Engenharia Social nos Cartórios: Como Identificar e Prevenir Golpes Contra a Serventia

Nos últimos anos, cartórios em todo o país têm relatado um tipo de golpe que não depende de invadir sistemas ou explorar falhas técnicas. Ele explora algo bem mais simples: a confiança de uma pessoa. É a chamada engenharia social, um conjunto de técnicas usadas para manipular funcionários, tabeliães e clientes, levando-os a fornecer informações, aprovar transações ou tomar decisões que não tomariam em condições normais.

O golpista não precisa ser um especialista em tecnologia. Precisa apenas construir um cenário convincente o suficiente para que alguém, sob pressão ou distração, abra a porta por dentro.

Mas como esses golpes acontecem na prática, e o que os cartórios podem fazer para se proteger deles?

Vale lembrar que, com a digitalização cada vez maior da rotina cartorária, todo o processo de atendimento e registro passa por sistemas online. E é justamente por isso que a segurança desses sistemas não depende só da tecnologia por trás deles, mas também do comportamento de quem os utiliza no dia a dia. Alguém pode obter acesso a um sistema inteiro não por uma falha técnica, mas por meio da engenharia social.

O que é engenharia social?

Engenharia social é a manipulação psicológica de uma pessoa para que ela aja de um jeito que beneficia o golpista, seja fornecendo dados sigilosos, autorizando um pagamento ou concedendo acesso a um sistema. Em vez de atacar um servidor ou uma senha criptografada, o golpista ataca a confiança, a autoridade e a urgência, elementos que fazem parte de qualquer atendimento humano.

No ambiente cartorário, isso ganha contornos particulares. Os cartórios lidam diariamente com dados sensíveis, procurações, escrituras e movimentações patrimoniais de alto valor, o que os torna um alvo especialmente atrativo para esse tipo de fraude.

A seguir, veja três cenários que ilustram como esses golpes costumam acontecer na rotina de uma serventia.

Cenário 1: a ligação da “corregedoria”

São 16h40 de uma sexta-feira. A serventia está no fim do expediente, o movimento é grande e o telefone toca.

Atendente: Cartório, boa tarde!

Voz do outro lado: Boa tarde! Aqui é o Rodrigo, da Corregedoria Geral de Justiça. Estamos fazendo uma verificação de rotina nos cartórios da região por causa de uma auditoria. Você tem dois minutinhos?

Atendente: Ah, sim, claro…

“Rodrigo”: Perfeito. Só preciso confirmar aqui os dados de acesso ao sistema de vocês, porque identificamos uma inconsistência no último envio à central. Você pode me confirmar o login que vocês usam pra acessar o sistema?

Se a atendente informasse o login, o próximo passo seria simples:

“Rodrigo”: Ótimo, e a senha, você tem aí ou precisa buscar com o TI?

Com acesso ao sistema, o golpista passaria a manipular atos, extrair dados de clientes ou preparar uma fraude maior, sem nunca ter explorado uma falha técnica. Ele só precisou de uma ligação bem construída e alguém disposto a confiar na autoridade que ouviu do outro lado da linha.

Reveja o diálogo com atenção e você vai notar pelo menos três sinais de alerta. Primeiro, a autoridade inventada: nenhum órgão de fiscalização real pede login e senha por telefone, esses canais são sempre formais e protocolados. Segundo, a urgência disfarçada de rotina: palavras como “auditoria”, “verificação” e “inconsistência” criam um clima de formalidade que não deixa espaço para questionar. Terceiro, o pedido que não faz sentido: nenhuma auditoria de sistema depende da senha pessoal de um funcionário, já que o órgão fiscalizador usaria acessos próprios e credenciados.

Cenário 2: o “tabelião” no grupo de WhatsApp

Duas semanas depois da ligação do “Rodrigo”, é a vez de outro golpe, agora dentro do próprio grupo de WhatsApp da equipe. Só que dessa vez o alvo não é um único atendente, é todo mundo ao mesmo tempo.

Por volta das 15h, uma mensagem aparece no grupo. A foto de perfil é parecida com a do tabelião titular, o nome é quase idêntico ao dele, algo como “Ricardo Sousa” no lugar de “Ricardo Souza”, e o número não está salvo, mas isso não chama muita atenção porque ele tem um celular pessoal e outro comercial, e ninguém tem certeza de qual é qual.

“Ricardo Sousa”:  Pessoal, bom dia. Preciso de um favor urgente. Estou numa reunião com o comprador do imóvel da Dona Marta e ele acabou de me passar os dados bancários atualizados pra transferência. O escritório dele mandou os dados antigos errados. Pode me confirmar se já saiu o repasse?

Uma das atendentes responde no grupo:

Atendente:  Bom dia! Ainda não, Dr. Ricardo, tá programado pra amanhã de manhã.

“Ricardo Sousa”:  Que bom que ainda dá tempo. Vou te passar os dados certos aqui, por favor já atualiza no sistema pra não atrasar. O comprador está pressionando porque o prazo do financiamento vence hoje.

Em seguida, chega uma imagem: um “comprovante” de dados bancários, com o nome de uma pessoa física, banco diferente do que constava originalmente no processo, e um número de conta que ninguém no cartório jamais viu antes.

A atendente, sozinha na recepção àquela hora, já está com o cursor sobre o campo de edição do cadastro quando outra colega, que só estava lendo o grupo, escreve:

Colega:  Espera, isso não fecha. O comprador é pessoa jurídica, lembra? A conta que ele mandou é de pessoa física. E o Dr. Ricardo nunca pediu pra gente mudar dado bancário direto pelo grupo, ele sempre liga pra confirmar.

A atendente para, hesita, e decide ligar para o número já salvo do tabelião, aquele usado há anos, e não o número que mandou a mensagem no grupo.

Atendente (ao telefone):  Dr. Ricardo, o senhor está numa reunião agora com o comprador da Dona Marta? Mandaram uma atualização de conta bancária aqui no grupo…

Tabelião (real):  Que reunião? Estou no cartório vizinho, resolvendo outro assunto. Não mandei nada. Deixa eu ver esse número que te chamou.

Era um golpe. O número não era do tabelião, o perfil tinha sido montado copiando a foto pública dele nas redes sociais, e a “urgência do financiamento que vence hoje” era só o gatilho para que ninguém parasse para confirmar antes de agir. Se a segunda atendente não tivesse notado a inconsistência entre pessoa física e pessoa jurídica, e se a primeira não tivesse ligado para o número já conhecido em vez de responder direto no grupo, o valor da venda do imóvel teria ido parar na conta de um golpista, e o vendedor real só descobriria o problema dias depois, ao perguntar por que o dinheiro não caiu.

Cenário 3: o e-mail de “regularização”

Na sexta-feira seguinte, é a caixa de entrada do setor administrativo que recebe a visita do golpista. No meio de e-mails de rotina, boletos e comunicados de fornecedores, chega uma mensagem com um remetente que parece confiável e um assunto que chama atenção na hora.

De: [email protected]: Pendência identificada no seu cadastro, regularize em até 24hPrezado cartório, identificamos uma pendência cadastral no sistema. Para evitar a suspensão temporária do acesso, clique no link abaixo e confirme seus dados de login.

O domínio parece oficial à primeira vista, o prazo de 24 horas cria pressão, e o link leva a uma página idêntica à do sistema real. Só que qualquer dado digitado ali vai parar direto nas mãos do golpista, que passa a ter acesso completo à conta da serventia. Vale reforçar o alerta já feito pelo Colégio Notarial do Brasil: cartórios idôneos não fazem contato por e-mail ou telefone para avisar de processos, cobrar pendências ou solicitar dados de acesso.

O padrão por trás dos três golpes

Note que os três cenários, a ligação, o WhatsApp e o e-mail, seguem exatamente a mesma receita. Primeiro, uma autoridade forjada: corregedoria, tabelião ou sistema oficial. Segundo, uma urgência artificial: auditoria, prazo de 24 horas, negociação que “cai” hoje. Terceiro, um pedido que, parado para pensar, não faz sentido: senha por telefone, mudança de conta sem confirmação, link de “regularização” por e-mail.

É esse padrão, autoridade forjada, urgência artificial e pedido fora do protocolo, que toda a equipe do cartório precisa aprender a reconhecer, independentemente do canal por onde o golpe chega.

Como o cartório pode se proteger

Estabeleça protocolos claros de verificação. Nenhuma informação sensível, alteração de dados bancários ou acesso a sistemas deve ser concedido apenas com base em uma ligação, e-mail ou mensagem. Sempre confirme a identidade do solicitante por um canal já conhecido e validado previamente, nunca pelo contato informado na própria mensagem suspeita.

Treine a equipe continuamente. A maior vulnerabilidade de qualquer sistema de segurança é o fator humano. Capacitações periódicas sobre os tipos de golpe mais comuns ajudam os colaboradores a reconhecer sinais de alerta antes de agir.

Desconfie da urgência. Solicitações que pressionam por uma resposta imediata, sem margem para verificação, merecem atenção redobrada, seja no atendimento presencial, seja em comunicações digitais.

Confirme alterações de dados bancários por telefone. Antes de qualquer repasse de valores relevantes, ligue para um número já conhecido e confirmado da parte envolvida para validar os dados, mesmo que a solicitação de mudança tenha chegado por e-mail ou documento aparentemente oficial.

Utilize sistemas com controles de segurança robustos. Contar com uma plataforma de gestão que registre acessos, exija autenticação adequada e limite permissões por perfil de usuário reduz significativamente a superfície de ataque de um golpista que tenta explorar falhas internas.

Reporte tentativas de golpe. Sempre que um colaborador identificar uma tentativa de fraude, é importante registrar o ocorrido e comunicar a equipe, para que outros atendentes também fiquem atentos a padrões semelhantes.

Conclusão

A ligação do “Rodrigo”, a mensagem no grupo de WhatsApp e o e-mail de “regularização” têm uma coisa em comum: nenhum deles depende de invadir um sistema. Dependem de uma pessoa, num momento de pressa ou distração, tomar a decisão errada.

É por isso que a engenharia social prospera onde falta atenção, protocolo e comunicação entre a equipe, e é justamente por isso que ela é combatida com cultura, não só com tecnologia. Cartórios lidam diariamente com atos de altíssimo valor jurídico e patrimonial, o que os torna alvos atrativos para esse tipo de golpe cada vez mais sofisticado.

Mais do que investir apenas em tecnologia, proteger a serventia contra a engenharia social exige cultura: colaboradores treinados, protocolos bem definidos e uma postura de verificação constante, sem que isso comprometa a qualidade do atendimento. Quando toda a equipe conhece esse padrão e sabe que pode, e deve, desligar o telefone, ignorar o grupo suspeito e confirmar por um canal já conhecido antes de agir, o cartório transforma cada colaborador em uma camada a mais de segurança, em vez do elo mais fácil de quebrar.

Leia também:

Red Flags nos Cartórios: Quais São os Principais Sinais de Alerta que Merecem Atenção?

Escrito Por: Albiere