Ataques Quid Pro Quo: Como hackers enganam você para obter seus dados

Os ataques quid pro quo não são novidade no mundo da engenharia social. No entanto, em 2025, eles atingiram um nível de sofisticação sem precedentes.

Neste guia, vamos explorar o que são esses ataques, como identificá-los e, principalmente, como se proteger contra eles.

Para se aprofundar no tema de engenharia social, confira também nosso curso de conscientização sobre segurança e privacidade de e-mail.

Mailfence - Obtenha seu e-mail seguro e gratuito.

4.1 baseado em 177 avaliações de usuários

Cadastre-se

Mailfence - Get your free, secure email today.

Sign up

4.1 based on 177 user reviews

O que é um ataque Quid Pro Quo?

Um ataque quid pro quo é uma técnica de engenharia social em que criminosos oferecem benefícios em troca de informações que podem ser usadas para roubar dinheiro, dados, ou assumir o controle de uma conta.

O termo “quid pro quo” vem do latim e significa literalmente “algo em troca de algo”. Ou seja, trata-se do famoso “você coça as minhas costas, eu coço as suas”.

Frases como “um favor por um favor”, “dar e receber” ou “uma mão lava a outra” capturam a essência dessa ideia: um acordo mútuo entre duas partes para trocar bens ou serviços.

Esta é uma noção poderosa porque, como seres humanos, somos guiados pela lei da reciprocidade psicológica. Isso significa que sempre que alguém nos dá algo ou nos faz um favor, nos sentimos obrigados a retribuir. E é exatamente essa tendência que os invasores exploram em ataques de engenharia social.

Então, como os invasores usam esse conceito em no contexto da engenharia social?

Imagine este cenário:

1. Você é contatado por um (suposto) funcionário de TI que se oferece para auditar o seu computador;
2. Ele promete remover vírus que estariam prejudicando o desempenho da sua máquina;
3. Para fazer isso, ele pede seu login e senha;
4. Você fornece as informações sem questionar.

Bum! Você acabou de ser vítima de um ataque quid pro quo.

Esses ataques são baseados em manipulação e abuso de confiança, se enquadrando na mesma categoria de técnicas de engenharia social como phishing (incluindo spear phishing e whaling), baiting e pretexting.

Ataques Quid Pro Quo: Exemplos reais

Vejamos agora alguns casos de ataques quid pro quo e o que podemos aprender com eles.

Golpe da criptomoeda Axie Infinity

Em 2022, um dos maiores golpes de criptomoeda foi relatado pelo Buisness Insider. Usando a técnica quid pro quo, hackers associados ao grupo norte-coreano Lazarus roubaram US$ 617 milhões da Sky Mavis, desenvolvedora do jogo Axie Infinity.

Os criminosos se passaram por recrutadores no LinkedIn, atraindo um engenheiro sênior com falsas entrevistas de emprego. Após o processo, eles enviaram uma carta de oferta fraudulenta contendo um spyware.

Quando o engenheiro baixou o arquivo, os invasores ganharam acesso à rede blockchain da empresa, que facilita a transferência de criptomoedas baseadas em Ethereum para o jogo. A partir daí, os invasores conseguiram desviar milhões de dólares em criptomoedas.

Golpes de suporte técnico

Durante a pandemia, devido ao aumento do trabalho remoto, fraudes de suporte técnico tornaram-se bastante comuns.

Nesses golpes, invasores se passam por equipes de TI, oferecendo assistência em troca de credenciais de login. Eles também podem direcionar as vítimas a instalar softwares mal-intencionados, comprometendo a sua segurança.

Essa técnica de fraude usa uma combinação de quid pro quo e “vishing”, uma forma de engenharia social que combina “voz” e “phishing” para atingir vítimas por telefone.

Em dezembro de 2024, o FBI reiterou os avisos, especialmente para os idosos. Aqui está um resumo rápido de como esses ataques se desenrolam de acordo com o FBI:

• Fingindo ser representantes de suporte técnico de empresas legítimas (Microsoft, McAfee, Norton, etc.), os criminosos alegam ter detectado problemas no dispositivo da vítima;
  
• Para que o problema seja resolvido, a vítima é instruída a solicitar uma garantia via telefone. Durante o processo, os invasores também informam a vítima de que suas contas financeiras foram invadidas e, por motivos de segurança, ela deve transferir imediatamente seu dinheiro para outra conta;
  
• A vítima é então instruída a vender bens, comprar ouro (a ser retirado por um mensageiro) ou transferir dinheiro para outras contas sob o controle dos golpistas.

Para entender melhor esses golpes de forma leve e divertida, canais como Scammer Payback e Kitboga no YouTube são ótimas recomendações.

Lições aprendidas com ataques quid pro quo

Então, o que podemos aprender com esses exemplos de ataques quid pro quo?

Primeiro: Não confie, verifique.

Baseada no antigo provérbio russo “Confie, mas verifique”, esta lição enfatiza a importância de confirmar a identidade de qualquer pessoa que solicite as suas informações.

No caso do Axie Infinity, por exemplo, os invasores criaram um ataque altamente direcionado e hiper personalizado. É por isso que qualquer forma de oferta de emprego não solicitada (ou comunicação não solicitada) deve ser verificada. Você pode solicitar identidades, funções de trabalho e verificar novamente no site oficial da empresa.

Segundo: Nunca compartilhe informações confidenciais por telefone ou e-mail.

Pessoas que trabalham remotamente são os principais alvos de invasores que se fazem passar por representantes de suporte de TI. Equipes de TI legítimas nunca pedirão sua senha, número de cartão de crédito por estes meios.

Estratégias de prevenção: Como evitar ataques Quid Pro Quo

Na seção anterior, abordamos algumas lições importantes para evitar ataques quid pro quo. Vamos explorá-las um pouco mais.

Treinamento e conscientização

Como em todos os ataques de engenharia social, a conscientização é a principal linha de defesa.

• Realize workshops para instruir funcionários sobre a natureza dos ataques quid pro quo, enfatizando as táticas usadas pelos invasores que oferecem serviços ou benefícios em troca de informações confidenciais;
  
• Ensine a sua equipe a identificar comunicações não solicitadas, especialmente aquelas que parecem boas demais para ser verdade ou que vêm de uma fonte desconhecida.

Protocolos de verificação

Não confie, verifique:

• Estabeleça procedimentos para verificar a identidade de toda e qualquer pessoa que solicitar suas informações;
  
• Use autenticação multifator (MFA) para adicionar uma camada extra de segurança e garantir que toda solicitação de acesso seja legítima.

Políticas de segurança robustas

• Desenvolva e dissemine políticas de segurança abrangentes que descrevam comportamentos aceitáveis, procedimentos para lidar com informações confidenciais e protocolos para relatar atividades suspeitas;
  
• Crie um sistema fácil de usar para que os funcionários denunciem tentativas de quid pro quo ou outros incidentes de segurança.

Outras práticas recomendadas para evitar ataques quid pro quo

• Seja sempre cauteloso. Nada é totalmente gratuito. E se algo parecer bom demais para ser verdade, provavelmente é.
  
• Nunca forneça informações pessoais, a menos que você tenha iniciado o contato. Se você precisar fornecer suas credenciais de login a um profissional de TI legítimo, certifique-se de alterá-las depois.
  
• Use senhas fortes e altere-as regularmente. Leia nosso artigo sobre senhas para que você adquira bons hábitos.

A ascensão da IA em ataques Quid Pro Quo

A inteligência artificial está revolucionando a forma como os criminosos cibernéticos organizam seus golpes de engenharia social.

Até muito recentemente, os ataques quid pro quo dependiam da interação humana. Mas a IA agora permite que criminosos automatizem e refinem seus métodos com uma precisão alarmante.

Com modelos de aprendizado de máquina cada vez mais sofisticados, criminosos podem criar interações altamente enganosas, usando dados de mídias sociais, bancos de dados vazados e registros públicos. A IA agora permite que os invasores gerem comunicações hiper personalizadas que parecem totalmente legítimas.

Chatbots com tecnologia de IA, por exemplo, podem imitar de forma convincente um agente de suporte de TI, oferecendo assistência falsa em troca de credenciais confidenciais.

Além disso, tecnologias como o deepfake e softwares de voz sintética permitem que invasores criem gravações de áudio e vídeo que imitam pessoas reais, fazendo com que as solicitações fraudulentas pareçam irrefutavelmente autênticas.

Como resultado, é muito mais provável que as pessoas obedeçam, acreditando que estão interagindo com um colega ou supervisor de confiança.

O uso crescente da IA nesses golpes exige maior conscientização e melhores defesas de segurança. As empresas e os indivíduos devem se manter à frente das ameaças emergentes adotando a autenticação multifator, examinando comunicações não solicitadas e promovendo uma abordagem cética em relação a ofertas inesperadas de assistência.

Conclusão sobre os ataques Quid Pro Quo

Os ataques de quid pro quo são uma ameaça cibernética que explora a troca de boa vontade. Ou seja, eles são especialmente perigosos, pois se aproveitam da tendência humana de retribuir qualquer serviço prestado de uma forma ou de outra.

Esperamos que, com este artigo, você tenha entendido melhor o que são os ataques quid pro quo e como se proteger. Por último, mas não menos importante, use serviços seguros, como um pacote de e-mail como o Mailfence.

Quer saber mais? Confira estes cursos e estudos on-line sobre o tema da engenharia social:

• Entendendo os ataques de engenharia social fornecidos pela TEEX
• Curso de Engenharia Social e Phishing de 1 dia da CQURE Academy
• Relatório sobre o custo de uma violação de dados em 2024 da IBM
• Relatório de investigação de violação de dados de 2024 da Verizon