Os hackers não invadem, fazem login: engenharia social, IA e “paranoia educada”

A engenharia social é como acontece a maioria dos “hacks”: humanos, não firewalls. Neste guia amigável e em linguagem clara desmontamos o que é a engenharia social, o que ethical hackers como a Rachel Tobac fazem realmente, e como a IA (voice cloning, chamadas agênticas, deepfakes) está a mudar o jogo. Vais aprender uma abordagem simples de threat modeling e uma checklist de “paranoia educada”: passkeys, number matching e verificações fora de banda, para manter a tua equipa e família em segurança.

Intro (com café na mão ☕)

Se achas que hacking é um capuz e um terminal, só estás a ver metade do filme. A maioria dos breaches no mundo real começa com uma chamada, uma SMS ou um email simpático que leva um humano a abrir a porta. Isso é engenharia social, e é incrivelmente eficaz. Neste post vamos desmontar o que é a engenharia social, o que os ethical hackers realmente fazem, como a IA está a turbinar ataque e defesa, e os hábitos práticos (o meu playbook de “paranoia educada”) que podes aplicar em casa ou em toda a empresa.

Escrevo isto depois de ver uma entrevista excelente com a social engineer Rachel Tobac, que mostrou, ao vivo, como é fácil fazer spoof de um caller ID, clonar uma voz e enganar um amigo para entregar uma resposta de segurança. Arrepiante. Vamos usar lições dessa conversa e investigação actual para te dar um guia amigável, sem jargão, que podes pôr em prática já hoje.

O que é a engenharia social?

A engenharia social é a arte de persuadir uma pessoa a fazer uma acção que ajuda o atacante: clicar num link, ditar um código, fazer reset à password, segurar uma porta. Pensa em phishing (email), smishing (SMS), vishing (voz) e pretextos presenciais. É psicologia, pressão e timing.

Porque é que isto importa? Porque “o elemento humano” aparece na maioria dos breaches. O Data Breach Investigations Report da Verizon tem encontrado consistentemente que pessoas, erros, mau uso e engenharia social, estão envolvidas na maioria dos incidentes (por exemplo, 68% no relatório de 2024; em 2025 o elemento humano continua a dominar).

Quando ouvires “foram hackeados”, traduz para: “alguém convenceu um humano a abrir a porta”.

O que é um ethical hacker?

Ethical hackers (também chamados white-hat) são profissionais que usam as mesmas técnicas dos criminosos, com permissão, para encontrar fraquezas antes dos maus da fita. Correm penetration tests, montam campanhas de phishing e praticam engenharia social para provar o risco, e depois ajudam a corrigir. Uma certificação comum é o CEH (Certified Ethical Hacker), mas o coração do trabalho é testes disciplinados e relatórios transparentes. (O EC-Council define ethical hacking como intrusão legal e legítima em sistemas para determinar vulnerabilidades.)

Os ethical hackers não estão ali para te dar “pwn”. Estão ali para ensinar e fortalecer as tuas defesas.

Quem é a Rachel Tobac?

A Rachel Tobac é CEO da SocialProof Security, uma ethical hacker e social engineer reconhecida que já competiu (e foi ao pódio) várias vezes no Social Engineering Capture the Flag da DEF CON. Forma empresas a substituir verificações de identidade fracas (como KBA) por MFA mais forte e controlos de processo, e popularizou a ideia de ser “educadamente paranoico“. Foi destacada pela RSA Conference, TechCrunch e muitas organizações de segurança.

A demo recente dela (o vídeo que inspirou este post) mostra como o spoofing de caller ID mais voice cloning consegue extrair uma resposta de segurança a um amigo de confiança em segundos. Um momento de ensino perfeito para mostrar porque é que a verificação fora de banda e as passphrases secretas importam.

Como é (embaraçosamente) fácil hackear humanos

Da entrevista da Rachel Tobac, eis uma cadeia simples (e assustadora):

• Spoof do caller ID: fazer uma chamada que aparece como o teu contacto no telefone de alguém. Se essa pessoa te tem gravado, aparece o teu nome e foto, credibilidade desbloqueada.
• Clonar a tua voz: com apenas uns ~10 segundos de áudio limpo (e tens horas online, certo?), um atacante consegue construir um voice clone que soa exactamente a ti. Reguladores e agências de protecção do consumidor já avisaram que voice cloning é hoje trivial e usado como arma em burlas.
• Fazer uma pergunta “inofensiva”: “Olha, lembra-me, qual era a mascote da nossa escola?” Ups. Isso é uma resposta clássica de knowledge-based authentication (KBA). Partilha-a uma vez e os atacantes conseguem fazer reset a contas bancárias, inboxes ou linhas móveis que ainda dependem de KBA.

É por isto que o KBA (“nome de solteira da mãe”, “primeiro animal de estimação”) tem falhas de raiz. Está tudo online, ou pode ser adivinhado ou arrancado por conversa.

Melhor: passar para multi-factor authentication (MFA) e métodos resistentes a phishing (detalhes em baixo). Mesmo a “básica” verificação em 2 passos por SMS bloqueia uma fatia enorme de ataques reais (a Google mediu 100% de bots automatizados, 96% de phishing em massa e 76% de ataques direccionados). Não é perfeito, mas é muito melhor que nada.

Métodos de ataque modernos com que te deves mesmo preocupar

Aqui ficam as coisas que vejo vezes sem conta quando ajudo equipas e por aí fora:

1. MFA fatigue (“push bombing”)
   Os atacantes fazem login com uma password vazada ou reutilizada, e depois inundam o teu telemóvel com prompts de aprovação até carregares em “Aprovar” só para parar o barulho. A Microsoft passou a usar number matching no Authenticator, mostra um código no ecrã de login que tens de introduzir na app, para travar isto. Liga em todo o lado onde puderes. 
2. Engenharia social ao help desk
   Grupos como o Scattered Spider / Octo Tempest ficaram famosos por ligar para os suportes a dizer “deixei cair o telemóvel na sanita; preciso de mover o MFA para um aparelho novo”, e a convencer o agente a fazer reset à conta. A Microsoft documentou as tácticas deste grupo: SIM swaps, credential phishing e abuso de help desk. Tranca os teus playbooks de suporte. 
3. Reutilização de credenciais + password spraying
   Um breach alimenta mil logins. Os atacantes tentam o mesmo email/password no teu VPN, apps cloud e folha de pagamentos. É por isto que passwords únicas (olá, password manager) e MFA não são negociáveis. O DBIR chama aos ataques a credenciais um dos principais métodos de acesso inicial, ano após ano.
4. Deepfake de vídeo/voz em fraude
   2024 deu-nos um caso grande: um colaborador financeiro alegadamente transferiu 25 milhões de dólares depois de uma videochamada deepfake que fazia parecer que o CFO e colegas estavam em linha. Não é argumento de filme, é business email compromise (BEC) moderno com maquilhagem de IA. Constrói uma cultura de verificação fora de banda para qualquer movimento de dinheiro.
5. Phishing clássico, agora polido por LLMs
   A gramática melhorou, o timing está mais afiado, e os payloads são os mesmos: roubo de cookies, hijack de sessão ou malware que rouba os teus refresh tokens. Formação mais controlos técnicos (DMARC, safe-link rewriting, isolamento) reduzem o raio de impacto.

A IA entrou na conversa: como os atacantes a usam

A IA não é “o hacker”. É o copiloto que acelera a investigação e escala o golpe:

• Voice cloning à escala. Chamadas automatizadas do tipo “Olá mãe, estou em apuros” e vishing a fingir ser o CEO estão a disparar. A FTC publicou avisos a consumidores especificamente sobre burlas de voice clone com IA. Usa passphrases secretas e um segundo canal para verificar.
• Phishing polido. Os LLMs geram emails que imitam o teu tom e estilo internos. Conseguem resumir o teu LinkedIn, GitHub ou press releases para construir isco à tua medida.
• Chamadas agênticas. Investigadores e criadores já demonstraram agentes de IA que fazem chamadas telefónicas, seguem um script e adaptam-se às respostas, essencialmente “social engineers robot”. A lição não é pânico, é processo: desenha os fluxos do help desk e da área financeira para que mesmo uma voz perfeita não consiga ultrapassar controlos sem checks fora de banda.
• Scraping de data brokers como recon. Os atacantes não precisam de “hackear” a tua privacidade; podem comprá-la. Reportagens recentes e acções regulatórias mostram que os data brokers continuam a tornar difícil o opt-out, e isso é o combustível para pretextos convincentes. Encolhe a tua pegada digital.

Threat modeling, versão conversa de café

Threat modeling é uma forma simples e estruturada de perguntar: o que estamos a proteger, de quem, como é que eles podem lá chegar, e qual é o nosso melhor movimento para os parar? Na prática, listas os teus activos críticos (dados de clientes, folha de pagamentos, consola de admin), os atacantes prováveis (burlões oportunistas, insiders, grupos direccionados), mapeias os caminhos de ataque mais realistas (phishing + MFA fatigue, reset via help desk, compromisso de fornecedor), e depois pontuas probabilidade vs. impacto para priorizar. O resultado não é uma tese: é um plano curto e vivo, com mitigações específicas (por exemplo, passkeys para admins, MFA com number matching, checks de pagamento fora de banda, acesso de menor privilégio), donos claros, e pressupostos que vais rever sempre que algo muda (nova app, novo fornecedor, nova equipa). Bem feito, o threat modeling transforma uma “preocupação de segurança” vaga num backlog focado que baixa risco a sério e poupa dinheiro.

1) Quem te pode ter como alvo?
És uma figura pública? Estás em finanças? Gaming? És founder no X? Um hospital? O teu perfil muda o atacante provável (criminoso, concorrente, oportunista).

2) O que querem?
Dinheiro (fraude de transferências), acesso (VPN/admin), dados (PII de clientes), notoriedade (defacement) ou disrupção (ransomware).

3) Como é que lá chegariam?
Escolhe 3 a 5 caminhos realistas: phishing + MFA fatigue; SIM swap + reset via help desk; compromisso de fornecedor; deepfake do CFO no Zoom + transferência urgente.

4) Qual é a única acção que pararia cada caminho?
Exemplos: MFA com number matching; sem resets via KBA; passkeys/security keys para admins; pagamentos com dupla aprovação e voiceback num número conhecido; step-up auth baseado em geo/hora.

“AI psychosis”: quando os chatbots se tornam yes-men (e porque isso é perigoso)

Há uma conversa crescente sobre pessoas a depender em excesso de “companheiros” de IA que afirmam crenças delirantes, ou que esbatem a realidade em momentos de stress. Embora “AI psychosis” não seja um termo clínico, já vimos incidentes trágicos e preocupantes em que conversas com chatbots aparecem ligadas a danos, e especialistas a alertar para riscos de saúde mental, sobretudo em adolescentes e jovens adultos. 

Dois pontos práticos para famílias e equipas:

• Não delegues os reality checks a um chatbot. Se a conversa entra em terreno perigoso (automutilação, conspirações, actividade ilegal), o modelo devia redireccionar e dar recursos, mas não podes partir do princípio que vai. (Políticas e guardrails de segurança variam.)
• Cria circuitos humanos. Para miúdos: incentiva tempo aberto sem dispositivos com amigos e família. Para equipas: qualquer decisão importante (jurídica, financeira, RH) precisa de revisão humana e de ficar documentada.

Isto não é anti-IA. É pró-humano. Usa IA para esboçar, resumir, traduzir e filtrar conteúdo, não como terapeuta ou “amigo”.

Como te proteger (e proteger a tua equipa) hoje

Aqui fica o starter pack de “paranoia educada” que recomendo a amigos, founders e CFOs. Se implementares metade disto, ficas muito à frente.

1) Mata a knowledge-based authentication (KBA)

Se o teu banco, operadora ou help desk verifica a identidade por data de nascimento, morada ou “professor favorito”, estás a uma chamada de um takeover total da conta. Pede MFA via app ou perguntas de segurança que podes definir como respostas sem sentido guardadas no teu password manager. (Melhor: passkeys/security keys, ver #3.)

2) Liga MFA em todo o lado, e faz-lhe upgrade

• No mínimo: verificação em 2 passos (SMS) é dramaticamente melhor que nada. Os dados reais da Google suportam isto.
• Melhor: prompts via app ou TOTPs (Authy, 1Password, Microsoft Authenticator).
• Óptimo (para admins e funções de alto risco): security keys FIDO2 ou passkeys. São resistentes a phishing por design. Mais sobre o que são passkeys e FIDO aqui: FIDO Alliance

3) Passa para passkeys/security keys

As passkeys usam criptografia de chave pública ligada ao teu dispositivo: sem password para roubar, nada para fazer phishing. Já são suportadas pelas grandes plataformas e são o caminho mais fácil para autenticação forte para a maioria dos utilizadores. Começa pelo email, password manager e consola cloud.

4) Defende-te contra MFA fatigue

Obriga number matching no Microsoft Authenticator (e em “challenge codes” semelhantes noutras apps). Ensina as pessoas: nunca aprovar um pedido que não iniciaste. Se os prompts continuam a aparecer, reporta, rápido.

5) Cria uma cultura “fora de banda”

Para transferências, salários ou resets de password: verifica sempre num segundo canal que tu já controlas (por exemplo, liga de volta para um número da tua lista de contactos, não do email ou SMS que acabaste de receber). Só isto já chegava para parar a maioria dos desastres de deepfake/BEC.

6) Encolhe o teu data exhaust (OSINT)

Os data brokers publicam o teu telefone, morada, familiares e mais. Isso é munição de recon para social engineers. Usa serviços como o Mozilla Monitor ou opt-outs manuais para reduzir a tua pegada. (Fica também de olho nas acções regulatórias contra abusos de brokers, há progresso.)

7) Prepara-te para burlas com voice cloning

• Define uma passphrase familiar/da empresa que nunca é publicada nem usada como piada online.
• Se uma chamada urgente pede dinheiro ou códigos, desliga e liga de volta para o contacto guardado.
• Lembra a quem gostas que os clones existem; a FTC tem orientações para consumidores que vale a pena partilhar.

8) Escolhe canais privados com cabeça

Para conversas sensíveis, o Signal já suporta usernames, por isso não tens de expor o teu número de telefone. É um default sólido para mensagens com encriptação end-to-end.

9) Treina a sério (e apoia com controlos)

Faz simulações curtas e amigáveis, com debriefs, e depois apoia as pessoas com controlos técnicos (autenticação de email, conditional access, monitorização de sessão). Sem culpas. É só aprendizagem.

Como é que isto ajuda o teu negócio

Vamos trazer isto para o teu P&L:

• Menos incidentes, menos downtime: uma única fraude de transferência ou um ransomware pode varrer o lucro de um trimestre. Passkeys + number matching + aprovações fora de banda reduzem esse risco dramaticamente.
• Auditores mais contentes, melhores seguros: as seguradoras perguntam cada vez mais por MFA resistente a phishing. Ter FIDO2 em vigor ajuda nos prémios e na narrativa de compliance.
• Onboarding/offboarding mais rápido: fluxos de identidade fortes (sem KBA, MFA padronizado) tornam o IT mais rápido e seguro, sobretudo em equipas remotas.
• Confiança da marca: os teus clientes não te vão ver nas notícias com o título “fomos vítimas de engenharia social”. Isso não tem preço.

Queres ajuda a priorizar? Começa pelos admins, finanças e suporte. Reforça primeiro esses fluxos de identidade, depois faz roll-out de passkeys para o resto.

Precisas de ajuda neste tema? Como encontrar devs validados

Se és business owner e queres ajuda a fazer roll-out de passkeys, security keys FIDO2, conditional access ou formação de “paranoia educada”, recomendo contratar developers e engenheiros de segurança validados, simpáticos, que vivem isto todos os dias. Recomendo a Codeable, que valida os seus developers em competência técnica e integridade profissional. Encontras lá gente fantástica e de confiança.

Disclosure de afiliado:
Este é um link que te leva à Codeable, uma plataforma onde trabalho há quase 10 anos, e confio em todos os experts que ela integra. Sente-te à vontade para abrir uma tarefa e fazer a tua pergunta, o link atribui-me como referrer da plataforma para essa tarefa.