Engenharia social: o ataque que pede “só um clique”
Firewall e antivírus não impedem o funcionário de autorizar transferência após ligação do “suporte do banco” ou clicar em PDF falso de “folha de pagamento”. Engenharia social manipula confiança, urgência e autoridade — e continua sendo a principal porta de entrada para ransomware e fraude financeira em PMEs.
Higiene de cibersegurança é o conjunto de hábitos e regras que toda pessoa da empresa deve seguir, não só a TI.
Protocolos essenciais (checklist para RH + TI)
- Desconfiar de urgência — “pague agora”, “senha expira em 1h”, “CEO no WhatsApp pedindo PIX”.
- Confirmar por canal alternativo — pedido de pagamento ou alteração de conta bancária: ligar para número conhecido, nunca o do e-mail.
- Não clicar em link de remetente desconhecido — digitar URL do banco/site manualmente.
- MFA em tudo crítico — webmail, VPN, administração cloud. Guia: Política de senhas e MFA: como implementar em empresas sem travar a operação.
- Senha única por serviço — gerenciador corporativo quando possível.
- Reportar suspeita em 1 clique — canal único (e-mail ti@empresa ou botão no Outlook).
- Atualizar sistema — Windows Update e reinício quando a TI solicitar.
- USB e pendrive desconhecido — proibido conectar em PC corporativo.
Phishing moderno: além do e-mail mal escrito
- Deepfake de voz ou vídeo em golpe de CEO (verificar sempre).
- QR code em estacionamento ou evento levando a login falso.
- WhatsApp com foto de perfil clonada de fornecedor.
- Convite falso de Teams/Zoom pedindo credencial Microsoft.
Material complementar: Phishing em 2026: como identificar golpes de e-mail e proteger sua empresa · Golpe PIX com código fraudulento: como empresas identificam e bloqueiam.
Treinamento que funciona (15–30 min trimestral)
| Formato | Conteúdo |
|---|---|
| Simulação de phishing | E-mail interno controlado; quem clica recebe microtreinamento |
| Caso real anonimizado | “Quase transferimos R$ X — o que nos salvou” |
| Cartaz 1 página | 5 regras + telefone da TI |
| Onboarding | Assinatura de política de uso aceitável no 1º dia |
Papel da liderança
Diretor que ignora MFA ou pede exceção “só dessa vez” destrói o programa. Segurança é comportamento — a TI implementa ferramentas, mas a cultura vem de cima.
Próximo passo
Política de higiene digital, simulação de phishing e camadas técnicas (filtro, EDR, backup). Firewall corporativo para PMEs: EDR, VLAN e VPN além do antivírus gratuito · Segurança e backup · Programa de conscientização ITC.