Logo do PagBank
Abra sua conta

O que é engenharia social: conheça os golpes e saiba como se proteger

Por PagBank
Criado em 03/11/2025
Atualizado em 03/11/2025
Prévia do conteúdo

Veja um pequeno resumo do que você encontrará neste artigo:

  • Entenda de forma simples o conceito de engenharia social;
  • Veja como os golpistas criam cenários para enganar pessoas;
  • Conheça as principais modalidades de golpes que circulam no Brasil;
  • Saiba quais golpes também acontecem fora do ambiente digital;
  • Confira 11 práticas essenciais para manter seus dados e dispositivos seguros;
  • Acesse conteúdos extras do PagBank para reforçar a sua proteção.

Você sabe o que é engenharia social? Quando se fala em segurança digital, muitos pensam em antivírus, firewalls e sistemas de proteção avançados. Mas a realidade é que os criminosos não precisam, necessariamente, quebrar nenhuma dessas barreiras tecnológicas. Eles preferem um caminho muito mais simples: enganar as pessoas.  

O alerta não é à toa. Só nos seis primeiros meses de 2025, a América Latina foi alvo de 374 bilhões de tentativas de ataques cibernéticos, conforme a Fortinet. O Brasil concentrou 84% desse total (315 bilhões), liderando disparado o ranking da região. Grande parte dessas tentativas começa com técnicas de manipulação, como mensagens falsas, links maliciosos e contatos que se passam por instituições confiáveis.

Hoje, você vai entender o que é engenharia social, quais são os principais ataques de engenharia social com exemplos reais e aprender estratégias eficazes para se proteger. Nosso objetivo aqui é munir você de conhecimento para saber reconhecer os sinais e não se tornar vítima de golpes que exploram o fator humano.

o que é engenharia social​

O que é engenharia social?

A engenharia social é uma técnica de manipulação usada pelos criminosos para confundir as pessoas e induzi-las a compartilhar informações confidenciais, realizar transferências financeiras ou permitir acessos indevidos a sistemas e dispositivos. 

Diferente de um ataque tradicional, que explora falhas técnicas, esse tipo de golpe se aproveita da confiança e do comportamento humano, por isso é tão difícil de identificar em um primeiro momento.

Na prática, o golpista cria um pretexto convincente para levar a vítima a agir sem desconfiar. Pode ser um e-mail falso que imita a comunicação de uma empresa conhecida, uma ligação que simula o contato de um banco ou uma mensagem em aplicativos de conversa pedindo códigos de autenticação. Em todos os casos, o objetivo é o mesmo: persuadir para obter vantagem.

Por se apoiar no fator humano, a engenharia social é considerada uma das maiores ameaças à segurança digital atualmente. Mesmo empresas com sistemas robustos podem ser comprometidas caso um único funcionário seja induzido ao golpe. É por isso que o conhecimento e a atenção são indispensáveis para reduzir os riscos, tanto para usuários comuns quanto  para organizações.

Como funciona a engenharia social?

Os ataques de engenharia social seguem um padrão bem definido: o golpista observa a vítima, coleta informações e identifica possíveis fragilidades. Em seguida, cria um cenário aparentemente legítimo para induzir a pessoa a tomar uma ação específica, como clicar em um link, fornecer dados de login ou liberar acesso a um dispositivo.

Lembre-se de que o foco dessa prática não está em burlar sistemas, mas sim em explorar a confiança e as emoções humanas. Os golpistas recorrem a mensagens alarmantes ou sedutoras, que pressionam o alvo a agir rapidamente sem tempo para refletir.  

Muitas vezes, a vítima acredita que está lidando com uma situação real — uma cobrança do banco, um aviso da Receita Federal ou uma mensagem de um colega de trabalho. O tom de urgência ou de autoridade faz com que as decisões sejam tomadas sem a devida cautela.

É por isso que o criminoso não precisa usar técnicas avançadas de invasão: basta que alguém entregue informações sensíveis por vontade própria. A capacidade de explorar as emoções e a confiança faz da engenharia social uma das estratégias mais eficazes do cibercrime, servindo muitas vezes como porta de entrada para outros golpes mais complexos, como o roubo e sequestro de dados. 

Quais são os tipos de golpes de engenharia social mais comuns?

A engenharia social pode assumir diferentes formas e se adaptar a cada contexto. O objetivo, no entanto, é sempre o mesmo: fazer com que o alvo revele informações ou realize ações que favoreçam o golpista

Conheça, nos próximos tópicos, os golpes de engenharia social mais comuns com exemplos reais.

Phishing e Spear phishing

O phishing é uma das formas mais conhecidas de engenharia social. Nesse golpe, o fraudador envia mensagens que parecem vir de uma fonte confiável, como um banco, uma loja virtual ou um órgão público, para convencer o usuário a clicar em links ou abrir anexos maliciosos

No entanto, os links direcionam para páginas falsas, criadas para capturar logins, senhas, números de cartão de crédito e outras informações pessoais.

No spear phishing, a tática é mais direcionada. Em vez de disparar mensagens em massa, o golpista foca em alvos específicos, como executivos de empresas, servidores públicos ou profissionais que lidam com dados sensíveis. O criminoso pesquisa sobre a pessoa em redes sociais e outras fontes para criar mensagens altamente plausíveis e personalizadas.

Um exemplo real é o e-mail que se passa pelo Serasa, afirmando que o CPF da pessoa foi negativado, com um link para “consultar o débito”. Outro caso comum é a mensagem que usa o nome da empresa e até o cargo da vítima para oferecer uma suposta proposta de trabalho, pedindo que ela preencha um formulário com dados pessoais

Em ambos os casos, a comunicação parece legítima, mas tem como único objetivo roubar informações e comprometer a segurança do usuário.

Smishing

O smishing é uma variação do phishing aplicada em mensagens de texto, como SMS ou aplicativos de mensagem. O golpista envia um recado curto e direto, normalmente com um link malicioso, para que o usuário clique sem refletir. Como os celulares estão sempre à mão e as notificações geram imediata atenção, esse tipo de fraude tem alta taxa de resposta.

A mensagem simula uma comunicação urgente de uma empresa ou serviço conhecido, como bancos, operadoras de telefonia, e-commerces ou órgãos públicos. O texto costuma mencionar problemas em contas, entregas ou benefícios, criando um sentimento de pressa para que a pessoa não tenha tempo de verificar a veracidade da informação.

Entre os casos mais frequentes de smishing está a mensagem em nome dos Correios, informando que houve uma tentativa de entrega e que o destinatário precisa pagar uma taxa para liberar a encomenda. O link, no entanto, leva a um site falso onde os dados bancários e pessoais são coletados. O resultado vai desde o roubo de informações confidenciais até a instalação de malware no dispositivo.

Vishing

O vishing é o phishing feito por meio de ligações telefônicas. Nesse tipo de golpe, o fraudador utiliza a voz como ferramenta de convencimento, fingindo ser um funcionário de banco, suporte técnico ou uma autoridade pública. O objetivo é fazer com que o usuário forneça senhas, códigos de autenticação e dados bancários.

Normalmente, os criminosos criam um cenário de urgência ou medo para pressionar a pessoa a agir sem pensar. Eles podem, por exemplo, afirmar que há uma movimentação suspeita na conta, que o cartão foi clonado ou que há risco de bloqueio imediato dos serviços. Muitas vezes, o número exibido no identificador de chamadas é falsificado para parecer legítimo, o que torna o golpe ainda mais difícil de identificar.

Aqui, enquadra-se o chamado golpe da falsa central, em que o usuário recebe uma ligação de supostos funcionários do banco informando sobre tentativas de fraude. Em seguida, pedem que a pessoa confirme ou forneça códigos recebidos por SMS. Com esses dados em mãos, os atacantes conseguem acessar contas bancárias, movimentar valores e até solicitar empréstimos em nome do cliente.

https://www.youtube.com/shorts/L_YgpCPb1b8?feature=share 

Quishing

O quishing é um tipo mais recente de golpe de engenharia social que utiliza QR Codes maliciosos para enganar usuários. O criminoso substitui ou cria códigos aparentemente legítimos que, quando escaneados, direcionam para sites falsos projetados para capturar informações pessoais ou instalar softwares maliciosos.

Esse tipo de fraude se aproveita da confiança que as pessoas depositam no uso do QR Code, já que ele é comum em cardápios digitais, pagamentos via Pix, ingressos e autenticações de serviços on-line. Como acredita que está acessando um recurso seguro e prático, o usuário acaba cedendo informações sensíveis ou permitindo o download de aplicativos fraudulentos.

Na prática, o quishing pode ser visto em adesivos falsos de cardápio digital colados em mesas de restaurantes, por exemplo. Quando o cliente escaneia o QR Code adulterado, é levado para uma página falsa que solicita login em plataformas conhecidas, como iFood ou Google. O resultado é o roubo de credenciais que podem ser usadas para acessar contas, realizar compras indevidas ou aplicar outros golpes.

Scareware

O scareware é um golpe que utiliza mensagens alarmantes para que o usuário acredite que seu dispositivo está comprometido. A estratégia é simples: exibir pop-ups ou alertas falsos informando a presença de vírus, falhas críticas ou bloqueios no sistema, incentivando a instalação de um software malicioso como “solução”.

Esses alertas aparecem em sites inseguros, páginas piratas ou em anúncios fraudulentos. O tom é sempre de urgência e medo, pressionando a pessoa a clicar rapidamente para “corrigir” o problema. Ao seguir as instruções, o usuário acaba baixando programas nocivos, que roubam dados, instalam spyware ou viabilizam o controle remoto do dispositivo.

Um caso comum acontece quando alguém acessa um site de streaming ilegal e, de repente, surge a mensagem: “Seu celular está com 5 vírus! Clique aqui para proteger agora”. O clique leva ao download de um aplicativo que, em vez de proteger, abre brechas para o roubo de informações e o sequestro de dados.

Pretexting

O pretexting é um golpe em que o criminoso cria um pretexto plausível para conquistar a confiança do alvo e, assim, obter informações sigilosas ou acesso a sistemas. Diferente do phishing, que geralmente é mais genérico, aqui o fraudador se apoia em um roteiro elaborado e personalizado para tornar a abordagem mais convincente.

O golpista pode se passar por um funcionário de banco, um suporte técnico ou um representante de empresa parceira. O contato normalmente é feito por telefone, e-mail ou aplicativos de mensagem, sempre com uma história que parece real: uma compra suspeita, um problema com cartão ou a necessidade de atualização de cadastro.  

Um caso frequente de pretexting envolve ligações ou mensagens em que o fraudador afirma que houve uma compra de alto valor no cartão do cliente. Para “resolver o problema”, solicita informações do próprio cartão e da senha. Quando a pessoa acredita estar falando com a instituição, acaba entregando seus dados diretamente para o criminoso, que pode realizar transações ou vendê-los na dark web.

Quid pro quo

O quid pro quo é um golpe de engenharia social baseado em uma troca aparente: o criminoso oferece algo de valor em troca de informações ou ações da pessoa atingida. Diferente de outros ataques, aqui há a promessa de um benefício claro, que reduz as barreiras da desconfiança.

Esse tipo de fraude costuma aparecer em situações como prêmios falsos, sorteios inexistentes ou ofertas de serviços gratuitos. O atacante pode, por exemplo, se passar por suporte técnico e prometer resolver um problema no computador ou celular da vítima, pedindo em contrapartida credenciais de acesso ou autorização para instalar programas.

Um cenário típico é a mensagem que agradece um pagamento e afirma que, como recompensa, a pessoa ganhou um brinde exclusivo. Para resgatar o “prêmio”, o usuário precisa informar dados pessoais ou clicar em um link malicioso. Assim, em vez de receber algo, acaba tendo as informações roubadas ou os dispositivos infectados.

Sextorsão (sextorsion)

A sextorsão é um golpe que combina engenharia social e chantagem. O fraudador conquista a confiança do alvo para obter imagens íntimas ou acessa esse tipo de conteúdo por meio do vazamentos de dados. Depois, passa a ameaçar a divulgação das fotos ou vídeos caso a pessoa não realize pagamentos ou não atenda a outras exigências.

Uma das formas mais comuns desse tipo de ataque é quando o criminoso cria um perfil falso em uma rede social e simula interesse romântico na vítima. A conversa evolui até a troca de fotos íntimas, que depois são usadas como instrumento de pressão. Em outras situações, os golpistas usam dados vazados em ataques anteriores e afirmam ter registros comprometedores, mesmo quando não possuem nada.

Entre os exemplos mais conhecidos está a ameaça de expor o material para familiares, colegas de trabalho ou publicar em redes sociais. Movido pelo medo, a parte afetada acaba cedendo à chantagem. O problema é que, mesmo após o pagamento, o criminoso não interrompe a extorsão, o que reforça a importância de não ceder e sempre registrar boletim de ocorrência.

Engenharia social: cuidado com ataques presenciais!

Embora a maioria dos golpes de engenharia social aconteça em ambientes digitais, também existem ataques realizados de forma presencial. Nessas situações, os criminosos exploram a confiança, a distração ou a cortesia das pessoas para obter acesso a informações, áreas restritas ou dispositivos físicos.

Conheça alguns exemplos frequentes:

  • Tailgating: quando alguém sem autorização entra em uma área restrita “colado” em um funcionário autorizado;
  • Shoulder surfing: ato de observar discretamente alguém digitando senhas ou informações sigilosas em caixas eletrônicos, lotéricas ou em computadores de empresas;
  • Baiting físico: deixar dispositivos maliciosos, como pen drives infectados, em locais públicos para que alguém curioso conecte em seu computador;
  • Pretexting presencial: o fraudador se passa por técnico, fiscal ou entregador para obter informações ou acesso a sistemas corporativos;
  • Golpe do falso motoboy: a pessoa recebe uma ligação de um falso banco pedindo que entregue o cartão a um motoboy enviado até sua residência;
  • Golpe do presente ou encomenda: a vítima recebe um pacote surpresa e é induzida a pagar taxas via maquininhas adulteradas ou fornecer dados.

 

Esses ataques mostram que a engenharia social vai além do mundo virtual. Por isso, é importante estar atento também a situações cotidianas que parecem comuns, mas podem esconder riscos.

Como se proteger de golpes de engenharia social?

Como você viu, hoje existem muitos tipos de ataques de engenharia social que se aproveitam da boa fé ou da pressa das pessoas, por isso é muito importante adotar hábitos que reduzam as chances de cair nessas armadilhas. 

Para não se tornar um alvo fácil, é recomendado adotar práticas de segurança em três frentes: contas e acessos, uso de redes e proteção de dispositivos. Assim, você consegue criar barreiras adicionais que dificultam a ação dos golpistas e minimizam os riscos de ter seus dados ou recursos comprometidos.

1. Desconfie de links em mensagens e e-mails

Grande parte dos golpes de engenharia social começa com um link enviado por e-mail, SMS ou aplicativos de mensagem

Para se proteger, nunca clique em links recebidos de remetentes desconhecidos ou que você não solicitou. Desconfie também de mensagens urgentes, como “sua conta será bloqueada em 24h” ou “pagamento pendente”. 

Quando realmente precisar acessar um serviço, digite manualmente o endereço na barra do navegador ou utilize o aplicativo oficial

A URL (endereço que aparece na barra do navegador, como “www.pagbank.com.br”) indica o caminho do site que você está acessando. Por isso, deve ser sempre verificada com atenção, visto que os criminosos criam endereços adulterados, muito parecidos com os originais, como “g00gle.com” no lugar de “google.com”.  

2. Ative a autenticação em duas etapas 

Contar só com uma senha não é suficiente para proteger suas contas. A autenticação em duas etapas, também chamada de MFA (multifator de autenticação), adiciona uma camada extra de segurança

Com esse recurso, mesmo que alguém descubra a sua senha, ainda precisará de outro fator, como um código temporário enviado por SMS, um aplicativo autenticador ou até biometria.

Use a autenticação em duas etapas em serviços de e-mail, redes sociais, aplicativos bancários e em qualquer plataforma que ofereça a opção. Sempre que possível, prefira aplicativos autenticadores em vez de SMS, já que este pode ser interceptado em golpes como a clonagem de chip. 

O esforço extra de digitar um código vale a pena para reduzir a chance de acessos não autorizados.

3. Use senhas fortes e gerenciador de senhas

Senhas simples ou repetidas em vários serviços são um convite para ataques. Para minimizar riscos, opte por senhas longas, únicas e complexas, combinando letras maiúsculas e minúsculas, números e símbolos. Uma boa prática é criar frases longas e personalizadas, que sejam fáceis de lembrar, mas difíceis de adivinhar.

Como é inviável memorizar todas essas combinações, considere o uso de um gerenciador de senhas que seja confiável, que armazene as suas credenciais de forma criptografada e ainda ajuda a criar novas senhas seguras.

4. Tenha cuidado com relações exclusivamente digitais

Os golpistas podem facilmente se passar por colegas, parceiros de negócios ou por perfis sedutores em redes sociais para ganhar confiança. Muitas vezes, a aproximação é feita lentamente, até que a pessoa se sinta segura para compartilhar informações, enviar fotos íntimas ou transferir dinheiro.

Por isso, sempre desconfie de contatos que se recusam a ter interações presenciais ou chamadas de vídeo. Se alguém pede informações sigilosas, dinheiro ou favores suspeitos, trate isso como um alerta vermelho. Relacionamentos exclusivamente digitais são um terreno fértil para os golpes de engenharia social.

5. Fique alerta e verifique tudo antes de confiar 

A engenharia social funciona porque as pessoas confiam rápido demais. Os golpistas se aproveitam da pressa, da empatia e da falta de atenção para manipular as decisões. Por isso, adote como regra desconfiar de qualquer informação que pedir dados, senhas, códigos ou dinheiro, mesmo que pareça vinda de alguém conhecido.

Antes de clicar, responder ou seguir qualquer instrução: 

  • Confira a identidade do remetente,
  • Procure canais oficiais, 
  • Valide o pedido com outra fonte.

 

Por mais simples que pareça, fazer uma verificação ajuda a evitar grandes prejuízos. Na dúvida, não siga adiante.

6. Proteja sua rede Wi-Fi doméstica

Permitir que estranhos se conectem à sua rede Wi-Fi principal abre caminho para espionagem e interceptação de dados. A recomendação é ter uma rede separada para visitantes e proteger a sua conexão com uma senha forte.

Mantenha também o roteador atualizado com as últimas versões de firmware, que é o software interno responsável pelo funcionamento do equipamento. Os fabricantes lançam atualizações para corrigir falhas de segurança e melhorar o desempenho, por isso é importante aplicá-las sempre que disponíveis.

Outra dica é desativar os acessos remotos do roteador que você não usa para evitar que alguém tente mexer no aparelho pela internet sem a sua permissão.

Também é importante configurar sua rede Wi-Fi com padrões de segurança mais modernos, como WPA3 (ou WPA2, se o aparelho for mais antigo). Esses padrões funcionam como uma “trava digital”, que embaralha os dados enviados entre os seus dispositivos e o roteador. Assim, mesmo que um criminoso consiga capturar o sinal da sua rede, não vai conseguir ler ou usar as informações.

7. Use uma VPN em redes públicas

Se precisar acessar redes Wi-Fi públicas em cafés, aeroportos ou hotéis, prefira uma VPN (rede privada virtual), que cria um túnel criptografado para proteger a sua navegação e dificultar a espionagem.

Opte por serviços de VPN confiáveis e evite as opções gratuitas, que muitas vezes coletam e vendem informações em vez de proteger. Com a VPN ativada, mesmo que alguém tente espionar sua navegação, só verá dados embaralhados e sem valor.

8. Mantenha a segurança dos dispositivos conectados 

Não adianta proteger somente o computador ou o celular e esquecer de outros dispositivos, como smart TVs, assistentes virtuais ou sistemas de entretenimento de carros. Todos eles podem ser portas de entrada para os ataques de engenharia social.

Por isso, é preciso manter os equipamentos sempre atualizados, alterar as senhas padrão de fábrica e desativar os recursos que você não utiliza. Quanto mais camadas de proteção, menor a chance de que um invasor aproveite brechas em dispositivos secundários.

9. Use softwares de segurança confiáveis

Ter um antivírus instalado e atualizado continua sendo uma das maneiras mais eficazes de se proteger. Esse tipo de programa identifica e bloqueia vírus, trojans e outros malwares que muitas vezes chegam por links falsos, anexos de e-mail e downloads suspeitos.

Dê preferência a ferramentas de empresas reconhecidas no mercado, que ofereçam atualizações frequentes e suporte confiável. Sempre que possível, ative os recursos extras como proteção contra sites falsos (phishing) e filtros de navegação, que ajudam a impedir que você acesse páginas criadas para roubar dados. Assim, você reduz bastante o perigo de cair em golpes antes mesmo de clicar em algo perigoso.

10. Nunca deixe seus dispositivos desprotegidos em público

Celulares e notebooks são alvos fáceis em lugares como cafés, bibliotecas, coworkings e transporte público. Se precisar se afastar, mesmo que por pouco tempo, bloqueie a tela do aparelho para evitar acessos indevidos. Esse simples hábito já dificulta bastante a vida de quem tenta agir de má-fé.

Outra dica importante aqui é não salvar as senhas diretamente no navegador sem usar proteção adicional. Se o dispositivo for perdido ou roubado, alguém pode acessar suas contas em poucos cliques. 

11. Mantenha sistemas e aplicativos sempre atualizados

As atualizações de software não servem só para adicionar novos recursos: elas corrigem as falhas de segurança que os criminosos exploram em golpes. Quando você adia ou ignora uma atualização, deixa o seu dispositivo vulnerável a ataques que já poderiam estar bloqueados.

Por isso, ative as atualizações automáticas sempre que possível e evite instalar programas ou aplicativos de fontes desconhecidas. Essa prática deve ser aplicada a computadores, celulares e dispositivos conectados, como smart TVs, assistentes virtuais e câmeras de segurança. 

Fique por dentro de mais dicas de segurança

Os golpes de engenharia social mostram que, em grande parte das vezes, o elo mais frágil da segurança digital não é a tecnologia, mas sim o comportamento humano. A boa notícia é que, com informação e hábitos conscientes, você consegue reduzir o risco de ser enganado.

Aqui no Blog PagBank, nosso compromisso é te manter bem informado e protegido. Criamos conteúdos atualizados, com exemplos reais e dicas práticas para que você reconheça tentativas de fraude antes que causem prejuízo. Afinal, quanto mais preparado você estiver, menores as chances de se tornar alvo de criminosos digitais.

Se a segurança digital é importante para você (e deveria ser) continue navegando em nossos artigos e compartilhe esse conhecimento com seus familiares e amigos:

 

O PagBank está ao seu lado para que você use a tecnologia com confiança e tranquilidade. Quer aprender ainda mais sobre como se proteger no dia a dia digital? Acesse a nossa seção completa de Segurança e confira outros conteúdos para complementar a sua proteção.

Compartilhe esse artigo

Newsletter

Receba conteúdos exclusivos em seu e-mail

Inscreva-se em nossa newsletter preenchendo seu e-mail abaixo.