defesa e Autenticação de E-mail (Termos Avançados de Prova)

As bancas de alto nível técnico cobram os três protocolos abaixo, fundamentais para combater o Email Spoofing e, consequentemente, o Phishing por e-mail:

Para gabaritar as questões de TI e redes das bancas mais exigentes, analise como os protocolos SPF, DKIM e DMARC atuam em camadas complementares para blindar os servidores de e-mail.

Infográfico em camadas exibindo o funcionamento dos protocolos SPF para IP, DKIM para assinatura criptográfica e DMARC para regras de rejeição de e-mail.
Infográfico: As três camadas de autenticação da tríade de proteção de e-mails.

Resumo Estratégico para Revisão de Véspera (Reta Final)

Use este bloco estruturado para fixar os conceitos principais antes de entrar no local de prova:

🎭

Engenharia Social

Técnica baseada na exploração de vulnerabilidades psicológicas e comportamentais humanas. O homem é tratado como o elo mais fraco. Não se confunde com bug de software.

🎣

Phishing

Ataque digital que busca roubar credenciais por meio de mensagens fraudulentas que simulam marcas legítimas. Exige ação da vítima.

🎯

Spear Phishing

Variação do Phishing focada, personalizada e direcionada a um grupo ou indivíduo específico.

🐋

Whaling

Modalidade de Phishing direcionada à alta liderança, executivos e autoridades institucionais (“peixes grandes”).

📧

Clone Phishing

Duplicação de um e-mail legítimo enviado anteriormente, substituindo links e anexos por versões maliciosas.

🌐

Watering Hole

Infecção de sites legítimos frequentemente acessados pelo grupo alvo escolhido pelo atacante.

📱

Smishing

Phishing realizado por meio de mensagens SMS ou outros aplicativos de mensagens em dispositivos móveis.

☎️

Vishing

Phishing executado por chamadas telefônicas ou VoIP, muitas vezes utilizando gravações profissionais ou clonagem de voz por IA.

🌍

Pharming

Ataque que altera registros DNS ou o arquivo hosts, redirecionando o usuário para um site falso mesmo digitando a URL correta.

🚪

Tailgating

Invasão física em que o atacante aproveita a entrada de um funcionário para acessar áreas restritas sem autenticação.

👀

Shoulder Surfing

Obtenção de informações sigilosas observando a tela ou a digitação da vítima por cima do ombro.

🗑️

Dumpster Diving

Coleta de informações estratégicas em documentos descartados incorretamente no lixo.

🔒

MFA

Autenticação Multifator. Principal barreira para impedir o uso de senhas obtidas em ataques de Phishing.

🛡️

SPF • DKIM • DMARC

Mecanismos de autenticação de e-mails que validam remetentes, garantem integridade das mensagens e definem políticas contra fraudes.

Questões de Concurso Comentadas e Inéditas

Para fixar todo esse conhecimento e garantir seus pontos na prova, resolva as questões com perfis de bancas diferentes apresentadas abaixo:

Questão 1
Estilo Cebraspe
📝 Enunciado
A engenharia social consiste em um método de ataque cibernético baseado em algoritmos criptográficos automatizados que infectam sistemas operacionais e capturam credenciais de usuários sem a necessidade de interação humana.
( ) Certo
( ) Errado
✅ GabaritoErrado
💬 Resolução Comentada
A afirmativa está incorreta, pois a Engenharia Social não utiliza algoritmos criptográficos nem infecta sistemas automaticamente.

Seu objetivo é explorar o comportamento humano por meio de técnicas de manipulação psicológica, convencendo a vítima a clicar em links, abrir arquivos maliciosos ou fornecer informações confidenciais.

Em concursos, lembre-se de que ataques como o Phishing dependem da interação da vítima e são exemplos clássicos de Engenharia Social.
💡 Dica para Concursos
Engenharia Social = Explora Pessoas.

Se a questão afirmar que ela utiliza vírus, malware, criptografia ou invasões automáticas, desconfie: normalmente a alternativa estará errada.
Questão 2
Estilo Cebraspe
📝 Enunciado
O setor de protocolo de uma autarquia federal recebeu um lote de correspondências eletrônicas. Uma delas, supostamente emitida pelo Diretor-Geral, solicitava que todos os servidores clicassem em um link oculto para atualizar com urgência seus dados funcionais nas próximas duas horas, sob pena de suspensão imediata de seus acessos aos sistemas de pagamento.

Dois técnicos clicaram no endereço indicado e digitaram suas credenciais de rede em uma página visualmente idêntica à do órgão.

O cenário descrito caracteriza uma campanha de:
A) Pharming direcionado baseado em quebra de chaves SPF
B) Spear Phishing explorando gatilhos de autoridade e urgência
C) Dumpster Diving corporativo focado em interceptação lógica
D) Vishing em massa com uso de criptografia simétrica
✅ GabaritoB
💬 Resolução Comentada
A alternativa B está correta.

O ataque foi direcionado aos servidores daquela autarquia federal, característica típica do Spear Phishing, modalidade de phishing personalizada para um grupo específico de vítimas.

Os criminosos utilizaram dois importantes gatilhos da Engenharia Social:

Autoridade: a mensagem aparentava ter sido enviada pelo Diretor-Geral da instituição.

Urgência: foi estabelecido um prazo de apenas duas horas, acompanhado da ameaça de suspensão do acesso aos sistemas, reduzindo o senso crítico das vítimas.

A combinação desses fatores levou os servidores a acessar uma página falsa e informar suas credenciais, objetivo clássico de um ataque de phishing.
💡 Dica para Concursos
Memorize:

Phishing → ataque genérico.
Spear Phishing → ataque direcionado a uma pessoa ou grupo específico.
Whaling → ataque voltado para altos executivos e autoridades.

Sempre que a banca mencionar informações específicas sobre a vítima, cargo, empresa ou órgão público, a resposta costuma ser Spear Phishing.
📝 Aprenda na prática com mais exercícios resolvidos
Resolver questões é uma das formas mais eficientes de consolidar o conteúdo e identificar os assuntos mais cobrados pelas bancas. Explore nossa coleção de exercícios resolvidos passo a passo em Matemática, Português, Direito, Conhecimentos Bancários e diversas outras disciplinas.
🏆 Construa uma preparação completa
Explore centenas de conteúdos organizados por disciplina. Matemática, Português, Direito, Conhecimentos Bancários e muito mais para você estudar com estratégia e aumentar suas chances de aprovação.

LUCAS

Engenheiro e Concurseiro

Gostou do Conteúdo? Compartilhe

Sessão de Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Outros Posts

Permutação Simples e com Repetição para Concursos

Entenda de forma fácil o que é permutação simples e permutação com repetição, dois temas muito cobrados em provas de...

Engenharia Social e Técnicas de Ataque para Concursos Públicos

Engenharia Social e Phishing para Concursos Públicos — Parte 1: As Técnicas de Ataque e a Taxonomia das Bancas

A Segurança da Informação tornou-se um dos temas mais relevantes nas provas de Informática para concursos públicos. Entre os assuntos...

Os Pilares da Segurança da Informação Guia Definitivo para Concursos Bancários

Os Pilares da Segurança da Informação: Guia Definitivo para Concursos Bancários

Domine os princípios da Segurança da Informação para concursos bancários. Conheça o pilar CIDAN, pegadinhas de bancas e garanta sua...

Sistema de Amortização Price

Sistema Price: Guia Completo para Concurso Público

o Sistema de Amortização Price, também conhecido como Tabela Price ou Sistema Francês (SAF) é um assunto que cai muito...

Semântica para Concursos: Domine o Sentido das Questões

Aprenda semântica para concursos: interpretação, sentido das palavras, conectivos e figuras de linguagem. Dicas para acertar questões e evitar pegadinhas!

Guia Completo e Avançado sobre CRASE para Concursos Públicos

Guia avançado sobre crase para concursos: regras, quando usar ou não, exemplos e questões comentadas. Domine o tema com teoria...

pronomes avançados e colocação pronominal

Pronomes Relativos, Indefinidos, Interrogativos e Colocação Pronominal

Domine Pronomes Relativos, Indefinidos, Interrogativos e Colocação Pronominal para concursos. Gabarite Cesgranrio, FGV, Cebraspe!

Matrizes para Concurso Público: Guia Completo com Teoria e Exercícios Resolvidos

Neste guia, você vai encontrar uma explicação clara e simples sobre matrizes, com definições, exemplos práticos, exercícios comentados

Agentes Públicos: Classificação

Agentes Públicos para Concurso: Guia Completo da Classificação

Agente público é quem exerce função pública, mesmo temporariamente. Para concurso, domine: políticos, servidores, empregados, temporários e colaboradores.