Humanos São o Novo Malware? Como o Fator Humano Ameaça a Segurança da Informação

Resumo 

Este artigo discute como o fator humano continua sendo uma das maiores ameaças à segurança da informação. Por meio de exemplos reais e casos de engenharia social, reforça a importância da conscientização e da prevenção para evitar ataques cibernéticos. 

Abstract 

This article explores how the human factor remains one of the biggest threats to information security. Through real-world examples and social engineering cases, it highlights the importance of awareness and prevention to avoid cyberattacks. 

Apresentação 

Olá, meu nome é André Santos. Sou formado como Técnico em Redes de Computadores e atuo há alguns anos na área de suporte técnico em telecomunicações. Atualmente, estou cursando Análise e Desenvolvimento de Sistemas, e ao longo dessa jornada, tive a oportunidade de vivenciar diversas situações em que a segurança da informação foi comprometida — não por falhas técnicas, mas por descuidos humanos. Neste artigo, quero compartilhar uma reflexão sobre esse tema tão sério, que afeta tanto o ambiente empresarial quanto o nosso dia a dia pessoal. 

O Elo Mais Fraco? Talvez Seja Você 

Imagine a seguinte situação: uma funcionária de uma empresa recebe um e-mail urgente informando que um documento importante ainda não foi assinado. A mensagem alerta que, se a assinatura não for realizada rapidamente, a empresa poderá enfrentar sérios problemas jurídicos. 

O e-mail parece legítimo — visual profissional, linguagem formal, inclusive o logotipo de um órgão do governo. Há um botão chamativo, que promete levar diretamente ao documento. 

Sem desconfiar, sem parar para pensar, a funcionária clica. E nesse exato momento, ela abre a porta para um invasor. Não foi uma falha técnica. Tampouco foi um sistema vulnerável. Foi uma escolha humana. É nesse tipo de situação — extremamente comum — que o fator humano se revela o elo mais fraco da segurança da informação. 

Esse tipo de situação não é exceção — é mais comum do que parece. E é exatamente sobre isso que vamos falar neste artigo: como o comportamento humano se tornou uma das maiores ameaças à segurança da informação e o que podemos fazer para mudar esse cenário. 

O Fator Humano Como Ameaça Real 

Mesmo com todo o avanço tecnológico em sistemas de segurança — firewalls, antivírus e soluções automatizadas — o fator humano continua sendo uma das maiores vulnerabilidades da segurança da informação. Como vimos no exemplo anterior, pessoas desatentas ou mal orientadas se tornam a principal porta de entrada para ataques e roubos de dados. 

Muitas vezes, isso acontece por falta de instrução adequada. Funcionários que não recebem o treinamento certo acabam tomando decisões que comprometem a segurança de sistemas inteiros, gerando prejuízos milionários para empresas e instituições. 

Mas não se engane: não são apenas os desinformados que caem em golpes cibernéticos. Mesmo profissionais treinados, em momentos de distração ou confiança excessiva, podem ser enganados. 

Segundo um levantamento da Mimecast, o fator humano foi responsável por 95% das violações de dados em 2024. O dado chama atenção porque inclui até organizações que investem em treinamento — o que mostra que a conscientização precisa ser constante. 

Um exemplo marcante ocorreu em 2016, no Crelan Bank, da Bélgica. Criminosos comprometeram a conta de e-mail do CEO e, se passando por ele, convenceram um funcionário a realizar uma transferência. O resultado foi uma perda de US$ 75,8 milhões, descoberta apenas durante uma auditoria interna. Um simples clique, um único erro de julgamento — e o dano estava feito. 

Phishing: A Porta de Entrada Disfarçada 

Como vimos nos exemplos anteriores, o phishing é uma das formas mais comuns de engenharia social — um ataque cujo objetivo é enganar o usuário e roubar informações pessoais, como credenciais de login, números de cartões de crédito, dados bancários e até informações sigilosas da empresa. 

O golpe acontece quando o hacker se passa por uma entidade confiável, como um órgão do governo, um banco ou até um colega de trabalho, e envia mensagens por e-mail, SMS ou aplicativos de conversa. Essas mensagens normalmente carregam um tom de urgência, incentivando a vítima a clicar rapidamente em um link ou abrir um anexo. 

Como o golpe funciona: 

O criminoso simula ser uma pessoa ou instituição legítima para convencer o usuário a revelar informações confidenciais. O conteúdo costuma parecer extremamente convincente, com logotipos, linguagem formal e até páginas falsas muito parecidas com as verdadeiras. 

Um exemplo clássico é o que citei anteriormente: a funcionária que recebeu um e-mail falso sobre um documento jurídico urgente, aparentemente vindo de um site governamental. Sem desconfiar, clicou no link e acabou expondo o sistema da empresa a um ataque. 

O papel do link malicioso: 

Ao clicar no botão ou link, a vítima é redirecionada para um site falso, criado para capturar os dados digitados — como senhas, e-mails, tokens ou até informações de clientes. 

O que pode ser roubado: 

Com os dados em mãos, os invasores conseguem acessar contas bancárias, sistemas internos da empresa, e até prejudicar clientes. É um ataque silencioso, mas com potencial de causar prejuízos imensos. 

Como se proteger do phishing:

A melhor defesa contra o phishing é a conscientização. Algumas boas práticas incluem: 

• Treinamento contínuo: oriente sua equipe sobre os sinais de um ataque. Realize simulações de phishing com frequência para manter todos os funcionários alerta. 
• Pare, pense, e só então clique: incentive os funcionários a não tomarem decisões apressadas — especialmente diante de mensagens que exigem ações urgentes. 
• Verifique o remetente e o link: passe o mouse sobre links antes de clicar, confira se o e-mail é realmente da pessoa ou instituição que diz ser. 
• Use autenticação em dois fatores (2FA): Mesmo que a senha seja comprometida, o segundo fator impede o acesso indevido. Aplicativos como Google Authenticator, Microsoft Authenticator e Duo Mobile são ótimos aliados, inclusive para uso pessoal. 

Figura 1. "Cuidado com e-mails falsos: ofertas imperdíveis e urgência são sinais de golpe."

A Voz do Invasor: Entendendo e Combatendo o Vishing 

O vishing (voice phishing) é uma das técnicas mais empregadas por golpistas para obtenção de informações confidenciais, sejam elas pessoais ou corporativas. Neste tipo de ataque, os criminosos se passam por representantes de instituições legítimas, utilizando o gatilho mental da urgência para induzir as vítimas a fornecerem dados sem verificarem a autenticidade do contato. 

Funcionamento do golpe:

Os atacantes utilizam ferramentas como spoofing de identificador de chamadas e wardialing, além de softwares de ligação automatizada, URAs (Unidades de Resposta Audível) falsas e envio de mensagens de texto em massa (SMS spam) com conteúdo alarmante. 

Normalmente, o golpe envolve afirmações de que: 

• Um cartão foi utilizado de forma suspeita e é necessário confirmar ou contestar a transação; 
• Dados da vítima foram vazados ou houve tentativa de invasão; 
• Uma equipe de TI precisa acessar remotamente o dispositivo para aplicar medidas de segurança. 

Ao permitir o acesso remoto, o criminoso pode comprometer completamente o dispositivo da vítima, expondo dados sensíveis, acessos corporativos e senhas, de forma similar aos ataques por phishing. 

Medidas de prevenção:

Algumas práticas essenciais para evitar cair em golpes de vishing incluem: 

• Desconfiar de contatos inesperados que solicitem dados confidenciais, especialmente sob pressão de urgência; 
• Solicitar o nome do atendente e o número de protocolo da ligação, desligar e retornar por um canal oficial da empresa; 
• Não fornecer informações pessoais nem permitir acesso remoto sem verificação prévia; 
• Validar sempre a identidade da equipe de suporte técnico, garantindo que seja autorizada pela organização; 
• Adotar uma postura crítica e cuidadosa mesmo quando os dados apresentados parecerem legítimos. 

Figura 2. "Desconfie de ligações que pedem dados pessoais ou bancários."

Baiting e Dumpster Diving: A Ameaça pode Estar Fora da Tela 

O baiting, ou golpe da “isca”, consiste na utilização de elementos atrativos — como promoções, brindes ou dispositivos físicos — para despertar a curiosidade ou o desejo da vítima, levando-a a executar ações imprudentes. O principal objetivo desse tipo de golpe é obter acesso a redes, informações confidenciais ou gerar ganho financeiro direto. 

Como Funciona o Baiting:

Baiting explora impulsos psicológicos, principalmente o gatilho mental da urgência, levando as vítimas a ignorarem sinais óbvios de fraude. A seguir, os principais tipos de iscas utilizadas: 

• Malvertising (Publicidade maliciosa): Anúncios falsos, geralmente com promessas de vantagens imperdíveis, que direcionam o usuário a sites maliciosos com a intenção de roubar dados ou infectar o dispositivo. 
• Spear Baiting (Isca Direcionada): Técnica mais sofisticada, onde os criminosos miram vítimas específicas numa organização. Utilizam informações previamente coletadas para aumentar a credibilidade do golpe e enganar os alvos com mensagens personalizadas. 
• Physical Baiting (Isca Física): Dispositivos como pen drives ou QR codes falsos são deixados em locais estratégicos. Ao serem utilizados, executam softwares maliciosos que comprometem a máquina e a rede. Essa tática leva o ataque do ambiente digital para o mundo físico. 

Como se Proteger: 

• Desconfie de ofertas vantajosas demais: Se parece bom demais para ser verdade, provavelmente é um golpe. 
• Evite clicar em links de origem duvidosa: Mesmo que pareçam legítimos, verifique a procedência. 
• Nunca utilize dispositivos desconhecidos: Pen drives encontrados ou recebidos de forma suspeita devem ser descartados com segurança. 
• Verifique QR codes com cautela: Sempre confirme a fonte antes de escanear qualquer código. 

Baiting é eficaz justamente por utilizar a curiosidade humana como vetor de ataque. A prevenção depende principalmente da adoção de uma postura crítica frente a ofertas e ações fora do comum. 

Este tipo de ameaça se conecta diretamente ao próximo tema, Dumpster Diving, onde informações coletadas no lixo podem ser o gatilho inicial para golpes como o spear baiting — reforçando a importância da segurança da informação em todos os níveis. 

Figura 3. "Se parece bom demais para ser verdade, é golpe." 

Dumpster Diving: Riscos no Descarte de Informações 

O dumpster diving, ou “mergulho no lixo”, é uma técnica utilizada por criminosos para coletar informações sensíveis descartadas de forma inadequada. Essa prática envolve vasculhar lixeiras de empresas, residências ou locais públicos em busca de documentos, mídias e objetos que possam revelar dados pessoais, financeiros ou corporativos. 

Embora pareça rudimentar, o dumpster diving pode ser extremamente eficaz, especialmente quando combinado com outros tipos de ataque, como o spear phishing ou o spear baiting. Informações aparentemente inofensivas, como organogramas, crachás, rascunhos de e-mails, notas fiscais ou contratos, podem ser usadas para construir perfis detalhados das vítimas. 

Como Funciona o Dumpster Diving: 

• Coleta de documentos descartados: Criminosos procuram papéis jogados fora sem trituração, como relatórios, comprovantes bancários ou registros internos. 
• Busca por dispositivos eletrônicos: Itens como HDs, pendrives ou celulares descartados sem a devida formatação podem conter grandes volumes de dados sensíveis. 
• Observação de hábitos: Além dos dados, os atacantes podem identificar padrões de comportamento e rotina que facilitam invasões físicas ou virtuais. 

Como se Proteger: 

• Utilize fragmentadoras de papel: Todo documento sensível deve ser picotado antes do descarte. 
• Descarte seguro de mídias: Formate ou destrua fisicamente dispositivos de armazenamento antes de descartá-los. 
• Crie uma política de descarte: Organizações devem ter diretrizes claras sobre como eliminar informações de forma segura. 
• Educação e conscientização: Funcionários devem ser treinados para reconhecer o valor da informação, mesmo após o uso. 

O dumpster diving é um lembrete de que a segurança da informação não se limita ao ambiente digital. A negligência no descarte físico de documentos pode ser o ponto de entrada para ataques muito mais elaborados. Por isso, é essencial adotar práticas seguras em todas as etapas do ciclo de vida da informação. 

Figura 4. "Informações sensíveis jogadas fora podem virar armas nas mãos de criminosos."

E se você já caiu no golpe? 

Se você suspeita que foi vítima de algum dos golpes apresentados — como phishing, vishing, baiting ou dumpster diving —, é fundamental agir rapidamente para minimizar os danos e proteger suas informações: 

• Desconecte-se Imediatamente: Se clicou em um link suspeito, executou um arquivo desconhecido ou conectou um dispositivo físico (como um pen drive), desconecte o equipamento da internet imediatamente. Isso pode interromper o envio de dados a servidores maliciosos. 
• Altere Suas Senhas: Troque as senhas de todas as contas que possam ter sido comprometidas, começando pelas mais críticas (e-mail, banco, redes sociais e sistemas da empresa). Use senhas fortes, com combinações de letras, números e símbolos. 

Dica: Utilize um gerenciador de senhas confiável, como LastPass, Bitwarden ou 1Password, para gerar e armazenar senhas únicas e seguras. 

• Ative a Autenticação em Duas Etapas (2FA): Habilite o 2FA em todas as suas contas importantes. Assim, mesmo que alguém obtenha sua senha, ainda será necessário um segundo fator (como código no celular) para acessar. 
• Monitore Suas Contas: Fique atento a movimentações bancárias, e-mails e logins desconhecidos. Qualquer atividade incomum pode ser sinal de uso indevido dos seus dados. 
• Denuncie o Golpe: Informe a empresa ou instituição falsamente representada no golpe. Se o ataque envolveu dados corporativos, notifique imediatamente o setor de TI. Em casos mais graves, considere registrar um boletim de ocorrência junto à polícia especializada em crimes cibernéticos
• Reforce Sua Segurança: Não reutilize senhas. Evite clicar em links de fontes desconhecidas. Nunca conecte dispositivos não verificados em seu computador. Destrua fisicamente documentos sensíveis antes de descartá-los. 

Essa resposta imediata pode impedir o avanço de ataques, preservar seus dados e ajudar outras pessoas a não caírem em golpes semelhantes. Segurança digital é um hábito contínuo — e aprender com incidentes também faz parte da prevenção. 

Engenharia Social: A Arte de Enganar 

Nem sempre os cibercriminosos precisam invadir um sistema pela força. Em muitos casos, eles simplesmente enganam uma pessoa. A isso damos o nome de engenharia social — uma técnica baseada na manipulação psicológica, que explora emoções como medo, confiança, curiosidade ou empatia para induzir alguém a agir contra a segurança da empresa ou organização. 

Esse tipo de ataque tem como alvo o elo mais vulnerável de qualquer sistema: o ser humano. Mesmo um simples anúncio inofensivo, como uma propaganda sobre produtos para pets, pode ser usado como isca. Tudo depende de como o golpista consegue conectar a mensagem à psicologia da vítima. 

É justamente por isso que a engenharia social é tão eficaz: não ataca diretamente o sistema, mas quem o opera. 

O Golpe que Enganou Google e Facebook 

Um dos exemplos mais impressionantes de engenharia social ocorreu entre 2013 e 2015, quando o lituano Evaldas Rimasauskas orquestrou um dos maiores golpes do tipo já registrados. 

Ele e seus cúmplices criaram uma empresa fictícia com um nome semelhante ao de um fornecedor real de hardware, que de fato prestava serviços para o Google e o Facebook. Usando e-mails falsos extremamente convincentes, cobravam faturas legítimas — mas com instruções para que o pagamento fosse feito em contas bancárias controladas pelos golpistas. 

Resultado: mais de US$ 100 milhões foram desviados de duas das maiores empresas de tecnologia do mundo, tudo sem que uma única linha de código fosse quebrada. Apenas com manipulação. 

Confiança, Pressa e Falta de Atenção 

Em todos esses casos, a falha não foi do sistema — foi do fator humano. Os invasores sabem disso, e por isso investem em mensagens bem elaboradas, tom de voz convincente e aparências confiáveis. Tudo é feito para ganhar a confiança da vítima e fazer com que ela aja sem pensar duas vezes. 

E o mais perigoso: até profissionais experientes podem cair. 

Por isso, é fundamental desenvolver o hábito da dúvida. Ao receber e-mails, mensagens ou até ligações, é preciso respirar fundo, desacelerar e analisar. A engenharia social avança justamente quando agimos com pressa, medo ou excesso de confiança. 

Mitos sobre segurança da informação 

Antivírus resolve tudo — não basta investir em ferramentas de proteção se o comportamento do usuário não acompanha. Como dizia Pedro Ramalho um amigo e professor meu: “O melhor antivírus é o bom senso do usuário.” Afinal, o sistema pode alertar, mas se o usuário clica, a ameaça entra. 

Quem é pequeno não é alvo de ataques — qualquer pessoa pode ser alvo de ataque, então não é porque sua empresa é pequena que ela está isenta desses atos fraudulentos, invista em segurança para manter seus dados protegidos. 

Só técnicos precisam entender de segurança — todos nós devemos saber sobre segurança da informação, não apenas em empresas que trabalhamos, mas na nossa vida, nossos dados são preciosos e não queremos perder dados ou acessos que possam comprometer algum dado importante pessoal. 

Casos em empresas do Brasil 

A subsidiária da JBS nos Estados Unidos foi alvo de um ataque cibernético que paralisou parte de suas operações no país. Após consultar especialistas em segurança digital, a empresa optou por pagar o equivalente a US$ 11 milhões em resgate para retomar o controle de seus sistemas. 

“Foi uma decisão difícil para nossa empresa e para mim pessoalmente”, afirmou o CEO da JBS USA, Andre Nogueira. 

“No entanto, sentimos que essa decisão precisava ser tomada para evitar qualquer risco potencial aos nossos clientes.” 

Outro caso de destaque foi o das Lojas Renner, que também sofreu um ataque que tirou seu e-commerce do ar. A empresa afirmou adotar tecnologias e padrões rígidos de segurança e informou que acionou imediatamente seus protocolos de controle para conter o ataque e minimizar impactos. 

Embora a Renner não tenha confirmado oficialmente, fontes do mercado apontaram que o ataque teria sido causado por um ransomware — um tipo de sequestro digital em que os dados são criptografados e bloqueados por criminosos, que exigem pagamento para liberar o acesso. 

O episódio teve reflexo direto no mercado financeiro: as ações da empresa (LREN3) caíram 1,5% na bolsa após a divulgação do incidente. 

O que é ransomware? 

Ransomware é um dos ataques mais prejudiciais da atualidade. Os hackers invadem sistemas críticos, os bloqueiam com um software malicioso e, em seguida, exigem um valor financeiro de resgate para devolver o acesso aos dados. 

Esse tipo de ataque afeta empresas de todos os portes e, como vimos, pode causar interrupções operacionais, perdas financeiras e danos à reputação da marca. 

Prevenção Começa com Informação 

E você, leitor? Vai ser o elo mais fraco ou a primeira linha de defesa? 

Agora que chegou até aqui, vale a pena parar e refletir: você está realmente se protegendo ou deixando a porta aberta para os ataques? 

Que tal aproveitar o momento e revisar suas senhas, ativar a autenticação em dois fatores (2FA) e reforçar sua segurança digital? 

Se esse conteúdo foi útil para você — e acredita que também pode ajudar sua empresa, colegas de trabalho, amigos ou familiares — compartilhe! Segurança da informação é um trabalho coletivo. Quanto mais pessoas conscientes, menor o espaço para os ataques. 

Ah, e não esqueça de mandar esse artigo para aquele amigo que ainda acha que só o antivírus resolve tudo. 

Referências 

G1. JBS diz que pagou US$ 11 milhões em resposta a ataque hacker em operações nos EUA. G1 Economia, 09 jun. 2021. Disponível em: https://g1.globo.com/economia/noticia/2021/06/09/jbs-diz-que-pagou-11-milhoes-em-resposta-a-ataque-hacker-em-operacoes-nos-eua.ghtml. Acesso em: 14 maio 2025. 

INFOMONEY. Lojas Renner: os possíveis impactos do ataque hacker nas operações e nas ações da companhia. InfoMoney, 19 ago. 2021. Disponível em: https://www.infomoney.com.br/mercados/lojas-renner-os-possiveis-impactos-do-ataque-hacker-nas-operacoes-e-nas-acoes-da-companhia/. Acesso em: 14 maio 2025. 

SSL DRAGON. O que é um ataque de phishing e como evitá-lo?. SSL Dragon, s.d. Disponível em: https://www.ssldragon.com/pt/blog/o-que-e-ataque-phishing/. Acesso em: 14 maio 2025. 

RIGHT HAND AI. Exemplos de engenharia social e ataques famosos. Right-Hand Cybersecurity Blog, s.d. Disponível em: https://right--hand-ai.translate.goog/blog/social-engineering-examples/?_x_tr_sl=en&_x_tr_tl=pt&_x_tr_hl=pt&_x_tr_pto=tc. Acesso em: 14 maio 2025. 

VINCIWORKS. 5 dos golpes de phishing mais caros da história. VinciWorks Blog, s.d. Disponível em: https://vinciworks-com.translate.goog/blog/5-of-the-most-expensive-phishing-scams-in-history/?_x_tr_sl=en&_x_tr_tl=pt&_x_tr_hl=pt&_x_tr_pto=wa. Acesso em: 14 maio 2025. 

TECMUNDO. Erro humano contribuiu para 95% das violações de dados em 2024, revela pesquisa. TecMundo, 25 mar. 2024. Disponível em: https://www.tecmundo.com.br/seguranca/403347-erro-humano-contribuiu-para-95-das-violacoes-de-dados-em-2024-revela-pesquisa.htm?ab=true. Acesso em: 14 maio 2025. 

CHECK POINT. O que é um ataque de vishing?. Check Point Software Technologies. Disponível em: https://www.checkpoint.com/pt/cyber-hub/threat-prevention/what-is-phishing/what-is-a-vishing-attack/. Acesso em: 28 maio 2025. 

AVAST. O que é Vishing? Avast. Disponível em: https://www.avast.com/pt-br/c-what-is-vishing. Acesso em: 28 maio 2025. 

TERRANOVA SECURITY. What is Baiting? Terranova Security, 2021. Disponível em: https://www.terranovasecurity.com/blog/what-is-baiting. Acesso em: 28 maio 2025. 

TEALTECH. How to Prevent Baiting Attacks. TealTech, 2022. Disponível em: https://tealtech.com/blog/how-to-prevent-baiting-attacks/. Acesso em: 28 maio 2025. 

TECHTARGET. Dumpster diving. TechTarget. Disponível em: https://www-techtarget-com.translate.goog/searchsecurity/definition/dumpster-diving?_x_tr_sl=en&_x_tr_tl=pt&_x_tr_hl=pt&_x_tr_pto=tc. Acesso em: 28 maio 2025. 

MINUTO DA SEGURANÇA. Saiba o que é Dumpster Diving e qual o nível de fragmentação usar. Minuto da Segurança, 2020. Disponível em: https://minutodaseguranca.blog.br/saiba-o-que-e-dumpster-diving-e-qual-o-nivel-de-fragmentacao-usar/. Acesso em: 28 maio 2025. 

NORDVPN. Dumpster Diving Attack: o que é e como se proteger. NordVPN, 2021. Disponível em: https://nordvpn.com/pt-br/blog/dumpster-diving-attack/. Acesso em: 28 maio 2025.