Skip to main content

Phishing: Enganações Digitais

O que é Phishing?

Phishing é uma forma de ataque que utiliza engenharia social para enganar uma vítima e levá-la a revelar informações confidenciais, como senhas, dados bancários ou até instalar malwares no seu dispositivo.

O nome "phishing" vem de "fishing" (pescar), pois o atacante "joga o anzol" e espera que a vítima "morda".

Como o Phishing Funciona?

O atacante finge ser uma entidade confiável como seu banco, uma rede social, empresa de entrega ou mesmo um colega de trabalho e cria mensagens ou sites falsos que imitam os reais.

O objetivo pode ser:

  • Roubar senhas e logins
  • Capturar dados bancários ou CPF
  • Convencer a vítima a instalar malware
  • Obter acesso a sistemas corporativos

Principais Canais de Phishing

E-mail

O método mais comum. Ex: “Detectamos uma atividade suspeita na sua conta, clique aqui para confirmar sua identidade.”

SMS (Smishing)

Mensagens de texto que contêm links maliciosos. Ex: “Seu pacote está retido, clique para liberar.”

Telefone (Vishing)

O golpista liga fingindo ser do suporte técnico, banco ou Receita Federal para obter informações ou acesso remoto.

Mensageiros (WhatsApp, Telegram)

Links falsos prometendo brindes, vagas de emprego ou cupons, muitas vezes se espalham automaticamente pelos contatos.

Exemplos de Ataques Reais

1. Google Docs Phishing (2017)

Usuários receberam e-mails com convites falsos para visualizar documentos. Ao clicar, uma aplicação maliciosa pedia acesso à conta Google, afetando mais de 1 milhão de pessoas.

2. Netflix Falsa (2018)

E-mails informavam que a assinatura estava com problemas e redirecionavam para um site idêntico ao da Netflix para “corrigir” os dados de pagamento.

3. Banco do Brasil / Caixa Econômica (recorrente)

Mensagens que informam “bloqueio de conta” ou “transferência suspeita” com links para páginas falsas de login.

Como Identificar um Phishing?

Verifique o remetente

  • Um e-mail de contato@bankseguro.com.br tentando se passar pelo Itaú? Suspeite.
  • Preste atenção em domínios alternativos como .xyz, .site, ou .info.
  • Passe o mouse por cima antes de clicar.
  • Links encurtados (bit.ly, tinyurl) ocultam o destino real.

Desconfie de urgência ou pressão

  • “Você tem 1 hora para evitar o bloqueio da conta”
  • “Confirme seu CPF para liberar seu prêmio”

Erros de português e layout amador

Ataques mal feitos ainda são comuns, com linguagem estranha e aparência mal cuidada.

Anexos inesperados

Arquivos .zip, .exe, .docm ou .pdf podem conter malware.

Tipos de Phishing

Spear Phishing

Ataques personalizados: o golpista coleta dados sobre a vítima (nome, empresa, função, colegas) para parecer legítimo. Muito usado contra executivos e funcionários de empresas.

Whaling

Uma forma de spear phishing voltada para CEOs e altos executivos. Exemplo: e-mails que parecem vir de um sócio ou diretor financeiro.

Clone Phishing

O atacante clona um e-mail verdadeiro e legítimo que a vítima já recebeu antes, mas troca o link por um malicioso.

Smishing

Ataques por SMS ou WhatsApp, geralmente com links curtos e mensagens como “Sua conta está bloqueada, clique aqui”.

Técnicas Modernas de Phishing

  • Sites com certificados HTTPS falsos (o cadeado não garante segurança, só criptografia do tráfego)
  • Domínios parecidos (typosquatting): paypaI.com (com I maiúsculo) ao invés de paypal.com
  • Falsos apps na Play Store: disfarçados de bancos, jogos ou leitores de PDF
  • Spoofing de e-mail: manipulando cabeçalhos de envio para parecer que vem de um endereço legítimo

Como se proteger?

  • Nunca clique em links de fontes duvidosas.
  • Não confie apenas no cadeado HTTPS.
  • Digite manualmente o endereço do site no navegador.
  • Habilite a verificação em duas etapas (2FA) nas suas contas.
  • Use um bom antivírus com proteção contra phishing.
  • Instale extensões de navegador que verificam URLs.
  • Desconfie até de mensagens vindas de amigos, se o conteúdo parecer fora do normal.

Ferramentas úteis para identificar phishing

Conclusão

Phishing não depende de falhas técnicas, ele explora falhas humanas. Quanto mais informado você estiver, menor a chance de cair em golpes.

Se parecer suspeito, não clique, não baixe e não forneça dados. A próxima seção irá explorar os principais tipos de malwares que geralmente acompanham ataques de phishing.