// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Engenharia Social / Pretexting — A Arte do Disfarce
● Intermediário 18 min de leitura Pretexting Engenharia Social Impersonação Red Team Manipulação Psicologia

Pretexting — A Arte do Disfarce

Pretexting é a criação de um cenário fictício convincente para manipular uma vítima. É a base de qualquer ataque de engenharia social bem-sucedido — sem um bom pretexto, phishing e vishing falham. Entender os princípios psicológicos que tornam pretextos eficazes é fundamental para defesa.

O que é Pretexting

Pretexting é a construção de uma identidade ou cenário falso para ganhar confiança e extrair informações ou ações de uma vítima. Enquanto phishing é a ferramenta, o pretexto é o roteiro. Um pretexto bem construído faz a vítima querer ajudar o atacante.

Princípios Psicológicos de Cialdini

1. Autoridade
   "Aqui é o auditor da Receita Federal"
   "Sou o diretor de TI — preciso de acesso agora"
   Pessoas obedecem figuras de autoridade sem questionar

2. Urgência / Escassez
   "O sistema vai ser bloqueado em 10 minutos"
   "Precisamos resolver isso antes do fechamento hoje"
   Urgência elimina o pensamento crítico

3. Reciprocidade
   Fazer um favor antes de pedir
   "Consegui resolver seu problema da semana passada..."
   Pessoas sentem obrigação de retribuir

4. Prova Social
   "Todos os outros funcionários já atualizaram"
   "Seu colega João me passou os dados ontem"
   Pessoas seguem comportamento percebido do grupo

5. Simpatia / Rapport
   Criar conexão antes de pedir
   Espelhar linguagem, interesses, sotaque da vítima
   Pessoas ajudam quem gostam

6. Comprometimento / Consistência
   Pequenos "sins" levam a "sins" maiores
   "Você é responsável pela segurança do setor, né?"
   → "Então com certeza pode me ajudar com isso"

Pretextos Clássicos e Eficazes

Técnico de TI / Suporte

-- Cenário: atualização urgente de sistemas
"Bom dia, sou o Carlos da TI central. Estamos
 fazendo uma migração de emergência hoje e precisamos
 acessar sua estação. Pode me passar a senha temporária?"

-- Por que funciona:
-- Autoridade (TI)
-- Urgência (migração de emergência)
-- Familiaridade (nome e contexto plausíveis)

-- Evolução: ligar primeiro, depois enviar "email de confirmação"

Auditor / Compliance

-- Cenário: auditoria regulatória
"Aqui é a Dra. Ana Lima, auditora externa contratada
 pelo conselho para a revisão SOX deste trimestre.
 Preciso dos logs de acesso dos últimos 30 dias."

-- Por que funciona:
-- Autoridade máxima (auditor externo + conselho)
-- Conformidade regulatória = medo de não cooperar
-- Específico (SOX, trimestre, tipo de dado)

Fornecedor / Parceiro

-- Cenário: urgência de entrega
"Olá, sou da Empresa XYZ, fornecedores de vocês.
 Tivemos um problema no sistema e perdemos o acesso
 ao portal de fornecedores. Pode me passar as
 credenciais temporariamente para eu enviar a NF hoje?"

-- Por que funciona:
-- Relacionamento existente (fornecedor real identificado via OSINT)
-- Urgência financeira (nota fiscal = pagamento)
-- Pede algo que parece inofensivo

Recrutador / RH

-- Cenário: pesquisa de satisfação
"Estou fazendo uma pesquisa interna de satisfação
 dos funcionários. É completamente anônima. Pode me
 falar sobre as ferramentas que você usa no dia a dia?"

-- Extrai: tecnologias, sistemas internos, fornecedores
-- Sem pedir nada sensível diretamente
-- A vítima voluntariamente mapeia o ambiente de TI

Pretexting Físico (Tailgating e Acesso)

-- Tailgating / Piggybacking
-- Seguir funcionário autorizado por porta de acesso controlado
-- Fingir estar de mãos cheias (café, caixa, materiais)
-- A maioria das pessoas segura a porta por educação

-- Disfarces físicos eficazes:
-- Uniforme de entrega (Amazon, Correios, Rappi)
-- Crachá falso da empresa (impresso com logo)
-- Técnico de manutenção (caixa de ferramentas)
-- Fotógrafo / videógrafo para "evento interno"

-- Baiting físico:
-- Deixar pen drives rotulados "Salários 2026.xlsx" no estacionamento
-- Pessoas conectam por curiosidade → malware executa
-- Testado pelo Departamento de Homeland Security: 60% das pessoas conectaram

-- Drop Attack:
-- Deixar dispositivo malicioso (keylogger USB, implante de rede)
-- Conectado por funcionário curioso ou achando ser da empresa

Red Team — Executando Pretexting Profissionalmente

-- Documentação antes de começar:
-- Scope assinado com cenários autorizados
-- Contato de emergência para caso de flagrante
-- "Get out of jail free card" (autorização escrita)

-- Preparação:
-- OSINT completo do alvo e da vítima
-- Ensaiar o roteiro (voz, respostas para objeções)
-- Ter "documentos" prontos (email de suporte falso, etc.)
-- Plano B para cada pergunta difícil

-- Relatório pós-exercício:
-- Qual pretexto funcionou e por quê
-- Qual informação foi obtida
-- Quanto tempo levou
-- Recomendações específicas de treinamento

Prevenção

  • Cultura de Verificação — nunca fornecer senha ou acesso sem verificar identidade por canal separado (ligar de volta para número oficial)
  • Treinamento de Reconhecimento — ensinar os 6 princípios de Cialdini; quando sentir urgência artificial, pausar e verificar
  • Política Clara de Acesso — TI nunca pede senha por telefone; qualquer pedido desse tipo = reportar ao SOC
  • Exercícios de Red Team Social — simular pretexting mensalmente; medir e melhorar resposta
  • Controle de Crachás — nunca segurar porta para estranhos; visitantes sempre escoltados
  • Política de Pen Drives — proibido conectar qualquer dispositivo encontrado ou não autorizado
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista