Engenharia Social: Phishing, Vishing e Pretexting
Simulação autorizada de phishing direcionado, vishing, smishing, deepfake call e pretexting. Mede cultura de segurança e treinamento.
Por que agora
A dor real
92% dos ataques começam por engenharia social. O atacante não precisa de exploit — precisa de funcionário cansado às 17h45 clicando num link. Simulação autorizada mede taxa real de comprometimento e direciona treinamento onde dói.
Frameworks aplicáveis
/superficie-de-ataque
Engenharia Social
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Phishing direcionado (spear)
Pretexto realista usando OSINT, marca legítima do cliente, infraestrutura aged com domínio convincente.
Vishing (voice phishing)
Chamada autorizada usando pretexto de TI/RH/banco/auditor. Mede resistência da equipe de atendimento e administrativa.
Smishing (SMS)
SMS com link encurtado, pretexto de delivery/banco/RH. Eficaz contra base mobile-first.
Deepfake call (voice clone)
Voice cloning autorizado de CFO/CEO pedindo TED — para validar runbook anti-BEC.
Pretexting físico/digital
Construção de persona convincente (técnico de TI, fornecedor, auditor) para obter informação ou acesso.
Treinamento direcionado pós-campanha
Não apenas medir — também treinar quem clicou, com workshop targeted.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Campanhas em fintech, indústria e setor público, com taxa de detecção de 4-22% conforme maturidade.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — Engenharia Social
É legal usar deepfake?
Sim com autorização explícita e dentro do contrato. Voice cloning autorizado só com dado público do executivo. Sem fim malicioso, sob NDA.
Vocês entregam treinamento?
Sim. Após a campanha, workshop direcionado pra quem clicou (sem expor publicamente). Treinamento de 1h ao vivo + e-learning.
Faixa de preço?
Campanha de phishing simples (até 500 colaboradores): R$ 8-18k. Campanha completa com vishing/smishing/deepfake + treinamento: R$ 25-70k.
/contato
Cotar campanha de engenharia social
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.