Engenharia Social

Phishing é responsável por mais de 90% dos incidentes como vetor inicial. Phishing moderno bypassa MFA via proxies adversary-in-the-middle, usa domínios similares com SSL válido e personalização via OSINT. Entender a infraestrutura completa é essencial para defesa efetiva.

Spear phishing é phishing cirúrgico — cada mensagem é criada especificamente para uma vítima usando OSINT detalhado. Taxa de sucesso 3-5x maior que phishing genérico. Usado por APTs para acesso inicial e por criminosos para BEC (Business Email Compromise) com perdas de bilhões por ano.

Vishing (voice phishing) usa ligações telefônicas para manipular vítimas. Bypassa completamente filtros técnicos de email e web. Com spoofing de caller ID e deepfake de voz, atacantes se passam por CEOs, bancos e suporte técnico com alta taxa de sucesso.

Pretexting é a criação de um cenário fictício convincente para manipular uma vítima. É a base de qualquer ataque de engenharia social bem-sucedido — sem um bom pretexto, phishing e vishing falham. Entender os princípios psicológicos que tornam pretextos eficazes é fundamental para defesa.