# Manipulação A categoria **Técnicas de Manipulação** documenta os métodos psicológicos e comportamentais utilizados por engenheiros sociais para influenciar, persuadir ou coagir indivíduos a agir contra seus próprios interesses ou violar políticas de segurança estabelecidas. Diferente de ataques puramente técnicos (phishing, malware, exploração de vulnerabilidades), estas abordagens exploram **vieses cognitivos**, **emoções** e **princípios psicológicos universais** — muitas vezes contornando as mais sofisticadas defesas tecnológicas ao atacar o elo mais vulnerável: o ser humano. *** ### Princípios Psicológicos Fundamentais Baseado no trabalho seminal de **Robert Cialdini** (*Influence: The Psychology of Persuasion*) e adaptado para o contexto de segurança da informação. | Princípio | Descrição | Aplicação em Engenharia Social | Exemplo Clássico | | ---------------------------------- | ------------------------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------- | | **Autoridade** | Pessoas tendem a obedecer figuras de autoridade legítimas (ou percebidas como tal) | Fingir ser executivo, policial, técnico de TI, auditor, médico ou advogado | "Aqui é da TI corporativa. Detectamos atividade suspeita na sua conta. Preciso que confirme suas credenciais." | | **Escassez** | Oportunidades parecem mais valiosas quando são limitadas ou únicas | "Última vaga", "promoção por tempo limitado", "estoque acabando", "oferta exclusiva" | "Restam apenas 3 licenças deste software com 70% de desconto. Garanta a sua agora." | | **Reciprocidade** | Forte sentimento de obrigação social a quem oferece algo primeiro, mesmo que não solicitado | Oferecer ajuda, brindes, informações "privilegiadas", um pequeno favor, um café ou um elogio | "Te enviei um material exclusivo sobre segurança. Só preciso que você instale este pequeno programa para retribuir." | | **Prova Social (Consenso Social)** | Seguir o comportamento de outras pessoas, especialmente em situações ambíguas | "Todo mundo já aderiu", "seus colegas do setor já assinaram", "é o procedimento padrão" | "Seus 23 colegas do financeiro já executaram essa atualização. Você é o único faltando." | | **Simpatia / Liking** | Pessoas dizem sim para quem gostam ou com quem se identificam | Elogios, interesses em comum (pescaria, futebol, filhos), falsa familiaridade, aparência semelhante | "E aí, tudo bem? Também achei esse sistema novo complicado. Me ajuda aqui rapidão?" | | **Compromisso / Consistência** | Forte impulso de manter ações alinhadas com compromissos ou declarações anteriores, mesmo que pequenos | Obter pequenas concessões ("sim" inicial) antes do pedido maior (técnica do "pé na porta") | "Você concorda que segurança é importante? Ótimo. Então, só por hoje, compartilhe sua senha conosco para uma verificação." | | **Urgência** | Decisões apressadas, tomadas sob pressão de tempo, inibem a análise crítica e a verificação | "Resolva agora ou terá consequências graves", "sua conta será bloqueada em 1 hora" | "Seu computador será desconectado da rede em 15 minutos se você não executar este script agora." | *** ### Técnicas de Manipulação por Categoria #### 1️⃣ Exploração de Autoridade (Abuso de Confiança) | Técnica | Descrição | Vetor Comum | Exemplo Detalhado | Indicadores de Alerta Específicos | | --------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------- | | **Vishing de TI (Tech Support Scam)** | Fingir ser suporte técnico (Microsoft, Apple, TI interna) para obter acesso remoto, credenciais ou instalar malware | Telefone (chamada ativa ou "devolução de chamada"), Chat, Pop-up | "Seu computador está infectado e enviando vírus. Ligue para este número 0800 imediatamente para assistência gratuita." | Chamada não solicitada; pedido de instalação de software remoto (AnyDesk, TeamViewer); solicitação de senha | | **CEO Fraud (BEC - Business Email Compromise)** | Se passar por executivo (CEO, CFO, diretor) para autorizar transferências financeiras, dados sensíveis ou pagamentos de fornecedores | E-mail (com spoofing ou domínio similar), SMS, WhatsApp | "Preciso que você transfira R$ 50.000,00 para este fornecedor (novo banco) com urgência. Estou em reunião, não posso falar." | Linguagem mais informal que o habitual; pedido fora do processo; "urgência" + "confidencialidade" | | **Falso Auditor (Auditor Impersonation)** | Simular auditoria interna, externa, de conformidade (LGPD, SOX, ISO) ou fiscalização | Presencial (com crachá falso), E-mail, Telefone | "Estou aqui para a auditoria surpresa de conformidade. Preciso das senhas do sistema e acesso aos servidores." | Ausência de aviso prévio pelo canal oficial; solicitação de credenciais (nenhum auditor pede senha) | | **Impersonamento Legal / Autoridade Governamental** | Fingir ser advogado, policial, delegado, promotor, oficial de justiça, Receita Federal, Banco Central | Telefone, Carta falsa, E-mail, WhatsApp | "Aqui é o delegado Dr. Souza. Seus dados estão envolvidos em um esquema de lavagem de dinheiro. Preciso de todas as suas senhas bancárias para 'averiguação'." | Ameaça de prisão ou multa imediata; pedido de informações sigilosas; recusa em fornecer identificação verificável | | **Pretexting (Criação de Cenário Falso Elaborado)** | Criação de um cenário (pretexto) fictício, porém plausível, para extrair informações específicas. Mais elaborado que a simples autoridade. | Telefone, Presencial, E-mail | "Olá, sou da equipe de infraestrutura. Vamos substituir os firewalls hoje. Preciso saber quais são as regras de acesso da sua equipe para não impactar vocês." | Perguntas específicas sobre processos internos; conhecimento superficial da empresa; recusa em usar canais oficiais | #### 2️⃣ Criação de Urgência e Medo (Exploração da Aversão à Perda) | Técnica | Descrição | Vetor Comum | Exemplo Detalhado | Gatilho Emocional Primário | | ------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------ | | **Conta prestes a expirar / Suspensão** | Ameaçar desativação, bloqueio ou suspensão de conta (e-mail, banco, rede social, Netflix, provedor) para obter credenciais ou pagamento | E-mail, SMS, Pop-up, Telefone | "Sua conta do Internet Banking será desativada em 2 horas por falta de atualização cadastral. Clique aqui para verificar seus dados." | **Medo da perda de acesso / serviço** | | **Multa, Penalidade ou Ação Legal Iminente** | Inventar consequências legais, financeiras ou administrativas graves | Telefone, Carta falsa, E-mail, SMS | "Você tem uma multa não paga de R$ 1.500,00 (DETRAN/RECEITA). Pague agora via PIX (link anexo) para evitar bloqueio do CPF e juros de 200%." | **Medo de punição / dano financeiro** | | **Emergência Fictícia (Golpe do Falso Sequestro / Acidente)** | Criar crise aguda envolvendo familiar ou pessoa próxima, exigindo ação imediata e isolada da vítima | Telefone, WhatsApp, SMS | "Pai, sofri um acidente grave e estou no hospital. Só falta pagar o atendimento. Me manda R$ 3.000,00 por Pix agora para este número." (Voz clonada por IA é uma evolução) | **Medo / Pânico pela segurança de ente querido** | | **Ransomware Simulado (Data Breach Scare)** | Alegar que dados já foram criptografados, exfiltrados ou que o dispositivo foi hackeado, exigindo resgate | E-mail (com senha antiga vazada), Pop-up | "Seus dados foram roubados (veja sua senha antiga: \*\*\*\*\*\*\*\*). Pague R$ 5.000,00 em Bitcoin em 24h ou vazaremos tudo para seus contatos." | **Medo de exposição / humilhação** | #### 3️⃣ Exploração de Emoções Positivas (Ganho / Greed) | Técnica | Descrição | Vetor Comum | Exemplo Detalhado | Gatilho Emocional Primário | | -------------------------------------------------- | -------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------- | | **Prêmio, Sorteio ou Herança Inesperada** | Informar falsa vitória, prêmio ou direito a valores para coletar dados cadastrais, pagar "taxas" ou "impostos" | E-mail, SMS, Pop-up, Redes Sociais | "Parabéns! Você ganhou um iPhone 15 Pro Max 1TB + R$ 50.000,00! Clique aqui e pague apenas o frete e os impostos (R$ 150,00) para retirar." | **Ganância / Excitação** | | **Falsa Ajuda Técnica (Suporte "Bom Samaritano")** | Oferecer solução gratuita ou ajuda para um problema que não existe ou que foi criado artificialmente | Telefone, Chat, Pop-up | "Detectamos um erro crítico no seu roteador/sistema. Podemos corrigir remotamente e gratuitamente agora mesmo, antes que piore." | **Alívio / Gratidão antecipada** | | **Elogio Instrumental (Bajulação Estratégica)** | Usar elogios excessivos e específicos para reduzir resistência, abaixar defesas e criar dívida social | Presencial, Telefone, E-mail | "Você sempre foi o funcionário mais competente e confiável do setor. Só você pode me ajudar com essa solicitação urgente e sigilosa." | **Vaidade / Necessidade de ser útil** | | **Oferta Exclusiva (VIP Scam)** | Promover benefício, desconto ou oportunidade "apenas para você" ou para um grupo seleto | E-mail (segmentado), Redes sociais (anúncio direcionado), SMS | "Cliente VIP, temos uma oferta especial e sigilosa só para hoje: 90% de desconto no novo produto. Link pessoal e intransferível." | **Sensação de exclusividade / status** | #### 4️⃣ Manipulação por Prova Social e Conformidade | Técnica | Descrição | Vetor Comum | Exemplo Detalhado | Mecanismo Psicológico | | ----------------------------------------------- | -------------------------------------------------------------------------------------------------------------- | ------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------ | | **Testemunho Falso (Fabricação de Consenso)** | Citar pessoas, empresas, departamentos ou "especialistas" que já aderiram, confiaram ou executaram a ação | E-mail, Landing page, Presencial, Telefone | "Seus colegas do setor de marketing, contabilidade e diretoria já assinaram a nova política de segurança. Você é o único pendente." | **Medo de ficar de fora / ser diferente** | | **Falso Consenso (Pressão de Grupo Implícita)** | Afirmar, sem prova, que a maioria ou o procedimento padrão já determinou determinada ação | Presencial, Telefone, E-mail interno falso | "Conforme combinado internamente, todos os funcionários já atualizaram sua senha hoje via este link. Faça o mesmo para evitar bloqueio." | **Desejo de conformidade / evitar atrito** | | **Referência Fabricada (Name-Dropping)** | Mencionar o nome de um colega real, superior ou conhecido da vítima para gerar falsa familiaridade e confiança | E-mail, Telefone, Presencial | "O João do financeiro (nome real) me indicou para falar com você sobre um projeto urgente. Ele disse que você é a pessoa mais indicada." | **Falsa confiança por associação** | #### 5️⃣ Engenharia Social Reversa (O Ataque que Cria o Problema) | Técnica | Descrição | Vetor Comum | Exemplo Detalhado | Perigosidade | | ---------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------- | | **Criação de Problema Físico ou Lógico** | Causar um problema real (e inofensivo) no ambiente para depois aparecer como a solução (o "herói") | Físico (escritório, data center), Digital (DoS localizado, queda de serviço menor) | 1. Desligar o nobreak de um setor. 2. Aguardar o chamado de suporte. 3. Aparecer como "técnico da manutenção predial" enviado para resolver. | **Alta** (a vítima busca ativamente o atacante) | | **Falsa Reclamação / Problema com Serviço** | Fingir ser cliente, usuário ou fornecedor insatisfeito com um problema grave para ser escalado a funcionários com mais privilégios | Telefone, Chat, E-mail | "Sou fornecedor e estou com um problema gravíssimo no sistema de pagamentos. Já falei com 3 atendentes. Só o gerente da TI ou o diretor podem resolver. Me transfira." | **Média a Alta** | | **Oferta de Ajuda Não Solicitada (Após Observação)** | Observar uma dificuldade real (ou criar uma pequena) e se oferecer como ajudante para ganhar acesso ou confiança | Presencial (estacionamento, portaria, corredor) | "Vi você com dificuldade na catraca de acesso. Eu trabalho na manutenção predial, posso ajudar e até liberar um acesso temporário para você hoje." | **Média** (explora cortesia e boa vontade) | *** ### 🚩 Indicadores de Alerta (Red Flags) por Categoria #### Para o Usuário Final (Treinamento) * **Pressão por tempo** – "Resolva agora ou perca o acesso / será penalizado" * **Solicitação fora do canal oficial** – TI pedindo senha por telefone ou e-mail * **Oferta boa demais para ser verdade** – Prêmios sem participação, ajuda gratuita, dinheiro fácil * **Autoridade não verificável** – Não é possível ligar de volta para um número oficial conhecido * **Pedido direto de informações sensíveis** – Senhas, tokens 2FA, códigos de verificação, dados bancários completos, biometria * **Emoção exacerbada (positiva ou negativa)** – Medo, excitação, urgência, ganância, compaixão forçada * **Erros de gramática, ortografia ou formatação estranha** (nem sempre presente, mas atente) * **Número de telefone ou e-mail do remetente incompatível com o órgão/empresa** * **Solicitação de sigilo ou confidencialidade** – "Não conte para ninguém", "é uma ação secreta" #### Para a Equipe de Segurança (Análise Técnica) * **Domínios recém-registrados ou com homografia** (ex: microsoft-verify.com vs microsoft.com) * **Certificados SSL em domínios recém-criados** * **Padrões de linguagem inconsistentes com o remetente esperado** * **URLs encurtadas sem contexto claro** * **Arquivos anexos com macros ou scripts** * **Horários de envio incomuns (madrugada, finais de semana para assuntos corporativos)** *** ### 🛡️ Estratégias de Mitigação (Contramedidas) #### Para Organizações (Nível Gerencial e de Processo) | Categoria | Estratégia | Implementação | | -------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------- | | **Pessoas** | Treinamentos regulares e obrigatórios com simulações realistas (phishing, vishing, pretexting) | Plataformas de simulação (KnowBe4, Proofpoint, L7 Defense). Ciclo trimestral. | | **Processo** | Política de "verificação em dois canais" (dual-channel verification) para solicitações sensíveis (transferências, acesso a dados, reset de senha) | Regra: toda solicitação fora do comum exige confirmação por canal diferente (ex: telefone + e-mail interno, ou chat + presencial). | | **Processo** | Canais oficiais e públicos para verificação de identidade (nunca confiar em ligação ou e-mail recebido – sempre iniciar contato próprio) | Criar "números de ramal inverso" (discar o número conhecido do banco/empresa, não o fornecido). | | **Processo** | Códigos de verificação e aprovação em duas etapas (maker-checker) para ações críticas | Transferências acima de certo valor, acesso a dados sensíveis, alterações de roteador/firewall. | | **Cultura** | Cultura de "questionamento seguro" e "não é falta de educação" – funcionários podem e devem dizer "não" e verificar sem medo de represália | Comunicação da liderança: "é seguro questionar. Preferimos uma dúvida a um incidente." | | **Tecnologia** | Filtros de e-mail avançados (DMARC, DKIM, SPF, análise de anexos sandbox) e bloqueio de chamadas suspeitas (STIR/SHAKEN) | Configuração correta de registros DNS; gateway de e-mail com machine learning. | #### Para Indivíduos (Nível Pessoal / Comportamental) | Ação | Como Fazer | | ------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------- | | **Desconfiar ativamente de solicitações urgentes e não solicitadas** | Assumir como "suspeito até que se prove o contrário" em casos de urgência + pedido de ação. | | **Verificar sempre por canal independente e conhecido** | Desligar a chamada recebida. Ligar de volta para o número oficial (do cartão, do site, do ramal interno conhecido). | | **Nunca fornecer credenciais, tokens, códigos 2FA, biometria ou dados bancários completos** | Ninguém legítimo (nem TI, nem banco, nem polícia) pede isso. | | **Pausar e respirar** | Técnica dos "5 segundos": antes de qualquer ação sob pressão, contar até 5 lentamente e reavaliar. | | **Reportar imediatamente tentativas suspeitas** | Ter um canal fácil (e-mail específico, botão no e-mail, número de telefone) e sem culpa para reportar. | | **Verificar remetente e URL** | Passar o mouse sobre links (não clicar), expandir e-mail do remetente. Desconfiar de pequenas variações (rnicrosoft vs microsoft). | *** ### 📊 Métricas de Efetividade (para Programas de Simulação e Conscientização) | Métrica | Descrição | Cálculo | Meta Recomendada (Benchmark) | | --------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------- | ---------------------------------------------- | | **Taxa de Clique (Click Rate)** | Percentual de usuários que clicou em link simulado (phishing/e-mail) | (Nº cliques / Nº e-mails abertos) \* 100 | < 5% (maduro); < 10% (iniciante) | | **Taxa de Execução (Compromise Rate)** | Percentual de usuários que executou a ação solicitada (instalou software, enviou dado, transferiu dinheiro simulado) | (Nº execuções / Nº alvos) \* 100 | < 3% (maduro); < 8% (iniciante) | | **Taxa de Reporte (Reporting Rate)** | Percentual de usuários que reportou a tentativa ao time de segurança (antes ou depois de cair) | (Nº reports / Nº alvos) \* 100 | > 15% (bom); > 25% (excelente) | | **Tempo Médio para Reporte (MTTR - Mean Time to Report)** | Tempo médio entre o recebimento da simulação e o reporte ao CSIRT/SOC | Somatória (tempo de cada reporte) / Nº de reports | < 10 minutos (ideal); < 60 minutos (aceitável) | | **Taxa de Queda em Pretexting Telefônico (Vishing)** | Percentual que forneceu informação sensível em chamada simulada | (Nº vítimas / Nº chamadas atendidas) \* 100 | < 8% | > **Nota**: Metas variam conforme maturidade do programa, cultura organizacional e setor (finanças e saúde exigem metas mais rigorosas). *** ### 📚 Referências e Leitura Recomendada #### Livros Fundamentais * Cialdini, R. (2021). *Influência: A Psicologia da Persuasão*. 2ª ed. (ou edição atualizada). * Hadnagy, C. (2018). *Social Engineering: The Science of Human Hacking*. 2ª ed. Wiley. * Hadnagy, C. (2021). *Human Hacking: Win Friends, Influence People, and Leave Them Better Off for Having Met You*. * Mitnick, K. (2011). *A Arte de Enganar*. Pearson (clássico, com casos reais). * Gragg, D. (2003). *A Multi-Level Defense Against Social Engineering*. SANS Institute. #### Normas e Padrões * **NIST SP 800-115** – *Technical Guide to Information Security Testing and Assessment* (inclui engenharia social). * **NIST SP 800-53** – Controles de segurança (awareness and training, SA-09, etc.). * **ISO/IEC 27001:2022** – Anexo A.7 (Recursos Humanos) e A.8 (Gestão de Ativos) – controle de conscientização. #### Artigos e Recursos Online (em inglês) * *The Psychology of Social Engineering* – SANS Institute Reading Room. * *Social Engineering Framework* – Social-Engineer, LLC. * *Cialdini’s Principles in Cybersecurity Awareness* – Proofpoint / KnowBe4 blogs. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/tecnicas/fatores-humanos/manipulacao.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.