Phishing é um golpe online que usa mensagens enganosas para induzir pessoas a compartilharem senhas, dados bancários, CPF, endereço e outras informações pessoais.

Esse tipo de crime pode acontecer por e-mail, SMS, WhatsApp, ligação telefônica, redes sociais, QR Code e até páginas falsas que aparecem em mecanismos de busca. Em muitos casos, os criminosos se passam por empresas, bancos, órgãos públicos, lojas ou pessoas conhecidas para fazer a vítima agir com pressa.

Uma pesquisa realizada pela Kaspersky revelou que o Brasil foi o país com mais ataques de phishing por WhatsApp. A empresa também informou que bloqueou mais de 76 mil tentativas de fraudes pela plataforma.

O que é phishing?

Phishing é um golpe digital em que criminosos tentam obter informações pessoais ou financeiras das vítimas por meio de mensagens falsas.

O termo vem da palavra “fishing”, que significa “pescar” em inglês. A lógica é parecida: o criminoso lança uma “isca” para atrair a vítima e fazer com que ela entregue dados sensíveis, como senhas, números de cartão, CPF, informações bancárias ou códigos de verificação.

Esses golpes podem acontecer em diferentes canais, como e-mails, mensagens de WhatsApp, SMS, redes sociais, sites falsos e ligações telefônicas. Em uma ligação, por exemplo, o criminoso pode se passar por funcionário de um banco, loja ou órgão público para solicitar dados confidenciais.

Na prática, o phishing se aproveita da pressa, da curiosidade, do medo ou da confiança da vítima. Por isso, mensagens com urgência excessiva, ameaças de bloqueio, promoções muito vantajosas ou pedidos inesperados de dados merecem atenção.

Tipos de phishing: exemplos comuns e como identificar cada golpe

Os ataques de phishing usam diferentes canais para enganar as vítimas. Os criminosos podem enviar e-mails, mensagens de SMS, links pelo WhatsApp, ligações telefônicas, QR Codes, anúncios falsos ou páginas fraudulentas para roubar dados, instalar malware ou induzir pagamentos indevidos.

Apesar das diferenças entre os formatos, a lógica costuma ser parecida: o golpista se passa por uma empresa, banco, loja, órgão público ou pessoa conhecida para criar senso de urgência e levar a vítima a agir sem verificar a origem da mensagem.

A seguir, veja os principais tipos de phishing, como eles funcionam e exemplos práticos para ficar em alerta.

Phishing por e-mail

No phishing por e-mail, o criminoso envia uma mensagem falsa para induzir a vítima a clicar em links, baixar anexos ou informar dados pessoais. Para parecer confiável, ele pode simular a identidade de bancos, lojas online, serviços de assinatura, empresas conhecidas ou órgãos públicos.

Geralmente, o e-mail informa uma suposta pendência, tentativa de acesso, cobrança, promoção ou necessidade de atualização cadastral. O objetivo é fazer com que a pessoa acesse uma página falsa ou execute alguma ação que comprometa sua segurança.

  • Exemplo: um e-mail informa que sua conta será bloqueada se você não atualizar seus dados imediatamente. Ao clicar no link, a vítima é direcionada para uma página falsa, criada para capturar login, senha, CPF ou dados bancários.

Spear phishing

No spear phishing, o criminoso personaliza o golpe para atingir uma pessoa, empresa ou grupo específico. Em vez de enviar a mesma mensagem para muitas vítimas, ele usa informações reais para tornar a abordagem mais convincente.

Esses dados podem vir de redes sociais, sites corporativos, históricos profissionais, vazamentos ou informações públicas. Com isso, a mensagem pode citar nome, cargo, empresa, cidade, rotina de trabalho ou contatos conhecidos.

  • Exemplo: um colaborador recebe um e-mail que parece ser de um fornecedor da empresa, com linguagem próxima da rotina profissional. A mensagem pede o pagamento de uma nota ou a abertura de um arquivo, mas o boleto é falso ou o anexo contém malware.

Whaling

No whaling, o criminoso direciona o ataque a executivos, diretores, CEOs, gerentes ou pessoas com alto poder de decisão. O objetivo é alcançar profissionais que autorizam pagamentos, acessam informações estratégicas ou têm influência dentro da empresa.

Esse tipo de golpe costuma ser mais elaborado, porque envolve mensagens personalizadas, tom profissional e assuntos ligados à rotina corporativa.

  • Exemplo: um diretor recebe uma mensagem aparentemente enviada por outro executivo solicitando uma transferência urgente para fechar uma negociação. A linguagem parece profissional, mas o e-mail foi criado por criminosos para induzir o pagamento.

Smishing

No smishing, o criminoso usa mensagens de SMS para enganar a vítima. A mensagem costuma trazer um link, número de contato ou pedido de ação imediata, sempre com aparência de comunicação oficial.

Os temas mais usados envolvem entrega de encomenda, bloqueio de conta, compra suspeita, pontos expirando, imposto pendente ou atualização cadastral.

  • Exemplo comum no Brasil: uma mensagem falsa informa que há uma taxa pendente para liberar uma encomenda. O link leva para uma página fraudulenta, onde a vítima pode ser induzida a pagar um boleto, fazer um Pix ou informar dados pessoais.

Vishing

No vishing, o criminoso usa ligações telefônicas para obter dados, senhas, códigos de segurança ou transferências financeiras. Para convencer a vítima, ele pode se passar por banco, operadora, loja, órgão público ou central de atendimento.

A abordagem geralmente explora urgência, medo ou falsa autoridade. Durante a ligação, o golpista tenta manter a pessoa na conversa até conseguir a informação ou ação desejada.

  • Exemplo: alguém liga dizendo ser do banco e informa que houve uma tentativa de compra suspeita. Durante a conversa, pede senha, código recebido por SMS ou orienta a vítima a fazer um Pix para “proteger” o dinheiro.

Phishing por WhatsApp

No phishing por WhatsApp, o criminoso usa mensagens, grupos, links compartilhados ou perfis falsos para aplicar golpes. Como o WhatsApp é um canal pessoal e muito usado no Brasil, a abordagem pode parecer mais próxima e confiável.

O golpista pode se passar por familiar, amigo, empresa, representante do governo, loja ou serviço conhecido. Em muitos casos, usa foto, nome e linguagem parecidos com os de pessoas ou marcas reais.

  • Exemplo comum no Brasil: uma mensagem falsa se passa por um órgão público e informa uma suposta dívida, benefício pendente ou cobrança urgente. O objetivo é levar a vítima a clicar em um link, preencher dados ou realizar pagamento indevido.

Clone phishing

No clone phishing, o criminoso copia uma mensagem legítima ou muito parecida com uma comunicação real e altera algum elemento importante, como link, anexo ou botão de acesso.

Esse tipo de ataque é perigoso porque a mensagem pode parecer familiar para a vítima, principalmente quando imita confirmações de compra, avisos de entrega, documentos compartilhados ou comunicados de empresas conhecidas.

  • Exemplo: a vítima recebe uma mensagem muito parecida com um e-mail de rastreamento de pedido. O botão de acompanhamento, no entanto, direciona para um site falso.

E-mail spoofing

No e-mail spoofing, o criminoso falsifica o remetente da mensagem para fazer parecer que o e-mail veio de uma fonte confiável. O nome exibido pode imitar uma empresa, instituição, colega de trabalho ou contato conhecido.

À primeira vista, a mensagem pode parecer legítima. Porém, ao verificar o endereço completo, é possível identificar diferenças sutis, como letras trocadas, domínios estranhos ou extensões incomuns.

  • Exemplo: um e-mail parece ter sido enviado por uma empresa conhecida, mas o endereço usa uma variação quase imperceptível do domínio original. A mensagem solicita atualização de cadastro ou pagamento de uma cobrança falsa.

Phishing em mecanismos de busca

No phishing em mecanismos de busca, o criminoso cria páginas falsas para atrair pessoas que pesquisam por empresas, lojas, serviços ou canais de atendimento. Esses sites podem aparecer em resultados orgânicos, anúncios patrocinados ou links compartilhados.

O risco é que a página fraudulenta pode imitar visualmente um site legítimo, incluindo logotipo, cores, formulários e linguagem parecida.

  • Exemplo: a pessoa busca por uma loja online, promoção ou serviço de atendimento e entra em uma página falsa. Ao tentar comprar, resolver um problema ou acessar a conta, informa dados pessoais e financeiros aos criminosos.

Quishing: phishing por QR Code

No quishing, o criminoso usa um QR Code para direcionar a vítima a um site falso, página de pagamento fraudulenta ou ambiente criado para roubar dados.

Esse tipo de ataque pode aparecer em cartazes, mensagens, e-mails, falsas cobranças, cardápios adulterados ou supostas promoções. Como o QR Code oculta o endereço de destino, a vítima pode acessar o link sem perceber o risco.

  • Exemplo: a vítima recebe uma cobrança com QR Code para pagamento via Pix. Ao escanear, acredita estar pagando uma empresa ou órgão legítimo, mas o valor é direcionado para a conta dos criminosos.

Phishing em redes sociais

No phishing em redes sociais, o criminoso usa perfis falsos, mensagens diretas, anúncios enganosos, promoções falsas ou links publicados em comentários para atrair vítimas.

A abordagem pode envolver sorteios, cupons, vagas de emprego, ofertas com preço muito baixo ou mensagens que simulam suporte oficial de uma marca.

  • Exemplo: um perfil falso anuncia uma promoção com desconto muito alto e direciona o usuário para uma página externa. No site falso, a pessoa informa dados de pagamento, mas não recebe o produto.

Pharming

No pharming, o criminoso redireciona a vítima para uma página falsa mesmo quando ela tenta acessar um endereço aparentemente correto. Esse ataque pode envolver manipulação de configurações, infecção por malware ou comprometimento de sistemas.

Como o usuário nem sempre percebe o redirecionamento, o pharming pode ser mais difícil de identificar. O objetivo, porém, continua sendo capturar dados em um ambiente fraudulento.

  • Exemplo: a vítima tenta acessar um site conhecido, mas é direcionada para uma página visualmente parecida, criada para roubar login e senha.

Phishing com anexos maliciosos

No phishing com anexos maliciosos, o criminoso envia arquivos falsos para instalar malware, roubar dados ou comprometer o dispositivo da vítima.

Esses arquivos podem aparecer como boletos, notas fiscais, comprovantes, currículos, contratos, intimações ou relatórios. Em muitos casos, a mensagem tenta convencer a pessoa a abrir o anexo com urgência.

  • Exemplo: um e-mail informa que há uma nota fiscal disponível em anexo. Ao abrir o arquivo, o computador pode ser infectado por um programa malicioso.

Phishing com inteligência artificial

No phishing com inteligência artificial, o criminoso usa recursos de IA para criar golpes mais convincentes. Ele pode gerar mensagens com menos erros, simular estilos de escrita, produzir imagens falsas ou até imitar vozes em ligações e áudios.

Com isso, a tentativa de golpe pode parecer mais natural e personalizada. Por isso, a verificação é ainda mais importante quando a mensagem envolve dinheiro, dados pessoais, senhas ou decisões urgentes.

  • Exemplo: a vítima recebe um áudio ou ligação que parece ser de uma pessoa conhecida pedindo uma transferência. Antes de agir, é importante confirmar o pedido por outro canal.

Exemplos de phishing no Brasil para ficar de olho

Alguns golpes de phishing são adaptados ao contexto brasileiro e usam nomes de empresas, instituições e serviços conhecidos para parecerem mais confiáveis. Entre os exemplos mais comuns, estão:

  • falsa cobrança em nome da Receita Federal ou de páginas que imitam o gov.br;
  • falsa taxa para liberar encomendas;
  • mensagem de WhatsApp se passando por órgão público;
  • falso boleto de multa, imposto, compra ou serviço;
  • link de pagamento via Pix enviado por SMS ou WhatsApp;
  • perfil falso de familiar pedindo dinheiro;
  • loja falsa com promoção muito abaixo do preço normal;
  • falsa central de atendimento solicitando senha, código ou confirmação de dados.

Uma forma simples de se proteger é desconfiar de mensagens com urgência excessiva, ameaça de bloqueio, promessa de vantagem imediata ou pedido de pagamento fora dos canais oficiais. Antes de clicar, pagar ou informar dados, acesse o site oficial da empresa ou órgão diretamente pelo navegador.

Dicas para se proteger de golpes de phishing

Para evitar golpes de phishing, é importante observar os sinais de alerta antes de clicar em links, abrir arquivos ou compartilhar dados pessoais.

Veja algumas práticas que ajudam a proteger sua identidade online:

  • não clique em links nem abra anexos de e-mails, mensagens de texto ou redes sociais enviados por remetentes desconhecidos;
  • confira o endereço do site antes de inserir informações pessoais ou financeiras;
  • desconfie de URLs estranhas, com letras trocadas, símbolos incomuns ou nomes parecidos com marcas conhecidas;
  • observe erros de português, mensagens genéricas e solicitações incomuns de dados;
  • evite informar senhas, códigos de verificação ou dados bancários por telefone, mensagem ou e-mail;
  • confirme pedidos urgentes por outro canal, principalmente quando envolver dinheiro;
  • acesse sites oficiais digitando o endereço diretamente no navegador;
  • desconfie de promoções com preços muito abaixo do normal;
  • não faça pagamentos por links recebidos em mensagens inesperadas;
  • verifique se a empresa ou órgão público realmente usa aquele canal de atendimento.

Também vale lembrar: empresas, bancos e órgãos oficiais não costumam solicitar senhas completas, códigos de autenticação ou dados confidenciais por mensagem. Ao receber uma solicitação suspeita, interrompa o contato e procure os canais oficiais.

LEIA TAMBÉM:

Como evitar golpes na internet com o nome da Alares: conheça nossos canais de atendimento oficiais

Como usar a tecnologia para se proteger do phishing

Além de adotar hábitos mais seguros, também é importante usar recursos de proteção digital. Eles ajudam a identificar links maliciosos, bloquear ameaças e reduzir os riscos durante a navegação.

Invista em programas antivírus e antimalware

Programas antivírus e antimalware ajudam a identificar links, arquivos e comportamentos suspeitos. Muitos deles contam com proteção em tempo real, o que contribui para bloquear ameaças antes que elas prejudiquem o dispositivo.

Uma opção é usar o antivírus McAfee, plataforma que protege aparelhos contra possíveis ataques e está disponível em alguns planos de internet da Alares Internet.

Atualize os softwares

As atualizações corrigem falhas de segurança em sistemas operacionais, navegadores, aplicativos e programas. Quando um software está desatualizado, ele pode ficar mais vulnerável a ataques.

Por isso, sempre que possível, mantenha as atualizações automáticas ativadas no celular, computador, navegador e aplicativos mais usados.

Use autenticação de dois fatores

A autenticação de dois fatores adiciona uma camada extra de proteção ao login. Com ela, mesmo que alguém descubra sua senha, ainda precisará de uma segunda confirmação para acessar a conta.

Essa verificação pode ser feita por aplicativo autenticador, código enviado por SMS, e-mail, reconhecimento facial ou impressão digital.

Gerencie suas senhas

Senhas fortes dificultam o acesso indevido às suas contas. O ideal é usar combinações com letras maiúsculas, letras minúsculas, números e caracteres especiais.

Evite senhas óbvias, como datas de nascimento, nomes de familiares, sequências numéricas ou combinações como “123456” e “qwerty”. Também é importante não repetir a mesma senha em diferentes contas.

Sempre que possível, use um gerenciador de senhas para armazenar suas credenciais com mais segurança.

O que fazer se você for vítima de phishing

Se você cair em um golpe de phishing, agir rapidamente pode ajudar a reduzir os danos. Quanto antes você proteger suas contas e comunicar o ocorrido, maiores são as chances de evitar novos prejuízos. Veja o que fazer:

  • altere imediatamente as senhas das contas afetadas;
  • ative a autenticação de dois fatores, se ainda não estiver ativa;
  • verifique movimentações em contas bancárias e cartões de crédito;
  • entre em contato com seu banco ou operadora de cartão caso identifique algo suspeito;
  • avise a empresa ou instituição que teve o nome usado no golpe;
  • faça uma varredura no dispositivo com um antivírus confiável;
  • salve prints, mensagens, números, links e comprovantes;
  • registre um boletim de ocorrência na delegacia mais próxima ou pela internet, no site da Secretaria de Segurança Pública do seu estado.

Caso tenha informado dados bancários, senhas ou códigos de segurança, entre em contato com o banco imediatamente. Se o golpe envolver perfis falsos em redes sociais ou aplicativos de mensagem, denuncie a conta na própria plataforma.

Phishing: atenção aos sinais ajuda a evitar golpes online

O phishing pode aparecer em mensagens, e-mails, ligações, links falsos e até QR Codes. Por isso, antes de clicar, pagar ou compartilhar dados, vale sempre conferir a origem da informação e buscar os canais oficiais.

Com hábitos simples de segurança digital, você protege melhor seus dados e navega com mais tranquilidade.

Gostou do conteúdo? Descubra boas práticas para uma relação mais segura com a internet na categoria Segurança digital. Veja dicas de prevenção contra vírus, uso consciente e mais.