Phishing: o que é, como funciona e como se proteger

Seguinte
Christian Ali Bravo

O que é phishing?

O phishing é uma técnica de engenharia social muito utilizada pelo cibercrime para obter os dados pessoais de suas vítimas. Os ataques costumam ser realizados por meio de um e-mail que supostamente vem de uma entidade confiável, como um banco, uma rede social, órgãos governamentais ou qualquer outra empresa reconhecida e de renome.

O objetivo? Convencer as pessoas a clicar em um link que leva a um site fraudulento, no qual serão solicitados dados confidenciais e pessoais. Essas informações podem ser usadas para roubo de identidade, realização de compras não autorizadas, solicitação de crédito ou qualquer outro tipo de atividade fraudulenta.

O termo phishing começou a ser utilizado em meados da década de 1990, em referência ao roubo de senhas de usuários reais do primeiro provedor de internet: a America Online, mais conhecida como AOL. E embora no início esses e-mails contivessem muitos erros de ortografia e gramática, eram bastante eficazes, já que as pessoas tinham pouco ou nenhum treinamento para identificar esses novos golpes digitais.

Já nos anos 2000, o phishing foi se profissionalizando, com e-mails muito mais semelhantes aos oficiais, uso de logotipos quase idênticos aos reais e uma redação mais coerente e convincente no corpo da mensagem. Além disso, os cibercriminosos ampliaram a rede de vítimas, passando a mirar clientes de serviços de pagamento online (como PayPal e eBay) e instituições bancárias.

Entre 2010 e 2020, o phishing se tornou mais seletivo e direcionado, incluindo nomes reais nos e-mails e mencionando empresas específicas. As redes sociais desempenharam um papel crucial nesse período, já que se transformaram em verdadeiras minas de informações pessoais que os cibercriminosos exploraram para personalizar ainda mais os ataques. Os objetivos também mudaram: de roubar dados para acessar redes corporativas a desencadear ataques de ransomware.

A partir de 2020, o phishing passou por outra evolução. Durante a pandemia da COVID-19, houve uma explosão de ataques que usavam como iscas campanhas que se passavam por órgãos de saúde, ofertas de trabalho remoto ou falsos pedidos de suporte técnico. Outro fator determinante também surgiu: a Inteligência Artificial, que possibilitou a criação de e-mails sem erros gramaticais ou ortográficos, tornando-os ainda mais difíceis de identificar.

O fato é que, com o passar dos anos, o conceito foi ganhando popularidade a tal ponto que muitas pessoas o utilizam também para se referir a outros tipos de ataques que, na prática, não são realmente phishing, como o malspam, o spam ou os sites falsos.

Por exemplo, o termo malspam refere-se a um e-mail que distribui malware em anexo ou links maliciosos, visando infectar o dispositivo. Já o phishing, por sua vez, busca que a vítima entregue informações pessoais.

No caso de uma página falsa que se faz passar por uma legítima, não se trata de um ataque de phishing em si, mas costuma ser uma ferramenta fundamental nesse tipo de ataque, utilizada para enganar e obter dados por meio de um formulário fraudulento.

 

Como funciona o phishing?

Para reconhecer quando estamos diante de um e-mail de phishing, é fundamental compreender como esse ataque funciona, etapa por etapa. Nesse sentido, identificar as técnicas mais utilizadas pelo cibercrime para ganhar a confiança da vítima e levá-la a entregar seus dados pessoais e informações confidenciais é essencial.

  • E-mails personalizados: São mensagens que utilizam o nome e outros dados reais da vítima para torná-las muito mais confiáveis e críveis. Essas informações podem ser obtidas nas próprias redes sociais da pessoa, em vazamentos anteriores ou em bases de dados compradas na dark web.
  • Spoofing: Por meio dessa técnica, os atacantes falsificam o endereço do remetente para que pareça que o e-mail foi enviado por uma fonte legítima (como bancos, plataformas de pagamento ou qualquer outra empresa reconhecida).
  • Imitação de empresas ou pessoas reais: Para isso, utilizam logotipos, cores e designs idênticos aos originais, de forma a replicar quase perfeitamente um e-mail legítimo. Apostam no reconhecimento e na confiança que uma imagem familiar transmite.
  • Mensagens de urgência ou alarme: Nesses casos, os cibercriminosos querem que a vítima aja sem pensar, tentando resolver um suposto problema de maneira rápida. Exemplos comuns de mensagens incluem: “Detectamos um acesso não autorizado”, “Sua conta será suspensa em 24 horas” ou “Confirme sua identidade ou o acesso será bloqueado”.
  • Oportunidades impossíveis, ofertas, sorteios ou prêmios falsos: Outro método muito comum envolve promessas de sorteios atrativos, descontos exclusivos ou benefícios por tempo limitado. Normalmente incluem frases como: “Você ganhou um iPhone! Basta acessar e preencher seus dados”.
  • Links para sites falsos e anexos maliciosos: Os cibercriminosos também inserem links para páginas quase idênticas às originais (do logotipo ao formulário de login), a fim de roubar informações sensíveis da vítima. Além disso, podem incluir anexos como PDFs, planilhas ou documentos do Word que, ao serem abertos, instalam malware no dispositivo.

Por meio dessas técnicas, os atacantes têm um objetivo muito claro: enganar as vítimas e obter seus dados pessoais e sensíveis. Para isso, como vimos nos exemplos de iscas acima, eles exploram o senso de urgência, o desejo e outras emoções para induzir as pessoas a clicar em links maliciosos ou compartilhar suas informações.

Se atingirem seu objetivo, os criminosos terão acesso a um botim muito valioso, como credenciais de login, informações bancárias, senhas de diferentes plataformas, contas ou serviços, que depois podem ser usados em atividades ilícitas.

Por exemplo, acessar contas bancárias para roubar dinheiro, invadir e-mails ou redes sociais para enganar contatos com outras fraudes, realizar compras ou solicitar empréstimos em nome da vítima, vender esses dados em fóruns clandestinos ou até os utilizar em outros ataques.

 

Tipos de phishing

Embora o phishing por e-mail seja o mais comum, também existem outros tipos que, com o tempo e o avanço da tecnologia, ganharam espaço no mundo das fraudes e enganos. A seguir, compartilhamos os mais frequentes:

• Phishing por e-mail

A forma mais tradicional: por meio de e-mails falsos que parecem ser de uma fonte legítima e confiável (banco, rede social, serviços ou até um contato conhecido), os cibercriminosos buscam enganar suas vítimas para que revelem informações pessoais, mas também para baixarem malware ou cliquem em links maliciosos.

• Smishing

O smishing ou "phishing por SMS" consiste no envio de mensagens fraudulentas por meio de aplicativos de texto ou de mensagens, visando manipular as vítimas para realizarem ações específicas. Essas mensagens geralmente contêm links que direcionam a sites, páginas de login ou aplicativos maliciosos, e a partir daí os criminosos podem extrair informações pessoais ou infectar o dispositivo com malware.

• Vishing

Também conhecido como phishing por chamada telefônica, o conceito de vishing vem da abreviação de “voice phishing” (phishing de voz). Em que consiste? Em enganar pessoas por meio de ligações ou mensagens de voz para conseguir informações. Esses ataques evoluíram a ponto de os cibercriminosos usarem spoofing de chamadas (falsificação de números legítimos) ou até Inteligência Artificial para simular a voz de alguém, tornando o golpe ainda mais convincente.

• Phishing direcionado

Também chamado de spear phishing, esse ataque busca roubar informações sensíveis ou acessar sistemas privados, utilizando táticas personalizadas que o tornam mais perigoso e difícil de detectar. Os cibercriminosos coletam informações detalhadas sobre as vítimas (em redes sociais ou interações anteriores) para aumentar a eficácia do ataque. As mensagens levam a vítima a clicar em links maliciosos que podem resultar no roubo de dados ou na instalação de malware.

• Phishing em redes sociais

Cada vez mais comum, esse tipo de phishing se aproveita da confiança e da interação constante em redes como WhatsApp, Instagram, Facebook, LinkedIn, TikTok ou X (antigo Twitter), para roubar dados pessoais, credenciais de acesso ou dinheiro. Para isso, os criminosos falsificam identidades de empresas ou pessoas reais, ou criam perfis falsos de marcas e serviços verificados. Depois, podem enviar mensagens diretas, compartilhar links maliciosos ou fazer comentários enganosos.

 

Exemplos reais de phishing

O phishing é uma das vias de ataque preferidas pelo cibercrime e, por isso, não faltam casos reais de e-mails que buscam obter dados pessoais de suas vítimas por meio de diferentes iscas ou pretextos.

A seguir, compartilhamos 5 exemplos em que marcas e empresas de renome foram utilizadas para realizar ataques de phishing.

 

Ômicron

A preocupação mundial com a pandemia ocasionada pela COVID-19 e o surgimento da nova variante do coronavírus foi aproveitada, no final de 2021, por cibercriminosos que se passaram pelo Serviço Nacional de Saúde (sistema público de saúde do Reino Unido) para oferecer às potenciais vítimas a chance de obter um “teste PCR gratuito para Ômicron”.

Na realidade, se a vítima clicasse no link, era redirecionada para um site falso que imitava a identidade do NHS e pedia o preenchimento de um formulário com nome, data de nascimento, endereço, número de celular e endereço de e-mail.

Imagem 1. E-mail fraudulento que se passa pela NHS. Fonte: conversation.which.co.uk

 

Correios

Os cibercriminosos também usam empresas de entrega para aplicar golpes de phishing. Recentemente, foram identificadas mensagens de SMS e e-mails se passando pelos Correios, alertando sobre encomendas atrasadas, pendentes ou supostamente não entregues. O objetivo é induzir o usuário a clicar em links falsos que levam a sites fraudulentos, onde são solicitadas informações pessoais, senhas e dados de cartões de crédito.

Tentativa de phishing dos Correios

 

Netflix

A plataforma de filmes e séries online também costuma ser usada em diversas campanhas de phishing. Neste caso real, distribuído por meio de e-mail, a estratégia apela ao senso de urgência através do assunto “Alerta de notificação”.

O corpo da mensagem informa sobre uma suposta dívida acumulada pela vítima em potencial, que resultaria na suspensão do serviço caso não seja tomada uma ação imediata. O objetivo é claro: roubar os dados financeiros das vítimas ao solicitar que informem novamente os números completos do meio de pagamento utilizado ou de um novo cartão de crédito.

Banco do Brasil

Os cibercriminosos também utilizam bancos e programas de fidelidade em golpes de phishing. Encontramos mensagens de SMS se passando pelo Banco do Brasil tentavam enganar os clientes, alegando que um benefício de pontos/milhas aéreas haviam sido liberados ou creditados na conta. O objetivo era roubar credenciais de acesso à internet banking, dados do cartão e informações pessoais.

SMS que se passa pelo Banco do Brasil

Os sinais para detectar uma tentativa de phishing

A partir dos exemplos reais apresentados anteriormente, é interessante observar como certos elementos suspeitos ou características específicas se repetem, funcionando como alerta para identificar que se trata de um e-mail de phishing, cujo objetivo é apenas obter informações privadas e sensíveis das vítimas.

Por isso, é muito importante ter bem claro quais são os sinais de alerta que merecem atenção especial:

  • Saudação genérica ou impessoal
  • Erros de ortografia e gramática no corpo do e-mail
  • URL que não é legítima ou não coincide com o domínio oficial
  • Extensão suspeita em um arquivo anexado
  • Mensagem com tom de urgência ou alarmista
  • Contato inesperado
  • Remetente que parece ser de uma empresa conhecida, mas cuja direção não é legítima
  • Solicitação de dados pessoais e/ou bancários
  • Links que, ao passar o cursor, mostram um endereço diferente
  • Imagens ou logos de baixa qualidade

 

As consequências do phishing

Embora o principal objetivo dos ataques de phishing seja roubar dados pessoais, sensíveis e confidenciais das vítimas, existem diversas consequências associadas que é importante conhecer:

Roubo de identidade
Uma vez que os cibercriminosos obtêm os dados das vítimas (número de identificação pessoal, endereço, dados bancários, número de cartão e/ou senhas), eles podem se passar pela vítima. Consequências: abertura de contas bancárias falsas, solicitação de empréstimos, contratação de serviços ou cometimento de crimes em nome da pessoa.

Perda financeira
Se o atacante consegue acessar as credenciais bancárias ou de plataformas de pagamento da vítima, ele não apenas pode esvaziar contas, como também realizar compras, transferências ou pagamentos não autorizados.

Dano reputacional
Empresas, por exemplo, podem perder a confiança de clientes e parceiros caso seus dados sensíveis sejam expostos.

Infecção por malware
Embora o objetivo principal do phishing seja obter dados sensíveis, alguns e-mails contêm arquivos ou links maliciosos que instalam malware no dispositivo. Dessa forma, os cibercriminosos podem espionar a atividade do usuário, roubar informações ou, em casos mais graves, infectar o dispositivo com ransomware, criptografar os arquivos e exigir um resgate.

 

Como se proteger do phishing

Considerando que ataques de phishing são comuns no mundo digital, é fundamental adotar boas práticas que reduzam significativamente o risco de ser vítima desse tipo de fraude.

Ativar a autenticação multifator para todas as contas que ofereçam essa opção deve ser o primeiro passo: mesmo que os cibercriminosos consigam alguma credencial, a exigência de um segundo fator de autenticação dificultará o acesso às contas.

Verificar URLs antes de clicar: passe o mouse sobre os links para conferir se direcionam ao site oficial e não a um site malicioso.

Não responder e-mails suspeitos que chegarem inesperadamente: em caso de dúvida, entre em contato com a entidade por meio de seu site oficial ou outros canais de atendimento verificados.

Manter dispositivos e softwares atualizados para fechar vulnerabilidades exploráveis por atacantes.

Educar-se e manter-se informado sobre as últimas campanhas de phishing ajuda a identificá-las rapidamente. Também é recomendável compartilhar essas informações com familiares e colegas para reduzir a eficácia dos golpes.

Utilizar uma solução de segurança confiável: no caso da ESET, ela detecta anexos maliciosos e alerta os usuários sobre links para sites de phishing. Além disso, graças à função Anti-Phishing, bloqueia páginas web conhecidas por distribuir esse tipo de conteúdo.

 

O que fazer se você cair em um ataque de phishing

Além de conhecer suas características e consequências, também é fundamental saber como agir caso seja vítima de um ataque de phishing.

A seguir, uma série de ações concretas para mitigar os danos e reduzir o impacto do ataque ao mínimo possível:

Desconectar o dispositivo da Internet
Essa ação, embora simples, pode impedir o envio dos dados roubados e a propagação de qualquer malware. Se você estiver conectado a uma rede corporativa, é essencial avisar imediatamente o departamento de TI.

Trocar as senhas
O ideal é começar atualizando as credenciais de acesso do serviço ou conta em que os dados foram fornecidos. A recomendação também se aplica a todas as contas vinculadas ao mesmo e-mail. Uma dica: ative sempre que possível a autenticação em dois fatores.

Verificar atividades suspeitas
É necessário revisar todas as suas contas e serviços para identificar qualquer atividade fora do comum. Em plataformas bancárias, observe movimentos recentes e configure alertas de compras ou saques. Em redes sociais, verifique se houve algum login não reconhecido.

Realizar backup
Fazer cópias de segurança dos arquivos mais críticos é essencial para não perder informações importantes após o ataque.

Escanear o dispositivo
Um escaneamento completo com uma solução de segurança confiável é fundamental para detectar e eliminar qualquer malware, keylogger ou trojan que tenha sido instalado após o ataque.

Avisar a empresa ou instituição
Se dados bancários foram fornecidos, entre em contato com a instituição para bloquear transações fraudulentas. Caso a conta afetada seja de e-mail, rede social ou outro serviço online, reporte o incidente para recuperar o controle da conta.

 

Educação e conscientização sobre phishing

Com este panorama sobre o funcionamento do phishing, fica claro que, além de qualquer ferramenta ou solução de segurança implementada, a chave para que esses ataques não sejam eficazes é a educação das pessoas. Ou seja: campanhas de phishing não devem ser combatidas apenas com tecnologia, mas também com conhecimento e conscientização.

Isso se deve ao fato de que os cibercriminosos utilizam técnicas de engenharia social para explorar determinadas emoções das vítimas. Nenhuma solução de segurança pode intervir na decisão de um usuário desatento de clicar em um link suspeito ou baixar um arquivo infectado, ainda mais considerando que as campanhas atuais são potencializadas pela Inteligência Artificial, tornando-as mais convincentes.

Por isso, a educação das pessoas deve ser prioridade, com o objetivo de treinar o olhar e saber identificar sinais de alerta, anulando a possibilidade de clicar em links maliciosos ou baixar arquivos infectados.

No âmbito corporativo, treinamentos internos para os funcionários são ferramentas essenciais para proteger informações sensíveis e confidenciais, principalmente porque as empresas são alvos frequentes desse tipo de ataque.

Nesse contexto, os colaboradores devem representar a primeira linha de defesa. Uma estratégia eficaz inclui programas contínuos de formação em cibersegurança, para que os profissionais reconheçam ameaças como phishing e compreendam as técnicas de engenharia social.

Dessa forma, o investimento em pessoal especializado e em soluções de segurança deve estar acompanhado de uma conscientização interna efetiva. Cada membro da organização deve se tornar aliado das equipes de cibersegurança, motivado a reportar e se manter atento a ameaças como tentativas de phishing. Atualmente, há diversas opções eficazes para capacitar e conscientizar os colaboradores.

Simulações de phishing
Através desses exercícios, os usuários podem experimentar em um ambiente seguro e aprender com seus erros. Isso melhora suas habilidades de identificação de ameaças e contribui para a criação de uma cultura de conscientização.

Workshops e treinamentos curtos
É importante instruir os colaboradores sobre as táticas mais comuns de phishing, para que possam analisar e-mails e mensagens com maior conhecimento e atenção. Esses encontros devem ser conduzidos por especialistas em cibersegurança ou por pessoal interno treinado.

E-learning
Diversas plataformas oferecem conteúdos interativos, com vídeos, exemplos reais e testes. Esses materiais podem ser consultados sob demanda, promovendo aprendizado contínuo. Uma abordagem gamificada (gamification) pode aumentar o engajamento, usando pontuação e competições como motivação.

Para que o treinamento seja eficaz, três pilares devem ser seguidos: repetição, reforço e atualização. Considerando que o phishing evolui constantemente, nenhuma ação deve ser isolada; os treinamentos precisam ser periódicos e atualizados com novas variantes ou técnicas, usando exemplos reais.

Dessa maneira, o papel de empresas e instituições na capacitação das pessoas é fundamental.

Instituições de ensino deveriam incluir, desde os níveis básicos, a alfabetização digital em cibersegurança, ensinando não apenas a usar ferramentas, mas a utilizá-las com pensamento crítico e responsabilidade.

Além disso, empresas podem enviar aos clientes comunicações claras sobre novos casos de phishing, destacando cuidados para evitar cair em golpes, e aproveitar campanhas de massa para reforçar a conscientização.

 

Phishing e o marco legal

Considerando que o phishing é uma ameaça atual e concreta, capaz de comprometer dados pessoais e sensíveis, diversos países da América Latina têm adotado medidas legais para prevenir e proteger seus cidadãos.

Um exemplo é o Uruguai, que promulgou a Lei Nº 20.327 de Prevenção e Repressão à Cibercriminalidade, voltada a atualizar a legislação frente às novas modalidades de crimes envolvendo tecnologias. A lei tipifica vários crimes cibernéticos, incluindo fraude informática e falsificação de identidade, diretamente relacionados ao phishing.

Em países como Chile, Argentina e Colômbia, embora o phishing não esteja tipificado de forma específica como crime, ações relacionadas a esse ataque podem ser enquadradas como crimes informáticos, como manipulação de sistemas ou acesso não autorizado a sistemas de informação.

Quanto às responsabilidades, diversos países latino-americanos como México, Argentina, Colômbia, Equador e Brasil estão estruturando marcos legais inspirados no Regulamento Geral de Proteção de Dados (RGPD) europeu, com o objetivo de que plataformas adotem medidas proativas de segurança, como notificação de vazamentos, proteção de dados pessoais e colaboração com autoridades em casos de crime.

Em relação aos usuários, espera-se que adotem práticas digitais responsáveis e conscientes, mas o foco principal recai sobre as plataformas e a atuação dos cibercriminosos. Ou seja, a ênfase legal está em punir o fraudador e exigir que empresas ou organizações que oferecem serviços digitais implementem medidas de proteção ativas.

 

As tendências do phishing em 2025

Como já mencionamos ao longo deste guia, o phishing é um ataque em constante evolução, potencializado pelo uso da Inteligência Artificial.

Atualmente, os e-mails ou mensagens de SMS e WhatsApp usados por cibercriminosos em ataques de phishing apresentam uma redação que dificilmente levanta suspeitas: não contêm erros ortográficos ou gramaticais e muitas vezes estão adaptados ao tom e às preferências da vítima em potencial.

Nesse contexto, é importante destacar o spear phishing (ou phishing direcionado), em que os cibercriminosos, com auxílio da IA, realizam um trabalho minucioso de engenharia social para aumentar significativamente a eficácia do ataque. Eles analisam redes sociais, comportamento digital e publicações anteriores para personalizar o golpe de acordo com o perfil da vítima.

No caso do vishing, a situação é ainda mais preocupante, pois já existem ferramentas capazes de clonar vozes reais com apenas alguns segundos de áudio. Assim, para os criminosos, torna-se muito mais fácil gerar chamadas telefônicas em que uma voz conhecida solicita transferências de dinheiro ou qualquer tipo de informação pessoal e sensível.

Em resumo, esta nova era do phishing é marcada pela Inteligência Artificial, que não apenas automatiza os ataques, mas também os torna muito mais eficazes, personalizados e perigosos.

 

Recomendações finais

Ao longo dos anos, o phishing evoluiu até se tornar o que é hoje: não se trata mais de uma fraude rudimentar, com erros grosseiros e fácil de identificar, mas de uma ameaça sofisticada e perigosa, capaz de se camuflar em ambientes onde a maioria dos usuários se sente segura (redes sociais, serviços de mensagem, aplicativos móveis e até plataformas de pagamento).

O grande denominador comum? Explorar a confiança que a vítima pode ter e o senso de urgência, fazendo com que as pessoas ajam quase sem pensar.

Em um mundo digital dominado pela imediaticidade, dedicar alguns segundos para verificar se um e-mail é malicioso ou não pode fazer a diferença entre manter nossos dados seguros ou entregá-los a um cibercriminoso. Por isso, é fundamental seguir estas recomendações finais:

  • Desconfiar de qualquer e-mail que envolva ofertas incríveis, prêmios inesperados, solicitações urgentes ou pedidos de dados pessoais, sensíveis e confidenciais.
  • Verificar o remetente e a URL antes de clicar ou inserir informações. Um único caractere diferente pode indicar que se trata de um site falso ou malicioso.
  • Ativar a autenticação em dois fatores em todas as contas possíveis. Isso é crucial, pois mesmo que sua senha seja roubada, o criminoso não terá acesso sem esse segundo passo.
  • Manter o sistema operacional e os aplicativos sempre atualizados para evitar a exploração de vulnerabilidades conhecidas.
  • Contar com uma solução de segurança que inclua um módulo anti-phishing.
  • Manter-se informado sobre novas campanhas de phishing e investir em treinamento contínuo.

Em conclusão, o phishing continuará existindo e evoluindo. Por isso, é essencial estar preparado e instruído. A melhor defesa será sempre uma combinação de informação, prevenção e hábitos seguros.