Divulgação: as opiniões e pontos de vista expressos aqui pertencem exclusivamente ao autor e não representam as opiniões e pontos de vista da equipe editorial do crypto.news.
Nos últimos 12 meses, a maioria dos maiores ataques no setor cripto teve a mesma causa raiz: as pessoas. Apenas nos últimos meses, a Ledger pediu aos usuários para suspender as atividades em blockchain após mantenedores do npm serem enganados e pacotes maliciosos serem disseminados; a Workday divulgou uma campanha de engenharia social que acessou dados em um CRM de terceiros; e operadores ligados à Coreia do Norte continuaram usando golpes de empregos falsos contra equipes de cripto para entregar malware.
Resumo
Cripto não está sendo hackeado — está sendo convencido a se entregar sozinho. A maioria das violações agora vem de phishing, atualizações falsas e imitação, e não de código quebrado, tornando as pessoas a superfície principal de ataque.
O dinheiro programável transforma pequenos erros em perdas catastróficas. Uma única chave vazada ou uma solicitação aprovada pode esvaziar fundos instantaneamente e irreversivelmente, tornando a engenharia social um risco sistêmico, e não um erro do usuário.
Enquanto a segurança operacional não for tratada como infraestrutura central, as explorações continuarão a crescer. Auditorias e revisões de código não conseguem impedir a enganação humana — apenas padrões obrigatórios de dispositivos, acesso e treinamento podem.
Apesar de bilhões gastos em cibersegurança, as empresas continuam sendo derrotadas por engenharia social simples. As equipes despendem dinheiro em salvaguardas técnicas, auditorias e revisões de código, enquanto negligenciam a segurança operacional, a higiene de dispositivos e fatores humanos básicos. À medida que mais atividades financeiras migram para a cadeia, essa lacuna torna-se um risco sistêmico para a infraestrutura digital.
A única maneira de reduzir o aumento dos ataques de engenharia social é um investimento amplo e sustentado em segurança operacional que reduza o retorno dessas táticas.
Você também pode gostar: DeFi prometeu substituir o TradFi, não ficar por cima dele | Opinião
Engenharia social é o calcanhar de Aquiles da cibersegurança
O Relatório de Investigação de Brechas de Dados de 2025 da Verizon associa o 'fator humano' da cibersegurança (phishing, credenciais roubadas e erros do dia a dia) a aproximadamente 60% das violações de dados.
A engenharia social funciona porque ataca pessoas, não código, explorando confiança, urgência, familiaridade e rotina. Esses tipos de explorações não podem ser eliminados por uma auditoria de código e são difíceis de defender com ferramentas automatizadas de cibersegurança. Revisões de código e outras práticas comuns de cibersegurança não conseguem impedir que um funcionário aprove um pedido fraudulento que parece ter vindo de um gerente, ou baixe uma atualização falsa do Zoom que parece legítima.
Mesmo equipes altamente técnicas são pegas; a fraqueza humana é universal e resistente. E, como resultado, a engenharia social continua impulsionando incidentes do mundo real.
Cripto eleva o risco
O dinheiro programável concentra o risco. No web3, comprometer uma frase de semente ou um token de API pode ser equivalente a arrombar um cofre bancário. A natureza irreversível das transações cripto amplifica os erros: uma vez que os fundos se movam, muitas vezes não há como reverter a transação. Um único descuido na segurança de dispositivo ou no manuseio de chaves pode apagar os ativos. O design descentralizado do web3 significa que, muitas vezes, não há um suporte técnico para procurar, deixando os usuários por conta própria.
Hackers, incluindo mercenários apoiados por estados, notaram a eficácia dos ataques de engenharia social e se adaptaram nesse sentido. Operações atribuídas ao Grupo Lazarus da Coreia do Norte dependem fortemente da engenharia social: ofertas falsas de emprego, PDFs contaminados, pacotes maliciosos e phishing personalizado que exploram vulnerabilidades humanas.
Essas explorações são surpreendentemente eficazes e simples de executar, e as empresas de tecnologia parecem incapazes de se defender contra elas. Diferentemente dos exploits zero-day, que são rapidamente corrigidos (forçando os hackers a encontrar novas estratégias), os hackers conseguem usar as mesmas táticas de engenharia social repetidamente, de forma autônoma, gastando mais tempo hackeando e menos tempo em P&D.
As empresas precisam investir em segurança operacional
Muitas organizações ainda tratam segurança como um exercício de conformidade — uma atitude reforçada por padrões regulatórios permissivos. As empresas frequentemente passam em auditorias e publicam relatórios impecáveis, mesmo enquanto abrigam riscos operacionais evidentes: chaves de administrador armazenadas em laptops pessoais, credenciais compartilhadas por chat e e-mail, privilégios de acesso desatualizados que nunca são renovados e laptops de viagem reutilizados como máquinas de desenvolvimento.
Corrigir essa falha de disciplina exige segurança operacional explícita e obrigatória. As equipes devem usar dispositivos gerenciados, proteção de ponta forte e criptografia de disco completo; os logins corporativos devem usar gerenciadores de senhas e autenticação de dois fatores resistente a phishing; e os administradores de sistemas devem gerenciar cuidadosamente privilégios e acesso. Esses controles não são uma solução universal, mas tornam os ataques de engenharia social mais difíceis e ajudam a mitigar o impacto de explorações potenciais.
Mais importante, as equipes precisam investir em treinamento em segurança operacional; os funcionários (não as equipes de cibersegurança) são a primeira linha de defesa contra ataques de engenharia social. As empresas devem dedicar tempo para treinar suas equipes a identificar ataques de phishing prováveis, praticar boa higiene de dados e entender práticas de segurança operacional.
Criticamente, não podemos esperar que as organizações adotem posturas de cibersegurança endurecidas voluntariamente; os reguladores precisam intervir e estabelecer bases operacionais obrigatórias que tornem a segurança real não opcional. Os frameworks de conformidade devem ir além da documentação e exigir provas concretas de práticas seguras: gestão de chaves verificada, revisões periódicas de acesso, endurecimento de pontos finais e prontidão simulada contra phishing. Sem força regulatória, o incentivo sempre favorecerá a aparência em vez dos resultados.
A engenharia social está apenas piorando
É essencial investir em segurança operacional agora porque a taxa de ataques está crescendo exponencialmente.
A IA generativa mudou a economia da enganação. Os atacantes agora podem personalizar, localizar e automatizar phishing em escala industrial. Campanhas que antes focavam em um único usuário ou empresa podem agora ser usadas para atacar milhares de negócios com pouco custo extra. Ataques de phishing podem ser personalizados com poucos cliques, incorporando detalhes íntimos para tornar um e-mail falsificado parecer legítimo.
A IA também acelera a reconhecimento. Traços públicos, credenciais vazadas e inteligência de fontes abertas podem ser minerados e montados em 'briefings' sobre cada vítima, ajudando os hackers a desenvolver ataques profundamente convincentes.
Diminuindo a taxa de ataques
Engenharia social prospera onde a confiança implícita e a conveniência superam a verificação e a prudência. As organizações precisam adotar uma postura mais defensiva e (corretamente) assumir que estão constantemente ameaçadas por ataques de engenharia social.
As equipes devem adotar princípios de zero-trust nas operações diárias e incorporar princípios de segurança operacional em toda a empresa. Elas devem treinar os funcionários em segurança operacional para impedir ataques cedo e manter sua equipe atualizada sobre as últimas táticas de engenharia social.
Mais importante, as empresas precisam encontrar onde ainda existe confiança em suas operações (em qualquer lugar onde um atacante possa se passar por um funcionário, um software ou um cliente) e adicionar salvaguardas extras.
A engenharia social não desaparecerá, mas podemos torná-la muito menos eficaz e muito menos catastrófica quando os ataques ocorrerem. À medida que a indústria se fortalece contra esses ataques, a engenharia social tornar-se-á menos lucrativa para os hackers, e a taxa de ataques diminuirá, finalmente trazendo um fim real a este círculo sem fim de explorações.
Leia mais: Tesourarias corporativas estão errando o Bitcoin | Opinião
Autor: Jan Philipp Fritsche
O Dr. Jan Philipp Fritsche é o diretor gerente da Oak Security, uma empresa de cibersegurança especializada em auditorias web3. Antes de sua função na Oak Security, o Dr. Fritsche acumulou vasta experiência em modelagem econômica e de risco, ocupando cargos em instituições como o Banco Central Europeu e o DIW Berlin. Ele possui um doutorado em Economia pela Universidade Humboldt de Berlim.