21 de maio de 2026 • Segurança cibernética
O baiting é uma das técnicas de engenharia social mais antigas e eficazes na área da cibersegurança, e uma das menos comentadas. Enquanto o phishing explora a urgência e o vishing explora a confiança, o baiting explora algo ainda mais fundamental: a curiosidade. Um atacante coloca algo apelativo no caminho de uma potencial vítima e espera que a natureza humana faça o resto. Compreender o que é o baiting, como funciona online e fisicamente, e por que continua a funcionar apesar da ampla consciencialização sobre as ameaças cibernéticas é o primeiro passo para proteger a tua organização contra ele.
O que é o «baiting»?
O «baiting» é um ataque de engenharia social em que um atacante usa um isco tentador ou que desperta a curiosidade, a «isca», para induzir um alvo a realizar uma ação que comprometa a sua segurança ou a da sua organização. A isca pode ser digital ou física, e o objetivo é sempre o mesmo: fazer com que o alvo faça algo que, de outra forma, não faria.
O termo vem da ideia da pesca: colocar isco no anzol e esperar. Na cibersegurança, o anzol é o malware, uma página que rouba credenciais ou um ponto de entrada numa rede. O isco é aquilo que o atacante acha que o alvo não vai conseguir resistir: software gratuito, uma pen USB encontrada, um link de download «exclusivo», uma notificação de prémio.
O que distingue o baiting de outros ataques de engenharia social é que não requer contacto direto entre o atacante e o alvo. O atacante arma a armadilha e fica à espera. Isso torna-o escalável — uma isca bem colocada pode chegar a centenas de pessoas — e mais difícil de atribuir do que o phishing ou o vishing.
Isca na Internet: como funciona a isca online
As iscas na Internet assumem muitas formas. O que todas têm em comum é que oferecem algo que o alvo deseja, mas acabam por entregar algo que o alvo não pediu. Entre as formas mais comuns de iscas na Internet, destacam-se:
- Downloads gratuitos de software ou ficheiros multimédia. Um site oferece uma versão gratuita de um software pago, um filme, um jogo ou uma ferramenta. O download contém malware incluído juntamente com o conteúdo prometido ou em vez deste. A vítima instala-o voluntariamente.
- Notificações de prémios ou recompensas. Janelas pop-up ou e-mails anunciam que o utilizador ganhou um prémio, tem direito a um reembolso ou é o milésimo visitante. Ao clicar, o utilizador é redirecionado para uma página destinada a roubar credenciais ou é desencadeado o download de malware.
- Ofertas de emprego ou oportunidades profissionais falsas. Dirigidas a profissionais, sobretudo através do LinkedIn ou por e-mail, estas iscas prometem oportunidades em troca de clicar num link, abrir um anexo ou preencher um formulário, o que permite a recolha de dados pessoais ou credenciais empresariais.
- Links motivados pela curiosidade. Um link partilhado por e-mail, mensagens ou redes sociais que promete algo provocador, exclusivo ou pessoalmente relevante. «A tua foto foi partilhada», «Vê quem viu o teu perfil», «Documento divulgado sobre [a tua empresa]». O destinatário clica porque a curiosidade supera a cautela.
- Alertas de segurança falsos. Uma janela pop-up avisa que o dispositivo está infetado e pede para o utilizador descarregar uma «ferramenta de reparação». Essa ferramenta é, na verdade, o malware.
O "baiting" na Internet funciona porque vai ao encontro do público-alvo onde este já se encontra — a navegar, a percorrer páginas, a fazer downloads — e oferece algo que parece uma recompensa, não um risco.
Isco físico: o USB drop e muito mais
Nem todas as iscas são colocadas online. A isca física, que consiste em deixar dispositivos ou suportes de armazenamento infetados em locais onde os alvos os possam encontrar, é uma técnica de ataque bem documentada e consistentemente eficaz. A forma mais comum é a isca USB.
Um atacante deixa uma ou mais pen drives num local onde é provável que os funcionários da organização alvo as encontrem: um parque de estacionamento, uma receção, uma sala de reuniões, uma casa de banho. A pen drive costuma ter uma etiqueta para despertar a curiosidade, como «Dados salariais do 3.º trimestre», «Confidencial» ou «Fotos da festa». Um funcionário encontra-a, liga-a a um dispositivo de trabalho para ver o que tem lá dentro e executa a carga maliciosa do atacante.
Vários estudos têm demonstrado repetidamente que uma parte significativa das pessoas que encontram uma pen USB desconhecida acaba por a ligar. A etiqueta aumenta ainda mais essa probabilidade. As iscas físicas são eficazes precisamente porque contornam todas as medidas de segurança de e-mail, filtragem da Web e controlos de terminais em que uma organização investiu, e dependem apenas de uma pessoa fazer o que as pessoas fazem quando encontram algo que possa ser interessante.
Baiting vs. phishing vs. outras técnicas de engenharia social: diferenças fundamentais
| Técnica | Desencadeador principal | É necessário entrar em contacto | Canal |
|---|---|---|---|
| Isca | Curiosidade, ganância, interesse próprio | Não, o atacante arma uma armadilha e fica à espera | Online (download, link) ou físico (USB) |
| Phishing | Urgência, medo, autoridade | Indireto (e-mail enviado ao destinatário) | E-mail, mensagens |
| Vishing | Confiança, autoridade, urgência | Sim, chamada telefónica ao vivo | Voz / telefone |
| Pretextar | Confiar numa identidade falsa | Sim, interação direta | Por e-mail, por telefone, pessoalmente |
| Troca de favores | Reciprocidade, uma coisa por outra | Sim, o atacante inicia a oferta | Telefone, e-mail |
Para teres uma visão geral dos diferentes tipos de ataques de phishing, consulta os diferentes tipos de ataques de phishing.
Como proteger a tua organização contra o baiting
As medidas técnicas ajudam, como desativar a execução automática de dispositivos USB, bloquear fontes de download não confiáveis e filtrar o acesso à Internet, mas resolvem apenas parte do problema. O cerne da isca está numa decisão humana: pegar, clicar, ligar. A única proteção fiável contra essa decisão é um colaborador que pare para pensar antes de agir.
Essa pausa é um comportamento adquirido. A formação em sensibilização para a segurança que aborda cenários de isco dá aos funcionários o modelo mental necessário para reconhecerem um isco, seja online ou físico, e questioná-lo em vez de agirem por impulso. Hábitos essenciais a desenvolver:
- Nunca ligues um dispositivo USB desconhecido. Independentemente de onde o tenhas encontrado ou do que esteja escrito nele. Entrega-o ao departamento de TI.
- As ofertas online que parecem «boas demais para ser verdade». Software gratuito, notificações de prémios inesperados e downloads exclusivos são sinais claros de que se trata de uma armadilha.
- Verifica antes de fazer o download. Os funcionários que comparam a origem de um download com uma lista de fontes confiáveis têm muito menos probabilidades de instalar malware através de iscas digitais.
- Denuncia, não ignores. Vale a pena denunciar uma pen USB encontrada ou um aviso de download suspeito. Tornar essa denúncia uma prática habitual dá às equipas de segurança um aviso precoce.
A técnica do «baiting» aproveita o que torna as pessoas eficazes noutros contextos: a curiosidade, a abertura e a disponibilidade para ajudar. A formação em consciência não tenta eliminar essas características. Ensina as pessoas a aplicar uma dose extra de ceticismo antes de agirem com base nelas.
Dá formação aos funcionários para que saibam identificar a isca
Antes que a curiosidade se transforme numa falha.