Como proteger a empresa contra phishing e engenharia social

O que é phishing e suas variantes (spear phishing, BEC, vishing, smishing, quishing)

Phishing é um ataque de engenharia social no qual o criminoso se passa por uma pessoa ou marca confiável para induzir a vítima a entregar credenciais, aprovar um pagamento, instalar malware ou autorizar um acesso. O ataque explora a confiança e a pressa do ser humano, não uma falha de software. Por isso ele atravessa firewalls, antivírus e VPNs sem disparar alarme: tecnicamente, o e-mail ou a mensagem é legítimo — quem é manipulado é a pessoa.

O phishing genérico dispara a mesma isca para milhares de alvos. As variantes direcionadas são mais perigosas porque são personalizadas. Spear phishing mira um indivíduo específico com contexto real (nome do chefe, projeto em andamento, fornecedor verdadeiro), coletado em LinkedIn, vazamentos e redes sociais. BEC (Business Email Compromise) é a fraude de maior impacto financeiro: o atacante se passa por um executivo, fornecedor ou advogado e instrui o financeiro a fazer uma transferência ou alterar dados bancários de um boleto. Segundo o relatório IC3 2024 do FBI, o BEC causou cerca de US$ 2,8 bilhões em perdas em 21.442 denúncias só nos EUA — o segundo maior prejuízo financeiro entre todos os crimes cibernéticos.

As variantes fora do e-mail crescem porque os filtros corporativos ainda focam na caixa de entrada. Vishing é phishing por voz (ligação fingindo ser o banco, o suporte de TI ou o RH). Smishing usa SMS e apps de mensagem como WhatsApp. Quishing entrega a URL maliciosa dentro de um QR code — em PDF, e-mail ou cartaz — para escapar de scanners que só leem links em texto; a vítima aponta o celular pessoal, fora do perímetro monitorado da empresa. Reconhecer essas variantes pelo nome é o primeiro passo para treinar as pessoas a desconfiar do canal certo.

Por que o humano é o vetor e por que filtros de e-mail não bastam

Filtros de e-mail (gateways seguros, antispam, sandbox) bloqueiam a maioria do phishing em massa, mas falham contra os ataques que realmente causam dano. Spear phishing e BEC não carregam malware nem links óbvios — muitas vezes são apenas texto: 'Você pode adiantar esse pagamento ainda hoje?'. Não há anexo para detonar em sandbox nem assinatura conhecida para casar. O conteúdo é indistinguível de uma mensagem legítima, então o filtro entrega e a decisão recai sobre a pessoa.

O atacante também tem o tempo a seu favor. Domínios recém-registrados, contas de e-mail comprometidas de fornecedores reais (de onde o e-mail passa por SPF e DKIM porque sai do servidor verdadeiro) e infraestrutura efêmera em serviços legítimos como netlify.app, vercel.app ou Google Forms driblam reputação e listas de bloqueio. Quando a engenharia social acontece por telefone, SMS ou QR code, o filtro de e-mail simplesmente não está no caminho do ataque.

A conclusão operacional é que filtros são necessários mas insuficientes: eles reduzem o volume, não eliminam o risco. A proteção real exige assumir que algumas mensagens maliciosas vão chegar e construir defesa em profundidade — autenticação que resiste ao roubo de senha, pessoas treinadas para desconfiar e parar, e um plano para conter quando, inevitavelmente, alguém clicar. Tratar o usuário como 'o elo fraco' é um erro: ele é a última linha de defesa, e o trabalho de segurança é equipá-lo, não culpá-lo.

Defesas técnicas: DMARC, MFA resistente a phishing, EDR e isolamento

A primeira camada técnica é autenticar o e-mail do seu próprio domínio para impedir que terceiros se passem por ele. Configure SPF (lista os servidores autorizados a enviar), DKIM (assina criptograficamente as mensagens) e DMARC (define a política quando SPF/DKIM falham). DMARC deve progredir de forma monitorada: comece em p=none coletando relatórios por algumas semanas, avance para p=quarantine e termine em p=reject, que rejeita ativamente e-mails que falsificam seu domínio. Parar em p=none é o erro mais comum — nesse modo o DMARC só observa, não protege. Importante: DMARC defende contra spoofing exato do seu domínio, não contra domínios parecidos (lookalikes), que exigem monitoramento separado.

A segunda camada é MFA resistente a phishing. MFA por SMS ou por código de aplicativo (TOTP) pode ser interceptado por kits de proxy reverso (AiTM, adversary-in-the-middle) que capturam o código e o cookie de sessão em tempo real. A defesa estrutural é FIDO2/WebAuthn (chaves de segurança físicas e passkeys): a credencial é criptograficamente ligada ao domínio real, então uma página falsa não consegue completar a autenticação — não há código para roubar. NIST SP 800-63B e a CISA classificam FIDO2/WebAuthn e PKI como o padrão-ouro de MFA. Atenção a um detalhe que anula tudo: se o fluxo de recuperação de conta ainda aceitar SMS ou redefinição por senha, o atacante simplesmente ataca o caminho fraco — feche também os fallbacks.

A terceira camada protege o endpoint e o navegador. EDR (Endpoint Detection and Response) detecta e responde a comportamento malicioso na máquina caso um payload chegue a executar. Sandbox detona anexos e links suspeitos em ambiente isolado antes da entrega. Isolamento remoto de navegador (RBI) renderiza páginas de risco num container descartável, de modo que credenciais digitadas e código malicioso nunca tocam o dispositivo real. Some a isso filtragem de DNS para bloquear domínios sabidamente maliciosos. Essas defesas não substituem o treinamento — elas compram tempo e reduzem o raio de impacto quando a engenharia social funciona.

Programa de conscientização contínuo e simulações de phishing

Treinamento de segurança não é um vídeo anual de compliance — é um programa contínuo que muda comportamento. O modelo eficaz combina microtreinamentos curtos e frequentes, comunicação sobre ameaças reais do momento (o golpe do boleto, o falso suporte de TI) e simulações de phishing recorrentes que medem a resposta real das pessoas, não só a presença no treinamento. O objetivo é construir reflexo: diante de uma mensagem com urgência, autoridade ou pedido fora do padrão, a pessoa para, verifica por um segundo canal e reporta.

Conduza simulações de forma estruturada e ética. Defina objetivo e linha de base, varie a dificuldade (de iscas óbvias a spear phishing personalizado), e segmente por área (financeiro e diretoria são alvos de BEC e merecem cenários específicos). As métricas que importam não são só a taxa de clique: acompanhe a taxa de reporte (quantos clicaram no botão 'reportar phishing'), o tempo até o primeiro reporte e a reincidência por grupo. Uma equipe que reporta rápido vale mais que uma que apenas não clica — o reporte aciona a contenção. Quem cai recebe treinamento imediato e contextual no momento do clique, quando o aprendizado é maior.

Cuidados jurídicos e de cultura são parte do programa. No Brasil, monitorar e simular ataques sobre funcionários exige base na LGPD e transparência: comunique na política interna que simulações fazem parte do programa de segurança, evite temas que exponham dados pessoais sensíveis ou induzam estresse desproporcional (falsas demissões, falsos bônus), e nunca use os resultados para punir individualmente — a simulação mede o sistema, não pessoas. Gamificação e reconhecimento positivo de quem reporta funcionam melhor que constrangimento. Na Decripte, rodamos programas de conscientização e simulações de phishing calibrados por setor, com métricas de reporte e relatórios para a liderança.

Resposta quando alguém clica: conter, resetar credenciais e caçar

Parta do princípio de que alguém vai clicar — o que separa um susto de um vazamento é a velocidade da resposta. No minuto em que um clique ou entrega de credencial é reportado, o objetivo é cortar o acesso do atacante antes que ele se mova lateralmente ou aprove uma transferência. Por isso o botão de reportar e um canal claro de resposta a incidentes são tão importantes quanto qualquer firewall: eles transformam a vítima em sensor.

A contenção segue uma ordem prática. Primeiro, invalide a sessão e resete as credenciais da conta afetada — e revogue os tokens e cookies de sessão ativos, porque resetar a senha não derruba uma sessão que o atacante já abriu via AiTM. Segundo, force re-registro de MFA, removendo dispositivos ou métodos que o atacante possa ter cadastrado. Terceiro, isole o endpoint envolvido via EDR se houver suspeita de malware. Para fraudes de BEC com pagamento já enviado, acione imediatamente o banco e, nos EUA, o canal IC3 do FBI — as primeiras horas decidem a chance de recuperar o dinheiro.

Depois de conter, cace. Investigue o escopo: que regras de caixa de entrada o atacante criou (encaminhamento oculto é típico de BEC), quais e-mails ele enviou em nome da vítima, que outros sistemas a credencial dava acesso e se houve acesso a dados de clientes. Procure os mesmos indicadores (domínio, IP, remetente) em toda a base para achar outras vítimas. Documente a linha do tempo, comunique conforme a LGPD e a ANPD se houver dado pessoal exposto, e feche a lição aprendida no programa de conscientização. A Decripte opera com SLA de contenção de incidente crítico em até 1 hora, justamente porque nesse tipo de ataque o tempo é o ativo mais caro.

Phishing assistido por IA: deepfakes e personalização em escala

A IA generativa removeu os sinais clássicos que treinávamos as pessoas a reconhecer. Erros de português, formatação estranha e saudações genéricas sumiram: modelos de linguagem produzem e-mails impecáveis, no tom certo, em qualquer idioma, e personalizam cada mensagem cruzando dados públicos da vítima. O spear phishing, antes artesanal e caro, agora é produzido em escala industrial. A regra 'desconfie de e-mail mal escrito' está obsoleta — a nova regra é desconfiar do pedido e do canal, não da forma.

O salto mais perigoso é o deepfake de voz e vídeo. Com poucos segundos de áudio público, um atacante clona a voz de um executivo e liga para o financeiro pedindo uma transferência urgente; em videochamadas, deepfakes em tempo real já foram usados para validar fraudes de pagamento envolvendo milhões. A defesa não é tecnológica e sim de processo: estabeleça verificação por segundo canal (out-of-band) e palavras-código para qualquer solicitação financeira ou de mudança de dados bancários, de modo que nenhuma transferência dependa de reconhecer uma voz ou um rosto.

A própria infraestrutura de autenticação está sob mira nova. A campanha PoisonSeed, identificada em 2025, abusou do fluxo de QR code de passkeys para fazer o login de um dispositivo sem credencial local: o atacante exibe um QR de autenticação legítimo numa página de phishing e a vítima o aprova com o celular, completando a sessão do atacante. Isso reforça que phishing-resistência depende da cadeia inteira — incluindo recuperação e cross-device — e que treinamento e tecnologia precisam evoluir juntos contra ataques que também são gerados e otimizados por IA.

Passo a passo

1. Autentique seu domínio: configure SPF, DKIM e DMARC, progredindo de p=none para p=quarantine e até p=reject de forma monitorada por relatórios.
2. Implante MFA resistente a phishing (FIDO2/WebAuthn) em todas as contas críticas e feche os fluxos de recuperação fracos (SMS, redefinição só por senha).
3. Reforce endpoint e navegador: EDR, sandbox de anexos e links, isolamento remoto de navegador para sites de risco e filtragem de DNS.
4. Estabeleça processos de verificação out-of-band — segundo canal e palavras-código — para toda solicitação de pagamento ou mudança de dados bancários, anulando BEC e deepfakes.
5. Rode um programa contínuo de conscientização com microtreinamentos e simulações de phishing segmentadas por área, medindo taxa e velocidade de reporte, com base na LGPD e sem punir indivíduos.
6. Implemente o botão de reportar phishing e um plano de resposta a incidentes que, ao primeiro clique, revogue sessões, resete credenciais, force re-registro de MFA e isole o endpoint.
7. Cace e aprenda: investigue escopo (encaminhamentos ocultos, e-mails enviados, dados expostos), procure os mesmos indicadores em toda a base e realimente as lições no programa de conscientização.

Perguntas frequentes