Phishing: entenda o golpe virtual e aprenda a se proteger

Por bmagalhaes

Phishing é um tipo de fraude digital em que golpistas fingem ser empresas, bancos ou pessoas confiáveis para induzir você a revelar dados pessoais (login, senha, CPF, cartão de crédito etc.). Esses ataques podem ocorrer por e-mail, SMS, WhatsApp, redes sociais ou sites falsos. A gravidade é alta: segundo a Kaspersky, foram registrados 286 milhões de tentativas de phishing bloqueadas na América Latina em 12 meses – um aumento de 617% em relação ao período anterior. No Brasil esse salto foi de mais de cinco vezes. Vale notar que o CERT.br (centro de resposta a incidentes brasileiro) define páginas de phishing como sites falsos criados para obter vantagem financeira, como roubar dados bancários ou cartões de crédito. Esses números mostram que ninguém está totalmente livre desse risco, por isso é importante saber identificar e evitar esses golpes.

Como o Phishing Funciona (e Exemplos Reais)

Golpistas usam vários canais para atacar: e-mail, SMS, WhatsApp, redes sociais e sites falsos são os mais comuns. Em geral, a mensagem de phishing tem alguma característica manipuladora, como urgência (“sua conta será bloqueada em 24h!”), promessa irreal (“ganhe R$ 5.000 grátis!”) ou pedido de informação pessoal. Os fraudadores copiam marcas conhecidas e tentam enganar pelo visual (logo de banco, linguagem parecida, etc.). Veja alguns cenários típicos (imagens ilustrativas):

 

  • E-mail: O fraudador envia um e-mail que parece ser de um banco ou loja. Geralmente há erros de português (“usuario” sem acento, falta de concordância, termos estranhos) e um link suspeito. Por exemplo:
    “Prezado(a) cliente, identificamos atividade suspeita em sua conta. Para reativar, acesse 
    banco-seguro.conferir-login.com.xn--ivg 
    Nesse caso, o remetente pode ser um e-mail estranho (não termina em @seubanco.com) e o link não é o oficial do banco.
  • SMS: Golpistas enviam mensagem de texto fingindo ser empresa de entrega, loja ou banco. Um exemplo comum:
    “Alerta Bancário: Sua conta foi bloqueada. Clique para desbloquear: bit.ly/recuperar.”
    Os sinais de alerta incluem número do remetente desconhecido (não é o número oficial da empresa), link curto encurtado (bit.ly, tinyurl etc.) e linguagem apressada. Nunca clique: no exemplo acima, o link oculto leva a um site falso.
  • WhatsApp/Redes Sociais: O golpe pode vir como mensagem no WhatsApp ou redes sociais. Exemplo: um contato aparece dizendo ser do “Suporte Técnico” de um serviço que você usa, enviando link ou código. Ou alguém recebe:
    “Olá, aqui é da Caixa Econômica, precisamos atualizar seus dados. Confirme sua conta ouvindo o link: 
    caixa-auxilio-covid.com.xn--br-02t

Atenção: seu banco nunca pede senha ou dados por link. Remetentes desconhecidos e ofertas suspeitas em mensagens pessoais são indícios claros de phishing.

A tabela abaixo resume exemplos reais e como identificá-los:

Tipo de PhishingConteúdo da Mensagem (exemplo)Sinais de AlertaO que fazer
E-mail“Prezado(a) cliente, detectamos atividade suspeita em seu Banco X. Clique para confirmar: 
banco-seguro.com"		Remetente estranho (ex: e-mail genérico, não oficial); erros de português (ex.: concordância incorreta); link suspeito (domínio diferente do site do banco)Não clicar. Verificar acessando o site oficial do banco digitando o endereço no navegador ou ligando no suporte. Denunciar o e-mail como golpe.
SMS“Seu pacote dos Correios está aguardando retirada. Acesse 
correios-entrega.com
para agendar”		Remetente desconhecido (número curto ou internacional); link encurtado/sospechoso; urgência sem detalhesIgnorar/clique no link. Conferir diretamente no site oficial dos Correios digitando o endereço. Apagar a mensagem e bloquear o remetente.
WhatsApp“Amigo, sou do RH da Empresa Y. Preciso que você atualize seu cadastro de férias. Preencha aqui: 
empresay-promocao.xn--com-9o0a"		Número desconhecido (não é do RH real); site falso (domínio estranho); pedido inesperado de dados pessoaisNão fornecer dados. Confirmar com o RH oficial pelo canal conhecido. Bloquear o contato e reportar a mensagem como golpe.

           
Tipos de Phishing (Visão Geral Simplificada)

  • Phishing Tradicional: Ataque em massa, geralmente por e-mail genérico. O fraudador não sabe muito sobre a vítima e envia milhares de e-mails falsos esperando que alguém caia no golpe. Red flags: abordagem genérica (“Prezado cliente”), links suspeitos e muitas vezes erros de ortografia.
  • Spear Phishing: Golpe direcionado a uma pessoa ou grupo específico (generally empresas). Os atacantes pesquisam a vítima (nome, cargo, colegas) e enviam mensagem personalizada, fingindo ser alguém conhecido. Pode vir por e-mail “interno” ou redes sociais. Pelo refinamento, é mais difícil identificar, mas cuidado com qualquer solicitação inesperada, mesmo se parecer de um colega.
  • Vishing (Voice Phishing): Phishing por telefone. Criminosos ligam dizendo ser do banco, polícia ou órgão público, criando urgência (“bloquearemos sua conta!”, “investigação”). Tática: solicitam que você confirme dados ou faça ações (como transferir/gravar senha). Dica: nunca passe senhas ou PINs por telefone. Se receber ligação estranha, desligue e contate a instituição por um número oficial.
  • Smishing: Phishing por SMS. Como no exemplo acima, tentam enganar via mensagem de texto. A tática é a mesma do e-mail: links para sites falsos, ofertas tentadoras ou alertas falsos. Cuidado especial ao receber SMS com URLs principalmente encurtadas, e sempre verificar o remetente (bancos e lojas oficiais usam números específicos).

Tecnologias de Proteção

  • Autenticação de Dois Fatores (2FA): Consiste em exigir um segundo código (por app ou SMS) além da senha para acessar contas. Mesmo que o ladrão roube sua senha, ele não terá esse código temporário. A 2FA é crucial e recomendada por especialistas. Para ativar, vá nas configurações de segurança de cada conta (e-mail, redes sociais, bancos) e procure por “Verificação em duas etapas” ou “Autenticação de dois fatores”. Siga as instruções para cadastrar seu celular ou app de autenticação (ex.: Google Authenticator, Authy). Uma vez ativa, telescópios impedem a maioria dos ataques automatizados.
  • Antivírus e Antimalware: Esses programas protegem seu dispositivo ao detectar aplicativos maliciosos e boletos falsos. Mantê-los atualizados ajuda a bloquear malwares que phishing pode instalar (por exemplo, ao abrir anexos infectados). Instale um antivírus confiável (Windows Defender já vem no Windows; há outros renomados como Avast, Kaspersky, Norton) e agende verificações periódicas. Muitas proteções também analisam links antes de você clicar e alertam sobre sites inseguros.
  • Filtros de Spam e E-mail: O filtro de spam do seu provedor (Gmail, Outlook, etc.) já elimina boa parte dos e-mails maliciosos. Mantenha esse filtro ativado e marque sempre como spam qualquer e-mail suspeito. Em uso corporativo ou quem tem servidor próprio, configurar regras personalizadas (bloquear domínios estranhos, exigir assinaturas DKIM/SPF) ajuda a barrar mensagens de phishing antes que cheguem.
  • Navegadores com Proteção Anti-Phishing: Chrome, Firefox, Edge e outros modernos contam com “navegação segura” ativada por padrão, que bloqueia sites reconhecidos como perigosos. Mantenha o navegador sempre atualizado para receber novas listas de sites maliciosos. Por exemplo, o Chrome exibe alerta vermelho se você tentar acessar um site que sabe ser um golpe. Assim, ainda que você clique num link enganoso, o navegador poderá evitar a visita.
  • Gerenciadores de Senhas: Ferramentas como Bitwarden, LastPass ou 1Password ajudam a criar e armazenar senhas fortes, diferentes para cada site. Ao usar um gerenciador, ele automaticamente só preenche a senha se o domínio do site for exatamente o correto, evitando que você insira dados em páginas falsas (ex.: “gogle.com” não chama “google.com”). Use-os para não repetir senhas e facilitar a manutenção de credenciais seguras.

Como se Proteger na Prática (Dicas Essenciais)

  • Verifique o remetente: Sempre checar o e-mail completo de quem enviou a mensagem. Cuidado com domínios imitados (ex.: “bancoexemplo123.com.br” em vez de bancoexemplo.com.br).
  • Passe o mouse sobre links: Antes de clicar, posicione o ponteiro sobre o link (ou pressione e segure no celular). Veja se o endereço exibido (URL) é o mesmo do site oficial. Se parecer estranho, não clique.
  • Desconfie de ofertas “boas demais”: Golpes frequentemente oferecem prêmios, cupons ou dinheiro fácil. Use o senso crítico: se a promoção soa irreal, provavelmente é fraude.
  • Nunca forneça dados pessoais por link: Não informe senhas, código de segurança ou dados bancários apenas por clicar em link de e-mail/SMS. Se houver dúvida, acesse o site oficial digitando o endereço na barra do navegador ou ligue diretamente para a empresa.
    Mantenha tudo atualizado: Atualizações de sistema operacional, navegador e aplicativos fecham brechas de segurança. Ative atualizações automáticas sempre que possível.
  • Use senhas fortes e únicas: Crie senhas longas, com letras, números e símbolos, diferentes para cada serviço. Isso evita que um ataque em um site comprometa suas outras contas.
  • Monitore extratos bancários: Verifique periodicamente suas transações. Problemas como pequenas compras não reconhecidas podem sinalizar fraude em andamento.
  • Digite endereços manualmente: Para sites importantes (banco, e-mail, lojas), prefira digitar o endereço pelo navegador em vez de clicar em links. Desse modo, evita-se cair em sites falsos com nomes similares.
  • Cuidado com anexos: Não abra anexos de fontes desconhecidas ou inesperados (mesmo que aparentemente oficiais). Prefira baixar arquivos apenas de sites confiáveis.

Ajude Outros a se Protegerem

Phishing não afeta só você: amigos, colegas e familiares, especialmente idosos e pessoas menos acostumadas à internet, podem ser alvos fáceis. Compartilhe estas informações com eles! Explique como identificar mensagens suspeitas e ofereça ajuda para configurar proteções (como 2FA ou antivírus) nos dispositivos deles. A maioria dos golpes se espalha pela ignorância de alguém; quanto mais pessoas souberem reconhecer um phishing, menor será o alcance dos fraudadores.

Conclusão

Phishing é um golpe virtual cada vez mais comum, mas com atenção e hábitos seguros você pode evitá-lo. Lembre-se dos sinais de alerta (erro de português, links estranhos, urgência falsa) e use as proteções disponíveis (2FA, antivírus, filtros de spam). Mantenha seus dados pessoais fora de sites não-confiáveis e instrua quem está ao seu redor. Com essas práticas simples, você dificulta muito a ação dos golpistas. Fique sempre vigilante e proteja sua segurança digital!

Comentar

Sobre os formatos de texto

Texto puro

  • Nenhuma tag HTML permitida.
  • Quebras de linhas e parágrafos são feitos automaticamente.
  • Endereços de página da web e endereços de e-mail se tornam links automaticamente.
CAPTCHA
Esta questão é para verificar se você é ou não um visitante humano e prevenir submissões automáticas de spam.