Você acredita que seu SOC protege sua empresa? Pense novamente. Os ataques mais perigosos de hoje não usam links maliciosos. São ataques de engenharia social. Em especial o Vishing. Além disso, eles ignoram completamente suas ferramentas de monitoramento.

Criminosos estão roubando identidades digitais por telefone. Eles ligam para seus funcionários e os convencem a entregar credenciais. Portanto, seu filtro de e-mail não detecta nada.

O Verizon Data Breach Investigations Report de 2024 revelou dados alarmantes. Mais de 68% das violações envolvem o elemento humano (Verizon, 2024). Isso significa que pessoas cometem erros ou caem em golpes de engenharia social.

O que é pretexting e por que seu SOC não vê

Pretexting é uma técnica onde o atacante cria uma história falsa convincente. Ele se passa por alguém confiável para extrair informações sensíveis ou mesmo roubar a identidade digital da vítima..

Atualmente, essa técnica representa mais de 40% dos incidentes de engenharia social. Segundo o DBIR 2024, pretexting quase dobrou em relação ao ano anterior (Verizon, 2024).

O problema é simples: seu SOC monitora tráfego de rede. Contudo, ele não monitora ligações telefônicas ou conversas no WhatsApp.

Criminosos exploram essa brecha de três formas:

• Vishing (voice phishing): Ligações que simulam suporte técnico ou executivos
• Pretexting por telefone: Histórias elaboradas para obter senhas e códigos MFA
• Engenharia social via redes sociais: Coleta de informações no LinkedIn para criar pretextos críveis

Vishing cresceu 442% em 2024

Os números são assustadores. A detecção de ataques de vishing cresceu 442% entre o primeiro e segundo semestre de 2024 (DeepStrike, 2025).

Por que esse crescimento explosivo? Porque funciona. Com isso, criminosos perceberam que filtros de e-mail ficaram melhores. Então migraram para o telefone.

Um caso real ilustra o perigo. Em 2024, uma empresa de manufatura americana perdeu US$ 2,1 milhões. Atacantes usaram ligações coordenadas e e-mails falsificados para convencer o CFO a transferir fundos (Secureframe, 2025).

O SOC da empresa não detectou nada. Afinal, não houve malware, não houve link malicioso. Apenas manipulação humana.

MFA bypass: quando a autenticação em dois fatores falha

Você pode pensar: “Minha empresa usa MFA, estamos seguros”. Infelizmente, não é bem assim.

O relatório da Cisco Talos mostrou que 50% das respostas a incidentes no primeiro trimestre de 2024 envolveram bypass de MFA (Cisco Talos, 2024).

Os criminosos usam técnicas sofisticadas:

• MFA fatigue: Bombardeiam o usuário com notificações até ele aceitar por cansaço
• SIM swapping: Transferem o número do celular para outro chip
• Engenharia social no helpdesk: Convencem o suporte a resetar o MFA

Dessa forma, ter MFA não significa estar protegido. A Proofpoint descobriu que quase metade das contas comprometidas tinha MFA configurado (Proofpoint, 2025).

Seu SOC é cego para ataques de dia zero humanos

SOCs tradicionais têm uma fraqueza fundamental. Eles dependem de assinaturas conhecidas e padrões de comportamento.

Diante disso, ataques de engenharia social criam um “dia zero humano”. Não existe assinatura para uma conversa convincente. Não existe padrão para um funcionário sendo manipulado.

O TechTarget afirma claramente: SOCs não conseguem detectar ameaças desconhecidas e ataques de dia zero (TechTarget, 2024).

Assim sendo, sua empresa precisa de testes proativos. Precisa descobrir se seus funcionários cairiam em ataques reais.

Proteção de dados e LGPD: o custo real de uma violação

A Lei Geral de Proteção de Dados (LGPD) estabelece multas severas para vazamentos. A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar penalidades de até 2% do faturamento anual.

Contudo, o prejuízo vai além das multas. O custo médio de um ataque de engenharia social foi de US$ 130.000 em 2024 (CRC Group, 2024).

Quando criminosos obtêm acesso via engenharia social, eles podem:

• Roubar dados pessoais de clientes
• Acessar informações financeiras confidenciais
• Exfiltrar propriedade intelectual
• Instalar ransomware para extorsão

Por exemplo, ataques de Business Email Compromise (BEC) causaram perdas de US$ 2,77 bilhões somente no FBI IC3 em 2024.

Por que pentest de engenharia social é essencial

Testes de phishing por e-mail são importantes. Porém, eles testam apenas uma parte do problema.

No entanto, um pentest de engenharia social completo avalia toda a superfície de ataque humana. Isso inclui vishing, pretexting e até tentativas de acesso físico.

O diferencial de um teste avançado está em simular ataques reais. Especialistas da RESH ligam para seus funcionários. Eles tentam obter credenciais usando as mesmas técnicas dos criminosos.

O resultado mostra exatamente onde sua defesa falha. Você descobre se seu time de segurança detectaria o ataque. E se seus funcionários entregariam as chaves do reino.

Red Team: o teste de estresse final para seu SOC

Contratar um SOC não é suficiente. Você precisa validar se ele funciona.

Operações de Red Team da RESH simulam adversários reais. O objetivo não é encontrar vulnerabilidades técnicas. É testar pessoas, processos e tecnologia juntos.

Enquanto pentests focam em vulnerabilidades específicas, Red Team testa a capacidade de detecção e resposta. Se seu SOC não detectar a invasão simulada, imagine um atacante real.

A SECFORCE recomenda que organizações tenham SOC funcional antes de Red Team (SECFORCE, 2024). Dessa forma, o exercício valida se o investimento em monitoramento está funcionando.

Conclusão: teste antes que os criminosos testem por você

Ataques de engenharia social estão mais sofisticados. Eles não usam links. Não disparam alertas. E seu SOC não os vê.

A única forma de saber se sua empresa resistiria é testando. Pentest de engenharia social e Red Team revelam as brechas que monitoramento passivo não encontra.

Seus dados e os dados de seus clientes estão em jogo. A LGPD exige proteção adequada. E criminosos estão ligando agora para seus funcionários.

Entre em contato com a RESH e descubra se sua identidade digital está realmente protegida.

Fontes

• Verizon. “2024 Data Breach Investigations Report”. 2024. https://www.verizon.com/business/resources/reports/dbir/
• DeepStrike. “Social Engineering Statistics 2025: The Human Hack”. 2025. https://deepstrike.io/blog/social-engineering-statistics-2025
• Secureframe. “The 13 Most Common Types of Social Engineering Attacks in 2025”. 2025. https://secureframe.com/blog/most-common-social-engineering-attacks
• Cisco Talos. “How are attackers trying to bypass MFA?”. 2024. https://blog.talosintelligence.com/how-are-attackers-trying-to-bypass-mfa/
• Proofpoint. “Defense-in-Depth Strategy to Combat MFA Bypass Attacks”. 2025. https://www.proofpoint.com/us/blog/identity-threat-defense/why-mfa-good-not-good-enough-need-defense-depth-combat-mfa-bypass
• TechTarget. “How security operations centers work to benefit enterprises”. 2024. https://www.techtarget.com/searchsecurity/tip/How-security-operations-centers-work-to-benefit-enterprises
• SECFORCE. “Pen Testing Versus Red Teaming Use Cases”. 2024. https://www.secforce.com/the-blog/pen-testing-versus-red-teaming-use-cases-we-asked-the-experts/