Leitura: 16 minutos
Em 2026, os maiores riscos de segurança não estão em um vírus sofisticado nem em uma invasão de sistema. Está em uma mensagem de WhatsApp, uma ligação do “CFO” ou um e-mail do “fornecedor”. Ou seja, está na engenharia social, e ela nunca foi tão difícil de identificar.
Acontece que esses tipos de golpes evoluíram: a IA consegue clonar vozes em segundos, gerar e-mails indistinguíveis de comunicações reais e personalizar abordagens em escala industrial. O fraudador de hoje não precisa invadir nenhum sistema, basta convencer a pessoa certa, no momento certo, com a história certa.
No Brasil, o cenário é especialmente crítico. O país concentrou 84% de todos os ataques cibernéticos registrados na América Latina em 2025, e a engenharia social está por trás da maior parte dos prejuízos financeiros do setor.
Neste conteúdo, detalhamos os 8 ataques mais comuns em 2026, explicamos por que eles continuam funcionando e mostramos o que é possível fazer para barrá-los antes que o dano aconteça.
- O que é engenharia social?
- Ciclo da engenharia social
- 8 ataques de engenharia social mais comuns em 2026
- Por que esses ataques continuam funcionando?
- Como a IA está sofisticando os ataques de engenharia social em 2026?
- Como identificar um ataque de engenharia social em tempo real?
Vamos começar?
O que é engenharia social?
Engenharia social é qualquer tipo de manipulação psicológica que age sobre pessoas em vez de sistemas. Por meio de interação humana, leva alguém a executar ações ou divulgar informações confidenciais sem perceber que está sendo enganado.
Diferentemente do que acontece no hacking tradicional, aquele técnico, a engenharia social não precisa encontrar uma vulnerabilidade no sistema. Nesse caso, a tática explora a confiança ou a curiosidade, aspectos naturais do comportamento humano, para convencer alguém a passar dados pessoais, revelar senhas de acesso, ou concluir transações em nome do fraudador.
Como a engenharia social afeta instituições financeiras?
Bancos, fintechs, cooperativas de crédito e empresas de pagamento lidam diariamente com o ativo mais visado por qualquer golpista: dinheiro em movimento.
Segundo o presidente da Febraban, Isaac Sidney, os aplicativos bancários tendem a permanecer inviolados e as fraudes ocorrem principalmente por meio de engenharia social, com criminosos que induzem as vítimas a fornecerem informações sigilosas.
Em 2025, por exemplo, o país registrou quase 12 milhões de tentativas de golpes, um a cada 3 segundos. Já as perdas financeiras somaram 54%.
O problema vai além do prejuízo financeiro direto, é claro. Uma instituição que sofre um ataque de engenharia social perde também a confiança de clientes, expõe dados protegidos pela LGPD e pode enfrentar sanções regulatórias da ANPD ou do Banco Central.
Ciclo da engenharia social
Todo ataque de engenharia social, por mais sofisticado que pareça, segue uma lógica comum que consiste em um ciclo de cinco fases: reconhecimento, construção da confiança, manipulação, execução e desvinculamento.
Saiba com o que se parece cada uma dessas etapas:
| Fase | O que acontece |
| Reconhecimento | O fraudador pesquisa o alvo no LinkedIn, em sites institucionais, comunicados públicos, redes sociais de colaboradores, etc. |
| Construção de confiança | Cria um pretexto crível, como se passar por colegas, fornecedores, suporte técnico, banco ou autoridade. |
| Manipulação | Ativa gatilhos psicológicos, como urgência, medo, autoridade, curiosidade ou reciprocidade para forçar uma ação sem reflexão. |
| Execução | A vítima age e clica no link, faz a transferência, compartilha a credencial ou executa o comando em questão. |
| Desvinculamento | O fraudador desaparece, apaga rastros ou simplesmente para de responder. |
Esse ciclo pode ocorrer em um único contato ou ao longo de meses, em uma série de conversas nas redes sociais.
Em uma empresa, por exemplo, os colaboradores até podem ser treinados para identificar abordagens de engenharia social, mas o problema é que nenhum treinamento cobre todos os contextos. Além disso, nenhuma pessoa consegue manter o nível de atenção necessário o tempo todo (e basta que a fraude aconteça uma vez para que o prejuízo aconteça).
Inclusive, sistemas antifraude em tempo real existem exatamente para quebrar essa assimetria: ao monitorar comportamentos, transações e acessos de forma contínua, eles identificam quando o ciclo está em andamento mesmo quando ninguém percebeu ainda.
8 ataques de engenharia social mais comuns em 2026
Os 8 golpes de engenharia social mais frequentes em 2026 e que não podem ser ignorados são:
- BEC, a “Fraude do CEO”;
- Phishing e Spear phishing;
- Vishing com clonagem de voz por IA;
- Golpe via PIX;
- Pretexting e abuso do helpdesk de TI;
- Smishing corporativo;
- VEC (Vendor Email Compromise);
- ClickFix.
A seguir, trouxemos alguns números bem alarmantes que mostram a frequência com a qual essas fraudes vêm acontecendo, além de alguns detalhes sobre essas práticas.
1 – BEC, a “Fraude do CEO”
O BEC (Business Email Compromise ou Comprometimento de E-mail Comercial, em português) é um dos golpes financeiros mais rentáveis do mundo, e um dos mais simples também.
Nele, o fraudador se passa por alguém com autoridade, geralmente um executivo ou fornecedor, e convence outra pessoa a fazer uma transferência, alterar dados bancários ou compartilhar informações sensíveis. Não há nenhum malware ou não há link suspeito, apenas um e-mail bem escrito e um pedido urgente.
O BEC já existia em 2025 mas, em 2026, a IA tornou esses ataques ainda mais difíceis de identificar. Agora, criminosos usam modelos de linguagem para gerar e-mails que se modificam automaticamente a cada envio para escapar dos filtros de segurança. Além disso, cada mensagem é tecnicamente única e imita o estilo de comunicação dos supostos remetentes.
A variante mais sofisticada aqui é o Vendor Email Compromise (VEC), em que o fraudador compromete a conta real de um fornecedor e usa essa identidade legítima para aplicar o golpe. Aliás, vamos falar sobre o VEC em breve.
2 – Phishing e spear phishing
O phishing é um golpe já bastante conhecido e segue como um dos mais frequentes. A lógica é simples: enviar uma mensagem que parece legítima para induzir alguém a clicar em um link, preencher um formulário falso ou baixar um arquivo.
O spear phishing chega como uma versão mais sofisticada da prática, já que é ultrapersonalizado para um alvo específico, com nome, cargo e contexto reais.
Segundo dados da Kaspersky, em 2025 foram registrados 553 milhões de ataques de phishing no Brasil, uma média de 1,5 milhão de casos por dia. São quase três tentativas por habitante.
O ambiente corporativo não está livre dessa ameaça. Na verdade, é um dos contextos preferidos dos fraudadores, que tentam manipular psicologicamente pessoas em posições estratégicas dentro das organizações. Aqui, o spear phishing costuma chegar disfarçado de e-mails do RH com atualização de benefícios, por exemplo, ou convites para documentos compartilhados no Google Drive.
3 – Vishing com clonagem de voz por IA
O vishing é um phishing por ligação telefônica e sempre existiu. O que mudou é que agora o telefone pode tocar com a voz exata do seu CEO do outro lado, gerada em tempo real por Inteligência Artificial a partir de alguns segundos de áudios públicos.
Segundo o relatório M-Trends 2026 da Mandiant, baseado em mais de 500 mil horas de resposta a incidentes, o vishing chegou a superar o e-mail como principal vetor de engenharia social.
O caso mais citado do gênero aconteceu em 2024: um funcionário em Hong Kong transferiu aproximadamente US$ 25 milhões após participar de uma videoconferência em que acreditava estar falando com o CFO e outros colegas, mas todos eram deep fakes, ou seja, simulações geradas por IA que replicavam a aparência e a voz de pessoas reais.
Esse não é um caso isolado: instituições financeiras relatam uma perda média de US$ 600 mil por incidente envolvendo deep fakes de voz, e mais de 10% das instituições pesquisadas pela Group-IB registraram casos individuais que superaram US$ 1 milhão.
4 – Golpe via PIX
Embora o PIX por si só seja um sistema de pagamentos seguro, é um alvo frequente de ataques de engenharia social. A razão é simples: a transferência instantânea, disponível 24 horas, é bastante conveniente para qualquer golpe que precise mover dinheiro rápido.
O que distingue essa abordagem de outras versões é que quase não se exige habilidade técnica para enganar alguém. Para conduzir um golpe financeiro no PIX, basta uma abordagem bem organizada de engenharia social, sem nenhuma invasão do sistema.
Os pretextos mais comuns incluem uma falsa central bancária pedindo confirmação de transação suspeita, fornecedor comunicando mudança de chave PIX, e RH solicitando atualização de dados para depósito de salário. Em todos os casos, a urgência é o gatilho psicológico mais eficaz.
Para ter noção da amplitude dessa abordagem, os golpes envolvendo PIX chegaram a 28 milhões de casos em 2025, um número recorde que acende o alerta para 2026.
5 – Pretexting e abuso do helpdesk de TI
O pretexting usa a mesma base de quase toda engenharia social: criar um cenário falso, mas crível o suficiente para que a vítima não questione o pedido. O alvo preferencial desse golpe é o helpdesk de TI, setor tradicionalmente treinado para resolver problemas e ajudar pessoas, não para desconfiar delas.
Nessa prática, o fraudador liga ou manda mensagem se passando por um colaborador da empresa, com um problema urgente de acesso. Diz que está bloqueado fora do sistema antes de uma apresentação importante, vamos supor, ou que viajou e está sem o segundo fator de autenticação.
O helpdesk, seguindo exatamente o protocolo de sua função, redefine a senha, concede o acesso temporário ou envia o link de recuperação. Em segundos, uma identidade legítima foi entregue voluntariamente a quem não deveria tê-la.
Um exemplo bem simbólico aqui são os ataques do Scattered Spider, um grupo criminoso especializado em engenharia social. Em 2023, um de seus ataques comprometeu redes de grandes cassinos em Las Vegas. Já em 2025, os alvos foram varejistas britânicos. Em ambas as ocasiões, a abordagem usada foi a mesma: ligações para fornecedores terceirizados de suporte de TI.
6 – Smishing via WhatsApp
O smishing é uma variação do phishing que chega especificamente pelo celular, via SMS, WhatsApp ou qualquer aplicativo de mensagens.
O golpe funciona da mesma forma que o phishing tradicional: uma mensagem que parece legítima, com um link, um pedido de confirmação de dados ou uma instrução para agir rápido. A diferença é o canal: o celular carrega uma sensação de proximidade e urgência que o e-mail não tem, e é exatamente isso que os atacantes exploram.
Os pretextos mais comuns incluem mensagens de banco sobre movimentações suspeitas, cobranças com link de boleto, comunicados de RH sobre atualização de dados e pedidos de aprovação urgente vindos de supostos superiores.
No Brasil, o WhatsApp virou um dos principais vetores desse tipo de ataque. O aplicativo foi o cenário escolhido para 90% das mensagens fraudulentas em 2025, e o smishing representou quase 40% das ameaças móveis, com aumento superior a 300% em relação ao ano anterior.
7 – VEC (Vendor Email Compromise)
O VEC é uma evolução do BEC que inverte a lógica do ataque: em vez de fingir ser alguém de dentro da empresa, o fraudador compromete o e-mail de um fornecedor real e usa essa conta legítima para atacar os clientes desse fornecedor. Como o e-mail em si não é falso, naturalmente acaba passando por todas as verificações de autenticidade.
O processo é metódico e pode levar meses. Com o acesso à conta de e-mail do fornecedor, o golpista configura regras de encaminhamento para monitorar faturas e ciclos de pagamento e, no momento certo, geralmente alinhado ao calendário financeiro, substitui os dados bancários em uma cobrança legítima.
A vítima aprova um pagamento real, para um fornecedor real, em um valor real. Só que o dinheiro vai para outra conta.
8 – ClickFix
O ClickFix é o golpe mais silencioso dessa lista, e provavelmente o menos conhecido fora das equipes de segurança.
A premissa é engenhosa: em vez de tentar instalar um malware por conta própria, o golpista convence a própria vítima a executar o código malicioso, acreditando que está resolvendo um problema técnico.
Estamos falando de um golpe que se tornou o segundo principal vetor de ataque global no primeiro semestre de 2025, com crescimento de 160% em relação ao semestre anterior.
O ataque geralmente começa com uma página comprometida ou falsa que exibe um erro convincente, como uma falha no navegador ou um problema de verificação de CAPTCHA. A vítima é então instruída a clicar em “corrigir o problema” e seguir passos que, na prática, executam scripts maliciosos diretamente na memória do sistema, sem download visível e sem acionar a maioria das defesas tradicionais.
Em fevereiro de 2026, a Microsoft documentou uma campanha ativa de ClickFix usando o Terminal do Windows: a vítima era instruída a colar um comando que parecia inofensivo, mas que instalava silenciosamente o malware Lumma Stealer para roubo de credenciais.
Por que esses ataques continuam funcionando?
Os ataques de engenharia social continuam funcionando pelo mesmo motivo que sempre funcionaram: eles não tentam encontrar brechas na tecnologia, mas sim explorar psicologicamente as vítimas.
E pessoas, independente do nível de treinamento ou conhecimento sobre abordagens fraudulentas, estão suscetíveis a tomar decisões rápidas sob pressão, a confiar em quem não parece suspeito à primeira vista e a ajudar quando alguém pede com urgência.
Se a mensagem parecer convincente o suficiente, ter nome e fotos reais e supostamente vir de uma pessoa próxima (alguém da família, por exemplo), a tendência natural é confiar antes de questionar, e é exatamente nessa janela de confiança que o golpe acontece.
Há também um fator estrutural que favorece os fraudadores: a assimetria de esforço. Quem ataca precisa ter sucesso uma única vez. Quem defende precisa identificar corretamente cada tentativa, todos os dias, em todos os canais.
Uma pessoa colaboradora de uma empresa, por exemplo, pode passar por dez simulações de phishing e ainda assim cair no décimo primeiro, especialmente se o contexto for diferente, o timing for ruim ou o pretexto for convincente o suficiente.
Como boa parte das empresas brasileiras ainda está nos primeiros estágios de maturidade em segurança digital, as brechas mais básicas ainda podem estar abertas. Consequentemente, um ataque não necessariamente precisa ser sofisticado para funcionar.
Além de tudo isso, é impossível falar da evolução da engenharia social sem mencionar um dos recursos mais usados para tornar essas fraudes cada vez mais sofisticadas: a Inteligência Artificial.
Como a IA está sofisticando os ataques de engenharia social em 2026?
A Inteligência Artificial removeu as barreiras que antes limitavam o alcance dos ataques de engenharia social. Um golpista que antes precisava de horas para pesquisar um alvo, redigir uma mensagem crível e personalizar o contexto, por exemplo, agora faz tudo isso em segundos. O resultado é uma escala de ataques que não existia antes.
Os impactos mais visíveis da IA na engenharia social são três:
- Qualidade do texto: e-mails de phishing que antes se entregavam por erros gramaticais e português truncado, hoje são extremamente semelhantes a comunicações legítimas;
- Clonagem de voz e vídeo em tempo real: esses recursos tornaram o vishing muito mais convincente e golpes do tipo já tem marcado o primeiro semestre de 2026;
- Velocidade: golpistas passaram a usar IA autônoma para criar ataques personalizados e contínuos que interagem com as vítimas em tempo real, inclusive ajustando a abordagem conforme a resposta e explorando emoções como urgência e medo.
Para ter ideia da amplitude do problema, segundo o Experian Future of Fraud Forecast 2026, 94% dos profissionais de segurança acreditam que a IA será o principal fator a moldar a cibersegurança em 2026, e 77% já relatam aumento em fraudes e phishing habilitados por IA. Basicamente, hoje ataques antes restritos a grupos organizados com recursos técnicos estão agora acessíveis a qualquer pessoa disposta a usar as ferramentas certas.
Como identificar um ataque de engenharia social em tempo real?
Mesmo que a engenharia social use manipulações psicológicas, um sistema antifraude em tempo real ainda pode interceptar a consequência do golpe antes que o dinheiro saia da conta, mesmo que a vítima não tenha percebido nada errado na abordagem dos fraudadores.
Afinal, mesmo quando o ataque funciona do ponto de vista humano, a transação ainda passa pela instituição financeira e diversas barreiras de análise.
Quando alguém é convencido a fazer um PIX para uma conta fraudulenta, por exemplo, antes de a transferência ser concluída, ela passa por uma análise: o valor é compatível com o histórico da pessoa? O horário é atípico? A chave de destino tem histórico de fraude? A localização bate com o padrão de uso?
Se o conjunto de variáveis foge do comportamento esperado, o sistema pode derivar a transação para análise ou reprovar automaticamente.
No caso das transações via PIX, o Antifraude da Data Rudder faz análises específicas para essa modalidade.
Inclusive, um dos recursos é justamente a criação de safe zones, que mapeiam onde e como o usuário costuma transacionar. Se uma transferência acontece fora desse padrão, seja pelo local, pelo valor ou pelo comportamento, o sistema consegue barrar uma fraude.
Quer entender melhor como o Antifraude, módulo do DeLorean funciona e como pode ser personalizado para a sua operação? Agende uma demonstração!
