Phishing é a prática criminosa de criar páginas, e-mails e mensagens falsas para enganar usuários e capturar informações sensíveis, como senhas e dados bancários. A seguir, um guia direto ao ponto para reconhecer e evitar esse tipo de fraude.

Definição e como funciona

O termo vem de fishing (pescar): os criminosos “lançam iscas” em massa ou de forma direcionada, imitando marcas e instituições legítimas. O usuário é induzido a clicar em um link ou abrir um anexo, inserir dados em um site falso ou autorizar ações indevidas.

• Cenário falso: páginas e mensagens com identidade visual de bancos, lojas e órgãos públicos.
• Isca: apelos de urgência, benefícios ou medo (bloqueio de conta, prêmio, nota fiscal, entrega).
• Coleta: formulários, capturas de credenciais e números de cartão; em alguns casos, instalação de malware.

Exemplos práticos

• Banco “atualize sua senha”: e-mail com link para página clonada pedindo login e token.
• Promoção falsa via WhatsApp: mensagem de “cupom exclusivo” exigindo cadastro e compartilhamento.
• Imposto de Renda: falso aviso de “pendência” com link para “regularização”.
• Marketplace: anúncio com preço muito abaixo da média e cobrança por PIX imediato.
• Suporte técnico: e-mail ou ligação se passando por Microsoft/Google pedindo código 2FA.
• Entrega de encomenda: SMS com link para “pagar taxa” e liberar a entrega.

Principais modalidades

• E-mail phishing: disparos em massa para coleta de credenciais.
• Spear phishing: foco em uma pessoa ou empresa, com dados reais do alvo.
• Whaling: ataques a executivos e decisores.
• Smishing: golpes por SMS e mensageria.
• Vishing: engenharia social por voz/telefone.
• Pharming: manipulação de DNS/hosts para redirecionar a sites falsos mesmo com URL certa.

Sinais de alerta

• Urgência artificial: “último aviso”, “bloqueio imediato”, “você ganhou”.
• Domínio suspeito: pequenas alterações em endereços (ex.: banc0, .net em vez de .com.br).
• Links encurtados ou estranhos: passe o mouse para pré-visualizar antes de clicar.
• Erros e formatação pobre: gramática, logotipos esticados, linguagem genérica.
• Pedidos de dados sensíveis: senha, token, número completo do cartão, código 2FA.
• Anexos inesperados: arquivos .html, .htm, .zip, .exe, .scr, ou PDFs não solicitados.

Boas práticas de proteção

• 2FA em tudo: habilite autenticação de dois fatores; prefira app autenticador a SMS.
• Verifique a origem: confirme o domínio do e-mail e a URL antes de inserir dados.
• Acesse pelo caminho oficial: em vez de clicar no link, digite o endereço no navegador.
• Atualizações e antivírus: mantenha sistema, navegador e soluções de segurança em dia.
• Gerenciador de senhas: cria senhas fortes e reduz reutilização entre serviços.
• Desconfie de ofertas irreais: grandes descontos, brindes fáceis e urgência são sinais clássicos.
• Educação contínua: treine a equipe e simule campanhas internas em empresas.

O que fazer se você clicou ou informou dados

1. Troque senhas imediatamente nos serviços afetados e em quaisquer contas com a mesma senha.
2. Revogue sessões e tokens (verifique “dispositivos conectados”).
3. Ative ou reconfigure o 2FA e gere novos códigos de recuperação.
4. Avise o banco/cartão e monitore transações; peça bloqueio/substituição se necessário.
5. Rode varredura antimalware e atualize o sistema.
6. Reporte o incidente ao provedor de e-mail, ao site legítimo imitado e, quando cabível, às autoridades.

Medidas extras para empresas

• DMARC, SPF e DKIM: políticas de autenticação de e-mail para reduzir spoofing.
• Bloqueio e sandbox de anexos/URLs: inspeção de links e arquivos em gateways.
• Menos privilégio e MFA: acesso mínimo necessário e múltiplos fatores em sistemas críticos.
• SIEM e resposta a incidentes: monitoramento, playbooks e exercícios de mesa.
• Treinamento recorrente: campanhas de conscientização com métricas de melhoria.

Resumo executivo

Phishing é barato para o criminoso, efetivo contra usuários desatentos e crescente em volume e sofisticação. A defesa combina tecnologia (MFA, filtros, políticas de e-mail), processos (resposta a incidentes) e, principalmente, comportamento seguro. Em dúvida, não clique, verifique a origem e acesse sempre pelo canal oficial.