Engenharia Social: Phishing, Vishing e Pretexting
Simulação autorizada de phishing direcionado, vishing, smishing, deepfake call e pretexting. Mede cultura de segurança e treinamento.
Why now
The real pain
92% dos ataques começam por engenharia social. O atacante não precisa de exploit — precisa de funcionário cansado às 17h45 clicando num link. Simulação autorizada mede taxa real de comprometimento e direciona treinamento onde dói.
Applicable frameworks
/attack-surface
Engenharia Social
Every engagement is designed for your environment. The points below are part of our standard playbook for this sector — final scope is adapted to your stack and contract.
Phishing direcionado (spear)
Pretexto realista usando OSINT, marca legítima do cliente, infraestrutura aged com domínio convincente.
Vishing (voice phishing)
Chamada autorizada usando pretexto de TI/RH/banco/auditor. Mede resistência da equipe de atendimento e administrativa.
Smishing (SMS)
SMS com link encurtado, pretexto de delivery/banco/RH. Eficaz contra base mobile-first.
Deepfake call (voice clone)
Voice cloning autorizado de CFO/CEO pedindo TED — para validar runbook anti-BEC.
Pretexting físico/digital
Construção de persona convincente (técnico de TI, fornecedor, auditor) para obter informação ou acesso.
Treinamento direcionado pós-campanha
Não apenas medir — também treinar quem clicou, com workshop targeted.
/methodology
Genuinely manual pentest
Automated scanners find what's documented. Real attackers find what isn't. 90% of the work is manual — performed by specialists holding OSCP, CISSP, CRTO and GPEN.
01 · Reconnaissance
Target mapping, OSINT, footprint, sector-specific threat modeling.
02 · Discovery
Deep enumeration, complementary scanning, manual exposure identification.
03 · Exploitation
Manual validation with controlled PoC, finding chaining, escalation.
04 · Report
Executive + technical, step-by-step replication, mapped to applicable regulation.
/why-trust
Who has trusted our work
Campanhas em fintech, indústria e setor público, com taxa de detecção de 4-22% conforme maturidade.
Technical assessment recognized in highly regulated, mission-critical environments — the pentest that finds what nobody had found before.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · integrity program
of pentester candidates fail our Crivo screening
Do you know who's getting access to your environment?
NDAs work in court. They don't work day-to-day. Before first access, every pentester on our team passes background, psychometric profile and integrity testing.
- In-depth criminal, fiscal and professional verification
- Psychometric assessment and risk profile
- Practical integrity testing with controlled scenarios
- Fixed team — non-rotating, no 'stranger every engagement'
/faq
FAQ — Engenharia Social
É legal usar deepfake?
Sim com autorização explícita e dentro do contrato. Voice cloning autorizado só com dado público do executivo. Sem fim malicioso, sob NDA.
Vocês entregam treinamento?
Sim. Após a campanha, workshop direcionado pra quem clicou (sem expor publicamente). Treinamento de 1h ao vivo + e-learning.
Faixa de preço?
Campanha de phishing simples (até 500 colaboradores): R$ 8-18k. Campanha completa com vishing/smishing/deepfake + treinamento: R$ 25-70k.
/contact
Cotar campanha de engenharia social
Schedule a confidential meeting. Within 48h we'll send a proposal with scope, timeline and pricing.