Nos últimos anos, o cenário digital tem testemunhado uma proliferação impressionante de novas ameaças de engenharia social, entre as quais se destacam o smishing, o vishing, o QR Codes falso e outras variações que exploram a curiosidade e a confiança humanas.
Em meio a essas modalidades de golpes de engenharia social, surge o baiting, uma técnica que, embora antiga, reaparece com força renovada em razão do avanço tecnológico e da disseminação de dispositivos conectáveis. Mas, afinal, o que é baiting?
De maneira geral, pode-se afirmar que baiting é a prática de oferecer uma isca, seja ela física ou digital, para atrair a vítima e levá-la a executar alguma ação que permita a instalação de malware ou a exposição de dados sensíveis.
Baiting: história e como funciona
O baiting, diferentemente de outras táticas como phishing ou smishing, não depende exclusivamente do envio de e‑mails ou mensagens em massa. A isca pode ser um pendrive esquecido em uma área comum de uma empresa, um cartão de memória estrategicamente deixado em uma sala de espera, um QR Code impresso em um cartaz ou até mesmo uma oferta de download gratuito de músicas, filmes ou softwares em sites não-oficiais.
A vítima, motivada pelo interesse ou pela curiosidade, conecta o dispositivo ao computador ou clica no link, e assim aciona, muitas vezes sem perceber, um malware que pode variar de um simples adware a um ransomware capaz de paralisar sistemas inteiros. A adoção de dispositivos USB infectados começou a ser relatada ainda na década de 1990, quando pesquisadores de segurança realizaram experimentos que demonstraram a fragilidade dos usuários ao encontrar mídias externas em feiras e congressos.
Com o passar dos anos, o baiting evoluiu junto com a tecnologia: de CDs e disquetes passou a focar em pendrives, cartões SD e conexões Wi‑Fi abertas com nomes atraentes, como "Wi‑Fi_Grátis_Supermercado", que de fato direcionavam os usuários a portais maliciosos. Hoje, essa técnica é frequentemente associada a campanhas de malware sofisticado, incluindo trojans de acesso remoto (RATs) e ransomwares, tornando o baiting uma das mais perigosas formas de ataques de engenharia social.
A curiosidade infectou o gato
Imagine o seguinte cenário: um colaborador de uma corporação de porte médio encontra, no estacionamento da empresa, um pendrive com a inscrição "Política de Segurança.pdf". Em vez de entregá‑lo diretamente ao setor de TI, ele o conecta em seu computador para verificar o conteúdo.
O arquivo é, na verdade, um executável camuflado — ao ser aberto, baixa um keylogger que captura senhas ou instala um backdoor para acesso remoto. Esse ataque de baiting exemplifica perfeitamente como a simplicidade da isca física pode comprometer toda a segurança de uma organização.
Outro exemplo de baiting envolve ofertas digitais muito atrativas, como sites que prometem baixar gratuitamente o álbum mais recente de um artista famoso. Ao clicar no link divulgado em redes sociais, a vítima é direcionada a um portal que solicita o download de um codec ou de um reprodutor específico.
Ao instalar o software, ela acaba permitindo a entrada de malware em seu dispositivo. Mesmo que o usuário perceba que o download não era genuíno, muitas vezes já é tarde demais, pois scripts maliciosos podem ter alterado configurações do sistema ou executado rotinas de coleta de dados.
Ofertas boas demais para serem verdadeiras
Além dos dispositivos e downloads, outra vertente importante do baiting é a oferta de brindes ou cupons falsos. E‑mails, mensagens de WhatsApp ou SMS prometem descontos imperdíveis em lojas conhecidas, cartões‑presente eletrônicos ou prêmios exclusivos. Para resgatar o benefício, a vítima precisa preencher um formulário com informações pessoais e, em alguns casos, baixar um aplicativo de validação.
Esse app, por sua vez, é um malware que extrai contatos, lê mensagens e até obtém credenciais de acesso bancário. A técnica leva à disseminação de golpes de smishing quando as mensagens são enviadas por SMS e a golpes de vishing se feitas por chamadas de voz.
Percebe‑se, portanto, que o baiting explora tendências comportamentais universais: a curiosidade, o desejo de obter algo gratuito e o impulso de resolver questões sem buscar confirmação. Para além dos ataques individuais, essas estratégias de engenharia social colocam em risco a reputação, as finanças e a continuidade dos negócios de organizações de todos os tamanhos.
Como se proteger contra o baiting?
Diante desse panorama, surge a indispensável pergunta: como se proteger contra o baiting e outros ataques de engenharia social? A resposta passa por medidas técnicas, políticas de segurança e, sobretudo, a conscientização contínua dos colaboradores. Em termos práticos, é fundamental adotar controles rigorosos de acesso a dispositivos externos.
Computadores corporativos devem ter as portas USB bloqueadas por padrão, liberadas apenas para dispositivos previamente autorizados. Soluções de Endpoint Detection and Response (EDR) e antivírus avançados ajudam a identificar comportamentos suspeitos, impedindo a execução de arquivos disfarçados.
No campo das políticas internas, é recomendável implementar um inventário detalhado de mídias removíveis permitidas, bem como procedimentos claros para o recebimento e análise de dispositivos desconhecidos. Ao encontrar um pendrive ou um CD em área comum, o colaborador deve saber exatamente a quem reportar — nunca inserir diretamente em seu computador.
Além disso, a realização periódica de simulações de phishing e de testes de baiting (por exemplo, disponibilizando de forma controlada pendrives com arquivos de teste no ambiente corporativo) permite avaliar o nível de atenção e a adesão às boas práticas, identificando quais equipes ou setores demandam treinamentos adicionais.
Redução do risco humano no baiting
Os treinamentos, aliás, são a espinha dorsal de qualquer programa de conscientização. Ao abordar os conceitos de engenharia social, baiting, phishing, smishing, vishing e QR Codes falsos, os colaboradores passam a reconhecer gatilhos de manipulação e a adotar uma atitude proativa na verificação de ofertas suspeitas.
Comunicar casos reais — sem mencionar nomes ou detalhes sensíveis — reforça a importância de manter-se vigilante. A comunicação deve ser constante: boletins mensais, murais físicos e eletrônicos, webinars e até quizzes interativos ajudam a fixar o aprendizado.
Porém, a conscientização só ganha escala quando acompanhada por uma cultura de segurança, liderada pela alta gestão e disseminada em todos os níveis hierárquicos. Diretores e gerentes devem demonstrar comprometimento ao tratar incidentes com seriedade, valorizar o reporte de tentativas de golpe e premiar boas práticas.
Reconhecer publicamente os colaboradores que denunciam pendrives encontrados ou que recusam ofertas suspeitas cria um ciclo positivo, no qual a segurança passa a ser percebida como responsabilidade de todos, não apenas de TI. Ao unir controles tecnológicos, políticas efetivas e cultura organizacional, as empresas conseguem reduzir drasticamente o risco humano — principal vetor dos golpes de engenharia social.
Ainda que nenhuma medida elimine por completo todas as ameaças, a combinação dessas frentes diminui a superfície de ataque e eleva o nível de resiliência. Isso significa menos tempo de inatividade em caso de incidente, menor exposição a vazamentos de dados e menos custos com remediação e multas regulatórias.
Quer aprender ainda mais sobre o assunto e entender a importância de aprimorar seu programa de conscientização e redução do risco humano? Então não deixe de participar de nosso webinar gratuito "O phishing morreu? A evolução das ameaças cibernéticas e como combatê-las", que ocorre no dia 29 de maio às 11h!
