A engenharia social virou uma das principais ameaças no mundo digital. Diferente de ataques que exploram falhas tecnológicas, os golpistas usam a manipulação psicológica para enganar pessoas e aplicar golpes financeiros.
Em 2024, um levantamento do Datafolha revelou que mais de 4,6 mil tentativas de golpe financeiro acontecem a cada hora no Brasil. Outro levantamento do Radar Febraban realizado em março de 2025, aponta que quase 4 em cada 10 brasileiros (38%) já foram vítimas ou alvo de alguma tentativa de golpe recentemente.
Mas há formas de se proteger. Quer entender como esses golpes funcionam e como se antecipar a eles? Continue a leitura e descubra dicas práticas para manter seu dinheiro e seus dados seguros.
A engenharia do golpe
Engenharia social é o nome técnico dado a um golpe de comportamento. Funciona em quatro etapas, sendo cada uma com seu elemento-chave:
- Preparo
- Contato
- Exploração
- Conclusão
Na primeira, o criminoso coleta informações pessoais: nome, CPF, endereço, empresa onde trabalha, redes sociais, hábitos de consumo.
Esses dados são públicos, muitas vezes resultado de vazamentos em massa, que circulam na internet há anos. Depois, ele estabelece credibilidade.
Pode ligar se passando por um gerente, enviar uma mensagem com o número real da central do banco ou usar o nome de uma marca conhecida. A ideia é sempre a mesma: conquistar a confiança.
A terceira fase é a da emoção. É aqui que o golpe se consolida. O golpista apela ao medo (“detectamos uma fraude”), à solidariedade (“preciso de ajuda”), à ganância (“você ganhou pontos que expiram hoje”) ou à curiosidade (“clique e veja seu resultado”).
Tudo vem acompanhado de pressa, o que reduz o tempo de raciocínio e aumenta as chances de erro. A última etapa é a solicitação: um link, um código, uma transferência.
É nesse momento que a fraude se concretiza e quase sempre por iniciativa da própria vítima, convencida de que está agindo certo.
Comportamento, o elo vulnerável
A chave para a segurança digital não está apenas na tecnologia, mas na atitude da vítima.
Os criadores dos golpes digitais buscam justamente o comportamento de risco para concretizar a fraude.
Isso inclui ignorar alertas e repetir práticas inseguras, como usar senhas repetidas, clicar sem checar a origem ou atender a solicitações sob pressão da falta de tempo.
O entendimento do setor de segurança é claro: não existe um perfil de vítima específico, mas sim um comportamento de risco.
A ponta solta: contas de passagem
Outro elo frágil dessas fraudes é o uso de contas-laranja, conhecidas no setor bancário como contas de passagem.
Elas recebem o dinheiro das fraudes e o pulverizam rapidamente, dificultando o rastreamento pelas autoridades.
É um problema estrutural: a impunidade ainda é alta, e os estelionatos digitais já superam, em volume, os roubos físicos em grandes cidades.
Como os bancos estão reagindo
O aumento da sofisticação dos golpes também fez as instituições financeiras se adaptarem.
No caso do Itaú, os investimentos em tecnologia de segurança dobraram nos últimos cinco anos – com mais de 50 modelos de inteligência artificial atuando 24h por dia na detecção de fraudes.
Entre as novidades, estão:
- Hub de Segurança, que centraliza todas as funções de proteção dentro do app;
- Alerta Pix, que exibe avisos personalizados antes da confirmação de uma transferência.
Esses mecanismos reforçam que a segurança faz parte da experiência bancária, e não apenas de sua retaguarda.
Os golpes mais comuns – e como se proteger
Embora os métodos variem, a lógica dos golpes digitais costuma seguir o mesmo padrão: urgência, emoção e aparência de legitimidade.
A seguir, elaboramos um panorama dos tipos mais frequentes e o que você pode fazer diante de alguma situação:
Tipo de golpe | Como funciona | Como se proteger |
Falsa central telefônica | O golpista liga se passando por funcionário do banco, relata uma suposta fraude e orienta a vítima a transferir valores ou fornecer dados. | Nenhum banco solicita senhas ou códigos por telefone. Em caso de dúvida, encerre a ligação e entre em contato pelos canais oficiais. |
Golpe do falso motoboy | Criminosos alegam que o cartão foi clonado e enviam alguém para “recolher” o plástico. | Nunca entregue seu cartão físico a ninguém. Corte o chip e descarte você mesmo. |
Golpe do boleto falso | Um boleto adulterado redireciona o pagamento para outra conta. | Verifique sempre o CNPJ e o beneficiário antes de confirmar o pagamento. Prefira gerar boletos apenas dentro do app ou site oficial. |
Golpe no WhatsApp | Alguém se passa por um conhecido e pede dinheiro ou informações pessoais. | Confirme por ligação ou outro canal antes de transferir qualquer valor. Ative a verificação em duas etapas no app. |
Phishing (link falso) | Mensagens por SMS, e-mail ou redes sociais simulam sites de bancos ou lojas pra capturar dados. | Desconfie de promoções urgentes ou mensagens com erros de digitação. Acesse o site digitando o endereço direto no navegador. |
Golpe do investimento falso | Promessas de lucros altos e rápidos em nome de instituições conhecidas. | Nenhum investimento sério garante rentabilidade imediata. Desconfie de retornos “sem risco”. |
A atitude que bloqueia o golpe
A engenharia social depende de um único fator para funcionar: a quebra da sua atenção e confiança. Por isso, a defesa mais simples — e a mais eficaz — é a desconfiança ativa.
Conheça o normal, identifique o mal. Desconfie de urgências, pedidos fora do padrão e contatos inesperados.
Mesmo que o golpista utilize todos os seus dados pessoais, jamais atenda a qualquer solicitação de imediato. Use o desconfiômetro e confirme sempre por um canal de sua confiança.
Lembre-se: os golpistas não têm aquilo que precisam, e cabe a você não entregar.
Suspeitou? Mantenha o Itaú no circuito.
Se receber qualquer comunicação falsa (SMS, e-mail ou WhatsApp) em nome do Itaú, encaminhe o conteúdo para análise do nosso time de segurança: emailsuspeito@itau-unibanco.com.br.
Essa é a nossa forma de reforçar um compromisso contínuo: o Itaú Unibanco mantém seus dados seguros, com processos de governança de segurança da informação e tratamento de dados pessoais em conformidade com os requisitos das normas e certificações ISO 27001 e ISO 27701, atestado pela Fundação Vanzolini.