Phishing é um golpe em que criminosos se passam por empresas, bancos ou contatos confiáveis para roubar senhas, dados bancários ou instalar malware. O nome vem de fishing (pescaria): eles lançam iscas em massa esperando que alguém morda.
O que é phishing na prática?
É engenharia social digital. O atacante cria urgência, medo ou recompensa falsa para você clicar em um link, baixar um arquivo ou informar dados. Não exige hacking sofisticado — exige que a vítima aja sem pensar.
Exemplos reais de phishing
1. E-mail falso do banco
Assunto: "Sua conta foi bloqueada — confirme agora". O link leva a um site idêntico ao do banco, mas com domínio errado (ex.: banco-seguro-login.net em vez de banco.com.br).
2. SMS de entrega ou PIX
"Pacote retido — pague a taxa de R$ 4,90". Ou "Você recebeu um PIX — clique para ver". Links encurtados escondem o destino real.
3. WhatsApp de "suporte"
Mensagem de número desconhecido dizendo que sua conta Netflix, Instagram ou Gmail será cancelada. Pedem código de verificação — que na verdade permite ao golpista entrar na sua conta.
4. LinkedIn e vagas falsas
Recrutador falso oferece emprego remoto com salário alto e pede para baixar um "app de entrevista" — que é malware.
5. 2FA falso
Site clone pede login + código do autenticador. O criminoso usa os dados em tempo real no site verdadeiro.
6. Phishing por voz (vishing)
Ligação se passando por banco, Receita Federal ou suporte da Microsoft pedindo acesso remoto ao computador.
7. Anexo infectado
E-mail corporativo com "nota fiscal.pdf.exe" ou planilha com macro maliciosa — clássico em ataques a empresas.
Sinais de alerta
| Sinal | O que observar |
|---|---|
| Urgência artificial | "Última chance", "conta bloqueada em 24h" |
| Domínio estranho | Erros de grafia, TLD diferente (.net, .xyz) |
| Genérico | "Prezado cliente" em vez do seu nome |
| Anexos inesperados | Arquivos .exe, .zip ou macros em documentos |
| Pedido de código | Ninguém legítimo pede seu código SMS ou 2FA |
Como se proteger
- Acesse sites digitando o endereço ou usando favoritos — não clique em links de e-mails suspeitos.
- Ative autenticação em dois fatores (app autenticador, não SMS quando possível).
- Use gerenciador de senhas com senhas únicas por serviço.
- Em redes públicas, prefira VPN para criptografar o tráfego.
- Desconfie de qualquer pedido de urgência ou dinheiro por mensagem.
Tipos de phishing além do e-mail
Spear phishing personaliza a mensagem com seu nome, empresa ou cargo — taxa de sucesso maior que disparos em massa. Whaling mira executivos (CEO fraud, pedidos urgentes de transferência). Smishing usa SMS; vishing, ligações telefônicas. Em todos os casos, a engenharia social explora confiança, medo ou urgência.
Phishing por QR code ganhou força em estacionamentos e restaurantes: você escaneia um código falso que leva a página clone de pagamento. Sempre prefira digitar URLs conhecidas ou usar apps oficiais.
O que fazer na prática se desconfiar
- Não clique — acesse o serviço pelo app ou site digitado manualmente.
- Confirme por outro canal — ligue para o banco pelo número do cartão, não pelo da mensagem.
- Verifique o remetente — domínios oficiais raramente usam Gmail ou subdomínios aleatórios.
- Reporte — Gmail, Outlook e WhatsApp têm fluxos para denunciar golpes.
- Atualize senhas se já informou dados — comece pelas contas críticas e ative 2FA.
Ferramentas que ajudam (sem milagre)
Navegadores modernos bloqueiam sites maliciosos conhecidos; antivírus analisam anexos; gerenciadores de senha não preenchem credenciais em domínios errados — sinal de alerta útil. Nenhuma ferramenta substitui ceticismo: golpistas renovam domínios e templates mais rápido que listas de bloqueio.
Em empresas, treinamentos simulados de phishing medem vulnerabilidade interna. Para uso pessoal, combinar senhas únicas, 2FA e hábitos de blindagem digital reduz drasticamente o impacto mesmo se você clicar por engano.
Golpes em alta em 2026: IA e deepfake
Modelos de linguagem redigem e-mails sem erros de português; vozes sintéticas imitam parentes pedindo PIX urgente. Desconfie de áudios curtos sem contexto e de vídeos com cortes abruptos. Estabeleça uma “palavra-código” familiar para confirmar pedidos de dinheiro por mensagem.
Tipos de phishing além do e-mail
Spear phishing personaliza a mensagem com seu nome, empresa ou cargo — taxa de sucesso maior que disparos em massa. Whaling mira executivos (CEO fraud, pedidos urgentes de transferência). Smishing usa SMS; vishing, ligações telefônicas. Em todos os casos, a engenharia social explora confiança, medo ou urgência.
Phishing por QR code ganhou força em estacionamentos e restaurantes: você escaneia um código falso que leva a página clone de pagamento. Sempre prefira digitar URLs conhecidas ou usar apps oficiais.
O que fazer na prática se desconfiar
- Não clique — acesse o serviço pelo app ou site digitado manualmente.
- Confirme por outro canal — ligue para o banco pelo número do cartão, não pelo da mensagem.
- Verifique o remetente — domínios oficiais raramente usam Gmail ou subdomínios aleatórios.
- Reporte — Gmail, Outlook e WhatsApp têm fluxos para denunciar golpes.
- Atualize senhas se já informou dados — comece pelas contas críticas e ative 2FA.
Ferramentas que ajudam (sem milagre)
Navegadores modernos bloqueiam sites maliciosos conhecidos; antivírus analisam anexos; gerenciadores de senha não preenchem credenciais em domínios errados — sinal de alerta útil. Nenhuma ferramenta substitui ceticismo: golpistas renovam domínios e templates mais rápido que listas de bloqueio.
Em empresas, treinamentos simulados de phishing medem vulnerabilidade interna. Para uso pessoal, combinar senhas únicas, 2FA e hábitos de blindagem digital reduz drasticamente o impacto mesmo se você clicar por engano.
Golpes em alta em 2026: IA e deepfake
Modelos de linguagem redigem e-mails sem erros de português; vozes sintéticas imitam parentes pedindo PIX urgente. Desconfie de áudios curtos sem contexto e de vídeos com cortes abruptos. Estabeleça uma “palavra-código” familiar para confirmar pedidos de dinheiro por mensagem.
Phishing em redes sociais e marketplaces
Anúncios falsos de celulares com preço irreal no Instagram, links de “frete grátis” no WhatsApp e perfis clonados de influenciadores prometendo sorteios pedem dados ou pagamento antecipado. A regra é a mesma do e-mail: se parece bom demais, pare e verifique o perfil oficial da marca.
Marketplaces legítimos nunca pedem pagamento por link externo de WhatsApp. Use sempre o chat e o checkout dentro da plataforma — proteção do consumidor depende do canal correto.
Phishing em redes sociais e marketplaces
Anúncios falsos de celulares com preço irreal no Instagram, links de “frete grátis” no WhatsApp e perfis clonados de influenciadores prometem sorteios em troca de dados. A regra é a mesma do e-mail: se parece bom demais, pare e verifique o perfil oficial da marca.
Marketplaces legítimos nunca pedem pagamento por link externo de WhatsApp. Use sempre o chat e o checkout dentro da plataforma — a proteção ao consumidor depende do canal correto.
Phishing por SMS (smishing) em alta
Links encurtados fingindo Correios, banco ou Pix pendente explodem em datas comerciais. Nunca toque — acesse app oficial digitado manualmente ou QR do banco conhecido.
Deepfake de voz e vídeo
Golpistas clonam voz de parente pedindo transferência urgente. Combine código verbal familiar; desligue e retorne em número salvo — não no que ligou.
Relatório e resposta
Encaminhe e-mail suspeito para abuse@ do provedor e denuncie no site do banco falsificado. Troque senhas de dispositivo limpo; ative 2FA hardware se disponível.
Perguntas frequentes
O que fazer se cliquei em um link de phishing?
Desconecte da rede, troque senhas de contas afetadas, ative 2FA e monitore extratos. Em ambiente corporativo, avise o TI imediatamente.
Phishing e spam são a mesma coisa?
Não. Spam é propaganda em massa; phishing é golpe direcionado a roubar dados ou dinheiro.
Bancos pedem senha por e-mail?
Nunca. Instituições financeiras não solicitam senha, token ou código por e-mail, SMS ou WhatsApp.
