Guia · Fraudes Online

Engenharia Social — O que é, Como Funciona e Como se Proteger

Atualizado em Julho de 2026 · Leitura: 14 min

Neste artigo ↑ Voltar ao topo

O que é engenharia social

Engenharia social é o uso de manipulação para levar alguém a revelar informação, dar acesso, transferir dinheiro ou realizar outra ação que favorece o atacante. Em vez de começar por explorar uma falha no computador, explora a confiança, o contexto e a forma como tomamos decisões.

O contacto pode chegar por email, SMS, WhatsApp, chamada telefónica ou rede social. Também pode acontecer presencialmente. Alguém pode, por exemplo, fazer-se passar por um técnico para entrar numa área reservada. A tecnologia muda o alcance e a aparência do ataque, mas a participação humana continua a ser essencial para o seu sucesso.

Isto não significa que os ataques sejam sempre exclusivamente humanos ou técnicos. As duas componentes podem coexistir. Uma mensagem manipuladora pode convencer a vítima a instalar malware; uma conta de email comprometida pode ser usada para enviar um pedido financeiro credível.

O NIST define engenharia social como uma tentativa de enganar alguém para obter informação, acesso não autorizado ou cometer fraude. A ENISA usa uma definição mais ampla, centrada na exploração do erro ou comportamento humano para aceder a informação ou serviços.

O phishing pertence a este universo, mas não é sinónimo de engenharia social. É uma das técnicas possíveis, normalmente baseada em mensagens que imitam uma entidade de confiança. A análise detalhada de remetentes, links e anexos pertence ao guia específico sobre phishing.

Distinção essencial: phishing é engenharia social, mas a engenharia social também pode acontecer por telefone, numa conversa privada, através de uma relação prolongada ou presencialmente.

Porque funciona a engenharia social

Um ataque não resulta necessariamente por falta de conhecimentos tecnológicos. Muitas vezes, o pedido parece plausível naquele momento. Segundo a investigação que sustenta a NIST Phish Scale, a dificuldade de reconhecer uma mensagem fraudulenta depende dos sinais observáveis e do contexto de quem a recebe.

Uma fatura parece mais credível para quem trabalha na contabilidade. Um aviso sobre uma entrega pode fazer sentido para quem espera uma encomenda. Um pedido com o nome de um colega, fornecedor ou familiar encaixa numa relação que já existe. Quanto melhor o pretexto corresponder à rotina da pessoa, menos estranho poderá parecer.

Os atacantes combinam esse contexto com diferentes formas de pressão:

Pressão utilizadaEfeito pretendido
Autoridade e familiaridadeFazer confiar numa alegada chefia, banco, polícia, familiar ou equipa de suporte
Urgência, medo e aversão à perdaReduzir o tempo disponível para pensar ou confirmar
Curiosidade, oportunidade e reciprocidadeTornar uma oferta, ficheiro ou ajuda suficientemente atraente para provocar uma ação
Segredo, isolamento e hierarquiaImpedir que a vítima consulte outra pessoa ou siga o procedimento normal

Estas pressões podem ser combinadas. Uma suposta chefia exige um pagamento confidencial no próprio dia; um falso funcionário do banco afirma que a conta está em perigo e impede a interrupção da chamada.

Os dados portugueses ajudam a perceber esta combinação, embora não devam ser generalizados. Numa análise do segundo trimestre de 2020, citada pelo Centro Nacional de Cibersegurança, a autoridade ou credibilidade do emissor surgiu em 90% das mensagens de phishing e smishing analisadas pelo CERT.PT; 79% incentivavam o início de sessão numa conta. É uma amostra e um período específicos, não uma regra para todos os ataques.

Fadiga, multitarefa e rotina também podem diminuir o escrutínio. Isso não culpa quem é enganado: mostra que a segurança não deve depender de atenção perfeita. Os procedimentos de confirmação devem funcionar mesmo perante um pedido convincente.

Informação pública pode tornar o pretexto ainda mais ajustado. Cargo, contactos, viagens, relações familiares e acontecimentos recentes ajudam a construir histórias plausíveis. O guia sobre dados expostos na Internet explica como essa informação pode ficar disponível e como reduzir a exposição.

Como funciona um ataque de engenharia social

Nem todos os ataques seguem as mesmas etapas. Uma campanha em massa pode dispensar pesquisa individual; um ataque dirigido pode envolver preparação e pesquisa prévias. Ainda assim, é útil reconhecer um processo comum.

Seleção e reconhecimento
          ↓
Criação do pretexto e da identidade
          ↓
Contacto e construção de confiança
          ↓
Pressão e pedido de ação
          ↓
Exploração do resultado
          ↺
Novo pedido, persistência ou ataque a outros contactos

1. Seleção e reconhecimento. O atacante escolhe uma oportunidade ou alvo. Pode usar informação pública, dados expostos, contactos profissionais ou uma conta comprometida. Num ataque oportunista, basta explorar situações comuns, como encomendas e serviços bancários.

2. Pretexto e identidade. É criada uma justificação para o contacto: uma verificação de segurança, uma fatura alterada, um problema técnico ou uma emergência familiar. A identidade apresentada dá credibilidade a essa história.

3. Contacto e confiança. A abordagem pode começar com um pedido pequeno ou informação correta. O contacto pode depois passar do email para o telefone ou de uma rede social para uma aplicação privada.

4. Pressão e pedido. Quando o pretexto parece estabelecido, aparece o objetivo: clicar, iniciar sessão, revelar um código, instalar software, aprovar uma notificação, alterar um IBAN ou transferir dinheiro.

5. Exploração e continuação. As credenciais podem abrir uma conta, o acesso pode permitir novos contactos em nome da vítima e um pagamento pode originar outro pedido. Se houve instalação de software malicioso, a manipulação passa a ter uma consequência técnica. O guia sobre como são roubadas passwords aprofunda esses métodos.

Compreender estas fases ajuda a intervir antes do pedido final. Uma mudança súbita de canal, um pedido para manter segredo ou uma tentativa de impedir confirmação já são razões para parar, mesmo que ainda não tenham sido pedidos dinheiro ou passwords.

As principais técnicas de engenharia social

Os nomes ajudam a descrever o canal ou a relação usada, mas não devem ocultar o padrão comum. Em todas estas famílias existe uma identidade, uma história ou uma oportunidade destinada a provocar uma ação.

FamíliaCanal habitualPedido ou objetivo
Phishing, smishing e vishingEmail, SMS, mensagens ou vozClicar, ligar, revelar dados, códigos ou dinheiro
Spear phishing e whalingContacto dirigido por email, mensagem ou vozObter acesso ou uma decisão de maior valor
Pretexting e personificaçãoQualquer canalFazer acreditar numa identidade e justificação falsas
Business Email Compromise (BEC), CEO fraud e falso fornecedorEmail empresarial, mensagens ou telefoneTransferir dinheiro, mudar IBAN ou divulgar dados
Falso suporte, scareware e ClickFixChamada, pop-up, chat ou siteDar acesso remoto, pagar ou executar software/código
Baiting e quid pro quoDownload, USB, oferta, chamada ou inquéritoTrocar uma “vantagem” por informação ou execução
Confiança prolongadaRedes sociais, aplicações e conversa privadaDinheiro, dados ou coerção numa relação romântica, íntima ou de confiança
Engenharia social presencialPortas, áreas de trabalho, ecrãs ou suportes físicosEntrar numa zona restrita, observar dados ou levar alguém a ligar um dispositivo

O phishing usa uma mensagem que aparenta vir de uma fonte credível. Quando é dirigido a uma pessoa ou grupo chama-se spear phishing; quando visa decisores de topo, whaling. Por SMS fala-se em smishing e, por voz, em vishing. O guia para proteger o smartphone desenvolve a segurança móvel.

No pretexting, a história falsa é o centro do ataque. O atacante pode fingir ser um colega, técnico, polícia, banco ou familiar. A personificação pode usar um endereço semelhante, uma conta comprometida, um número falsificado ou conteúdo sintético.

O Business Email Compromise (BEC) pode envolver uma caixa de correio comprometida ou uma personificação convincente. Na CEO fraud, o pedido explora a autoridade da chefia, normalmente com urgência ou segredo. Outra variante imita um fornecedor e altera o IBAN de uma fatura.

O falso suporte anuncia um problema e oferece a solução. Em ataques ClickFix, páginas enganosas, como falsos CAPTCHA, levam a executar comandos que podem instalar um infostealer. O CNCS alertou para este método. Não executes comandos nem permitas acesso remoto por indicação não confirmada.

O baiting usa uma isca, como um ficheiro, oferta ou dispositivo abandonado. O quid pro quo promete ajuda em troca de informação ou ação. Seguir uma pessoa autorizada por uma porta ou observar um PIN mostra que a engenharia social também é presencial.

O padrão em casos documentados

Os casos documentados não representam o que acontece a todas as vítimas. Servem para mostrar como autoridade, contexto e pressão podem ser combinados.

Em abril de 2026, o CNCS alertou para campanhas de Business Email Compromise (BEC) e CEO fraud. Segundo o alerta, estes casos corresponderam a 18% dos incidentes classificados como engenharia social e notificados ao CERT.PT em 2025. Os contactos faziam-se passar por chefias ou fornecedores e pediam operações financeiras urgentes ou reservadas. A percentagem descreve notificações recebidas, não a incidência em toda a população portuguesa.

Num caso europeu divulgado pela Europol, uma rede usou identidades de administradores e parceiros de confiança para pedir transferências urgentes e confidenciais. Uma das empresas visadas perdeu quase 38 milhões de euros em poucos dias. É um caso empresarial extremo, não um valor típico.

A Europol também documentou o uso de áudio sintético para imitar um administrador e induzir uma transferência equivalente a 35 milhões de euros. A informação é agregada no relatório Online Fraud Schemes: A Web of Deceit; a localização não deve ser inferida a partir desse resumo. O caso demonstra um limite importante: reconhecer uma voz já não basta para confirmar uma identidade.

Sinais de alerta e verificação independente

Os sinais mais úteis partem do pedido, da pressão e das tentativas de contornar o procedimento normal, não apenas de erros ortográficos.

Faz uma pausa quando existe:

  • um contacto ou pedido inesperado;
  • urgência, ameaça, segredo ou oportunidade “única”;
  • pedido de password, PIN, código, aprovação, dinheiro, instalação ou acesso remoto;
  • alteração de IBAN, número, conta, canal ou instrução habitual;
  • resistência a que confirmes com outra pessoa ou através de um canal oficial.

Erros, endereços estranhos e incoerências são sinais, mas a sua ausência não prova legitimidade. O nome do remetente e o número de uma chamada podem ser falsificados. Uma fotografia, um vídeo ou uma voz podem ser manipulados; até um site fraudulento pode usar HTTPS.

A aparência não autentica o pedido. Uma mensagem pode estar bem escrita, usar informação correta e chegar através de uma conta conhecida que foi comprometida.

A confirmação deve acontecer fora do contacto recebido:

O pedido envolve dinheiro, dados, códigos, software ou acesso?
                         ↓ sim
Parar e terminar o contacto
                         ↓
Obter autonomamente o contacto oficial ou previamente guardado
                         ↓
Confirmar identidade, pedido, destinatário e operação
                         ↓
Só avançar se a confirmação for independente e coerente

Não uses os dados da mensagem para a validar. Abre manualmente a aplicação ou site oficial e usa um número previamente guardado ou publicado pela instituição. Numa empresa, segue o procedimento habitual de confirmação.

Antes de agir, verifica cinco pontos:

  1. Esperava este contacto e este pedido?
  2. Estão a pressionar-me para agir sem confirmar?
  3. Pedem algo sensível ou fora do processo normal?
  4. Consigo validar pelo meu próprio canal?
  5. O destinatário, montante e operação foram confirmados?

Para emails suspeitos, consulta a análise específica de sinais de phishing. Se a dúvida incidir sobre a legitimidade de uma página de comércio, vê como reconhecer lojas falsas.

Como se proteger da engenharia social

A proteção funciona em camadas. A primeira é um método de confirmação que funcione mesmo perante uma mensagem perfeita.

Hábitos e procedimentos

  • Interrompe pedidos sensíveis e confirma por outra via.
  • Não partilhes passwords, PIN, códigos ou aprovações não iniciadas.
  • Não instales software, coles comandos ou dês acesso remoto por indicação não confirmada.
  • Confirma alterações de IBAN, pagamentos e destinatários.
  • Reduz informação pública sobre relações, viagens e rotinas.

Nas organizações, mudanças de IBAN e pagamentos sensíveis devem ter confirmação fora do email e, quando adequado, dupla autorização. A urgência não deve anular o processo. Um canal simples de reporte e uma cultura sem culpa facilitam a resposta.

Em família, combina uma palavra ou pergunta para emergências. Perante um número novo, liga para o contacto guardado ou para outro familiar. Não envies a palavra combinada no canal suspeito.

Proteção das contas e dispositivos

Usa uma password diferente em cada serviço e um gestor para as guardar. O guia sobre passwords seguras explica essa configuração sem ser necessário memorizares dezenas de credenciais.

Ativa autenticação multifator (MFA), sobretudo no email, banco e contas de trabalho. O segundo fator cria uma barreira adicional, mas os métodos diferem: códigos SMS ou de aplicações podem ser entregues numa página falsa; uma aprovação push pode ser aceite sob pressão.

MétodoProteção relevanteLimite perante engenharia social
Password + código ou aprovaçãoAcrescenta uma barreira se a password for roubadaO código ou aprovação ainda pode ser pedido ou manipulado
Passkey ou chave FIDOSó permite autenticar no site ou aplicação para o qual foi criada e resiste a páginas de phishingNão impede transferências induzidas, malware, roubo de sessão ou recuperação de conta frágil

As passkeys usam pares de chaves criptográficas associados ao serviço, sem uma password reutilizável para entregar a uma página falsa. Isso não impede um pagamento para o destinatário errado. O guia sobre como funcionam as passkeys desenvolve a diferença.

Autenticação segura protege o acesso à conta. Não confirma que uma instrução financeira, chamada ou relação seja legítima.

Ativa alertas de operações e acessos. Revê dispositivos, sessões e recuperação. Mantém software atualizado e instala aplicações de fontes oficiais. Filtros e antimalware reduzem conteúdo malicioso, mas não validam quem faz o pedido.

Uma VPN também não autentica remetentes, chamadas ou sites. Pode proteger a ligação noutros contextos, mas não é uma defesa específica contra manipulação.

O que fazer se já respondeu, clicou ou pagou

Termina o contacto e identifica se revelaste credenciais, aprovaste acesso, instalaste software, partilhaste documentos ou enviaste dinheiro.

Ação realizadaPrioridade imediataPrimeiro contacto
Transferência, cartão ou operação suspeitaTentar bloquear, cancelar ou recuperar a operaçãoBanco ou emissor, por contacto oficial
Password, código ou aprovação reveladosProteger a conta, terminar sessões e revogar acessosServiço afetado; TI se for conta de trabalho
Acesso remoto, comando ou software executadoTerminar o acesso, limitar o possível dano e obter avaliaçãoApoio técnico ou equipa de segurança
Dados ou documentos partilhadosRegistar o exposto e vigiar personificaçãoEntidade emissora e polícia, quando aplicável
Conta empresarial ou BECAlertar segurança, TI e finançasOrganização e parceiros afetados

Se houve dinheiro ou dados bancários, contacta imediatamente o banco pelo canal oficial para tentar bloquear credenciais, cartão ou recuperar a transferência. A recuperação não é garantida.

Se revelaste uma password ou código, usa um dispositivo de confiança. Altera a credencial, termina sessões e revoga acessos desconhecidos. Protege primeiro o email principal. Se reutilizavas a password, altera-a nos restantes serviços. Segue depois o guia para uma password comprometida.

Se deste acesso remoto ou instalaste software, termina o acesso. Desliga o dispositivo da rede se houver controlo ativo, procura apoio técnico e evita operações sensíveis. Numa organização, preserva os registos.

Preserva mensagens, endereços, números, URLs, datas, comprovativos e dados do destinatário. Não reabras ficheiros suspeitos para recolher prova.

Em Portugal, participa uma possível burla ou fraude à PSP, GNR, Polícia Judiciária ou Ministério Público; faz o mesmo perante extorsão ou acesso ilegítimo. O CERT.PT coordena a resposta a incidentes no ciberespaço nacional, mas não substitui polícia ou banco. Reporta também à plataforma.

A CNPD não recebe denúncias gerais de burlas. Uma organização responsável pelo tratamento pode ter de notificar uma violação de dados em 72 horas, salvo quando não seja suscetível de criar risco para as pessoas. É um dever organizacional nas condições do RGPD, não um prazo para a vítima individual.

Depois da contenção, acompanha movimentos, acessos, tentativas de recuperar contas e contactos a colegas ou familiares. Regista ações e vigia pedidos baseados na informação exposta.

Guias Relacionados