Engenharia social é uma técnica de manipulação usada por criminosos para enganar pessoas e obter dados, acessos, dinheiro ou informações confidenciais.
Em vez de depender apenas de invasões técnicas, esse tipo de golpe explora comportamentos humanos, como confiança, medo, pressa, curiosidade, distração ou desejo de ajudar. Por isso, a engenharia social continua sendo uma das ameaças digitais mais perigosas em 2026.
- O que é engenharia social?
- Como funciona a engenharia social?
- Quais são os principais tipos de engenharia social?
- Exemplos de engenharia social no dia a dia
- Como se proteger da engenharia social?
- Engenharia social e empresas: por que o risco também é corporativo?
- Segurança digital começa antes do clique
O que é engenharia social?
Engenharia social é o uso de manipulação psicológica para convencer uma pessoa a tomar uma ação que beneficia o criminoso. Essa ação pode ser clicar em um link, informar uma senha, fazer uma transferência, baixar um arquivo, liberar acesso a uma conta ou compartilhar dados pessoais.
Na prática, a engenharia social funciona porque o golpe parece uma situação comum. Pode ser uma mensagem de banco, um aviso de entrega, uma falsa promoção, um pedido de ajuda, uma ligação urgente ou um contato de alguém se passando por uma empresa conhecida.
O objetivo é fazer com que a vítima aja antes de desconfiar. Por isso, a engenharia social não depende apenas de tecnologia. Ela depende principalmente de contexto, persuasão e confiança.
Como funciona a engenharia social?
A engenharia social geralmente começa com uma tentativa de aproximação ou convencimento. O criminoso cria uma situação falsa, mas plausível, para ganhar a atenção da vítima.
Essa situação pode envolver urgência, autoridade, recompensa, ameaça ou vínculo emocional. Quanto mais convincente for a história, maior a chance de a pessoa seguir a orientação sem checar.
Veja como esse processo costuma acontecer:
1. O criminoso escolhe um alvo
O alvo pode ser uma pessoa comum, um cliente de determinado serviço, um funcionário de empresa ou até um grupo inteiro. Em alguns casos, o golpe é disparado em massa. Em outros, é direcionado a uma pessoa específica.
2. Ele cria uma narrativa convincente
O golpista pode se passar por banco, loja, operadora, empresa de entrega, colega de trabalho, suporte técnico, órgão público ou pessoa conhecida.
A mensagem costuma parecer legítima porque usa nomes, logos, dados vazados, linguagem profissional ou informações retiradas de redes sociais.
3. A vítima é pressionada a agir
A engenharia social quase sempre tenta reduzir o tempo de reflexão. Por isso, aparecem frases como:
- “sua conta será bloqueada”;
- “confirme seus dados agora”;
- “última chance para resgatar”;
- “houve uma tentativa de acesso”;
- “preciso da sua ajuda com urgência”;
- “não conte para ninguém por enquanto”.
A pressa é uma das principais ferramentas do golpe.
4. O criminoso obtém o que deseja
Depois que a vítima confia na mensagem, o golpista pode conseguir senhas, códigos de verificação, dados bancários, acesso a contas, transferências financeiras, instalação de aplicativos maliciosos ou envio de documentos pessoais.
Quais são os principais tipos de engenharia social?
A engenharia social pode aparecer em diferentes formatos. Alguns golpes acontecem por e-mail, outros por SMS, ligação, WhatsApp, redes sociais ou sites falsos. A seguir, veja os tipos mais comuns.
Phishing
Phishing é um golpe em que o criminoso envia mensagens falsas para induzir a vítima a clicar em links, preencher formulários ou informar dados confidenciais.
O phishing costuma aparecer em e-mails, mensagens de redes sociais, anúncios falsos e páginas que imitam sites conhecidos.
Exemplo: a pessoa recebe um e-mail dizendo que sua conta será bloqueada e precisa acessar um link para “confirmar seus dados”. Ao clicar, ela é levada para uma página falsa que captura login, senha ou informações bancárias.
Sinais de alerta:
- remetente desconhecido;
- link com endereço estranho;
- erros de escrita;
- pedido de senha ou código;
- tom de urgência;
- promessa muito vantajosa.
Smishing
Smishing é uma variação do phishing feita por SMS ou mensagens curtas. O nome vem da combinação entre SMS e phishing. Esse golpe costuma usar mensagens objetivas, com links falsos e chamadas urgentes.
Exemplo: “Seu pedido foi taxado. Clique para regularizar a entrega.” Ao acessar o link, a vítima pode cair em uma página falsa de pagamento ou cadastro.
Sinais de alerta:
- cobrança inesperada;
- link encurtado;
- mensagem sem identificação clara;
- aviso de entrega que você não reconhece;
- pedido de pagamento imediato.
Vishing
Vishing é a engenharia social feita por ligação telefônica ou mensagem de voz. Nesse caso, o criminoso tenta convencer a vítima falando diretamente com ela.
O golpista pode se passar por atendente de banco, suporte técnico, central antifraude, loja ou empresa de serviços.
Exemplo: uma pessoa recebe uma ligação dizendo que houve uma compra suspeita em seu cartão. Durante a conversa, o suposto atendente pede senhas, códigos enviados por SMS ou orienta a vítima a instalar um aplicativo.
Sinais de alerta:
- ligação com tom de urgência;
- pedido de senha ou token;
- solicitação para instalar aplicativo;
- orientação para não desligar;
- transferência para outro suposto setor;
- pressão para resolver tudo na hora.
Pretexting
Pretexting acontece quando o criminoso cria uma história falsa para obter informações ou convencer a vítima a realizar uma ação. O golpe depende de um “pretexto”, ou seja, uma justificativa aparentemente legítima.
Exemplo: alguém se passa por funcionário de uma empresa e diz que precisa confirmar dados cadastrais para atualizar um contrato. Aos poucos, coleta informações pessoais, documentos ou dados de acesso.
Sinais de alerta:
- história muito detalhada, mas sem comprovação;
- pedido de dados sensíveis;
- abordagem inesperada;
- dificuldade em confirmar a identidade da pessoa;
- justificativa urgente para compartilhar informações.
Baiting
Baiting é um golpe baseado em isca. O criminoso oferece algo atrativo para fazer a vítima clicar, baixar ou acessar um conteúdo malicioso.
A isca pode ser um desconto, brinde, cupom, arquivo, download gratuito, vaga de emprego, conteúdo exclusivo ou promoção falsa.
Exemplo: um anúncio promete um produto caro por preço muito abaixo do normal. Para aproveitar, a pessoa precisa acessar um link e preencher dados pessoais ou bancários.
Sinais de alerta:
- oferta boa demais para ser verdade;
- promoção sem fonte oficial;
- pedido de cadastro excessivo;
- download de arquivo desconhecido;
- link fora do site da marca.
Perfis falsos
Perfis falsos são usados para se aproximar da vítima, criar confiança e aplicar golpes. Eles podem aparecer em redes sociais, aplicativos de relacionamento, plataformas de venda, grupos de mensagens ou comentários.
Esse tipo de engenharia social pode estar ligado a golpes do amor, catfishing, falsas oportunidades de trabalho, venda de produtos inexistentes ou pedidos de ajuda financeira.
Exemplo: uma pessoa cria um perfil com fotos roubadas, inicia uma conversa, constrói uma relação de confiança e, depois de algum tempo, pede dinheiro para uma emergência.
Sinais de alerta:
- perfil recém-criado;
- poucas publicações;
- fotos muito genéricas;
- dificuldade para fazer chamada de vídeo;
- histórias emocionais rápidas;
- pedido de dinheiro, dados ou favores.
Exemplos de engenharia social no dia a dia
A engenharia social pode parecer distante, mas está presente em situações comuns da rotina digital. Muitas vezes, o golpe começa com uma mensagem simples e bem construída. Veja alguns exemplos:
Falsa central de banco
A vítima recebe uma ligação dizendo que houve uma movimentação suspeita na conta. O suposto atendente pede códigos de segurança ou orienta a pessoa a transferir o dinheiro para uma “conta segura”. Nenhum banco solicita senha, token ou transferência para proteger valores.
Falso suporte técnico
O criminoso diz que há um problema no computador, celular, internet ou conta online. Em seguida, pede para a vítima instalar um programa de acesso remoto ou informar dados de login. Esse tipo de golpe pode dar ao criminoso controle sobre o dispositivo.
Golpe da entrega
A pessoa recebe uma mensagem sobre uma encomenda retida, taxa pendente ou tentativa de entrega. O link leva para uma página falsa de pagamento ou cadastro.
Esse golpe funciona porque muitas pessoas fazem compras online e podem acreditar que a mensagem é verdadeira.
Falsa vaga de emprego
O golpista oferece uma oportunidade atrativa, pede dados pessoais, documentos, pagamento de taxa ou cadastro em plataforma suspeita. Vagas legítimas não exigem pagamento para liberar contratação.
Pedido urgente no WhatsApp
O criminoso se passa por familiar, amigo ou chefe e pede dinheiro com urgência. Em alguns casos, usa foto da pessoa e afirma que trocou de número. Antes de transferir qualquer valor, confirme por ligação ou por outro canal confiável.
Promoção falsa
A vítima vê uma oferta muito vantajosa em redes sociais, acessa um link e informa dados de pagamento. O produto não existe ou o site é falso. Desconfie de descontos exagerados e sempre confira se a promoção aparece nos canais oficiais da marca.
Como se proteger da engenharia social?
A principal forma de se proteger da engenharia social é criar o hábito de desconfiar de abordagens inesperadas, principalmente quando envolvem urgência, dinheiro, senha ou dados pessoais. Algumas atitudes simples ajudam a reduzir riscos.
Não clique em links sem verificar
Antes de clicar, confira o endereço do site, o remetente e o contexto da mensagem. Se a comunicação veio por SMS, e-mail ou WhatsApp, procure o canal oficial da empresa em vez de acessar o link recebido.
Nunca informe senhas ou códigos
Senhas, tokens e códigos de verificação são pessoais. Empresas, bancos, operadoras e plataformas digitais não pedem esse tipo de informação por mensagem ou ligação. Se alguém pedir um código enviado ao seu celular, desconfie imediatamente.
Ative a autenticação em dois fatores
A autenticação em dois fatores adiciona uma camada extra de segurança às suas contas. Mesmo que uma senha seja descoberta, o criminoso terá mais dificuldade para acessar o perfil. Sempre que possível, prefira aplicativos autenticadores em vez de códigos por SMS.
Confirme pedidos por outro canal
Recebeu um pedido urgente de dinheiro, informação ou acesso? Confirme por outro meio antes de agir. Ligue para a pessoa, acesse o site oficial, use o aplicativo da empresa ou procure um canal de atendimento confiável.
Desconfie de urgência e pressão emocional
Golpes de engenharia social costumam tentar impedir que a vítima pense com calma. Por isso, tenha atenção às mensagens que causam medo, culpa, ansiedade ou sensação de oportunidade única. Pausar alguns minutos antes de responder pode evitar um grande prejuízo.
Proteja seus dados nas redes sociais
Informações públicas podem ser usadas para tornar golpes mais convincentes. Datas, locais, rotina, nomes de familiares, empresa onde trabalha e fotos pessoais ajudam criminosos a montar abordagens personalizadas. Revise suas configurações de privacidade e evite expor dados sensíveis.
Mantenha dispositivos e aplicativos atualizados
Atualizações corrigem falhas de segurança e ajudam a proteger celulares, computadores e aplicativos. Também é importante usar antivírus, senhas fortes e redes confiáveis.
Engenharia social e empresas: por que o risco também é corporativo?
A engenharia social também é um risco para empresas, porque muitos ataques começam explorando pessoas, não sistemas.
Um funcionário pode receber um e-mail falso em nome de um fornecedor, uma mensagem se passando por liderança da empresa ou uma ligação solicitando informações internas. A partir disso, o criminoso pode obter acesso a sistemas, documentos, dados de clientes ou recursos financeiros.
Entre os golpes corporativos mais comuns estão:
- falso e-mail de cobrança;
- alteração fraudulenta de dados bancários de fornecedores;
- mensagem falsa em nome de gestores;
- tentativa de roubo de credenciais;
- envio de arquivos maliciosos;
- acesso indevido a sistemas internos;
- pedido falso de compra, pagamento ou transferência.
Por isso, a segurança digital nas empresas não depende apenas de ferramentas. Ela também exige treinamento, processos claros, validação de solicitações sensíveis e canais oficiais para confirmar pedidos incomuns.
Boas práticas como autenticação em dois fatores, controle de acessos, políticas de senha, backups, atualização de sistemas e orientação contínua aos colaboradores ajudam a reduzir riscos.
Segurança digital começa antes do clique
A engenharia social mostra que muitos golpes digitais não começam com uma invasão, mas com uma conversa, uma mensagem ou um pedido aparentemente comum.
Em 2026, com mensagens mais bem escritas, perfis falsos mais convincentes e recursos de inteligência artificial cada vez mais acessíveis, a atenção antes do clique se tornou parte essencial da segurança online.
Antes de informar dados, acessar links, fazer pagamentos ou atender pedidos urgentes, pare e verifique. Desconfie de abordagens inesperadas, confirme informações em canais oficiais e nunca compartilhe senhas ou códigos de segurança.
Vá além:

