Phishing é uma técnica de fraude em que o golpista tenta fazer você “morder a isca” e entregar dados sensíveis (senha, código de verificação, número de cartão, dados pessoais) ou instalar algo malicioso, geralmente por meio de mensagens que parecem legítimas. O objetivo quase sempre é levar você a agir rápido: clicar em um link, abrir um anexo, escanear um QR Code, responder a uma mensagem ou preencher um formulário.
Links maliciosos são endereços (URLs) criados para enganar, redirecionar ou explorar falhas. Eles podem levar a páginas clonadas (cópias visuais de sites reais), a páginas que instalam malware, ou a formulários que capturam dados. Páginas clonadas são especialmente perigosas porque “parecem” corretas: logo, cores, layout e até textos iguais aos do site verdadeiro. A diferença está no endereço do site e no que acontece quando você digita seus dados.
Como o phishing aparece no dia a dia (sem depender de “cara de golpe”)
Phishing não depende de erros grosseiros. Muitas campanhas são bem escritas, com identidade visual parecida e timing perfeito (por exemplo, logo após um vazamento noticiado, em datas de pagamento, ou quando você está esperando uma entrega). Os canais mais comuns são:
E-mail: mensagens com “alerta de segurança”, “fatura disponível”, “compra aprovada”, “confirme seus dados”, “sua conta será bloqueada”.
SMS e mensagens em apps: links encurtados, “atualize seu cadastro”, “clique para rastrear”, “pague agora com desconto”.
Continue em nosso aplicativo
Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.
ou continue lendo abaixo...
Baixar o aplicativo
Anúncios e resultados patrocinados: páginas falsas compram anúncios para aparecer no topo de buscas com nome parecido ao real.
Redes sociais: perfis clonados e links em “suporte”, “promoção”, “sorteio”, “reembolso”.
Ligação com instruções: a pessoa liga e manda você “abrir o link” ou “entrar no site” que ela dita, para “resolver agora”.
Um ponto importante: phishing não é só “roubo de senha”. Pode ser também coleta de dados para engenharia social (CPF, data de nascimento, endereço), que depois são usados para abrir contas, tentar redefinir senhas ou convencer atendimentos.
Links maliciosos e páginas clonadas: como funcionam por trás
1) Domínios parecidos (typosquatting e lookalike)
O golpista registra um domínio muito parecido com o verdadeiro, explorando:
Erros de digitação: exemplo genérico: meubanco vira meubnaco.
Troca de letras por caracteres semelhantes: “l” (L minúsculo) e “I” (i maiúsculo), “0” e “O”.
Subdomínios enganosos: algo como seguranca.site-falso.com para parecer “segurança” de uma marca.
Domínios com palavras extras: “login”, “verificar”, “suporte”, “atualizar”, “premio”.
2) Redirecionamentos
O link pode parecer “normal”, mas ao clicar você passa por uma cadeia de redirecionamentos. Isso serve para:
Esconder o destino final.
Adaptar o golpe ao seu dispositivo (celular/PC).
Evitar bloqueios automáticos.
3) HTTPS não é garantia
Muita gente aprendeu que “cadeado no navegador” significa segurança. Hoje, isso é insuficiente. Um site falso pode ter HTTPS (cadeado) porque certificados são fáceis de obter. O cadeado indica que a conexão é criptografada, não que o site é legítimo.
4) Clonagem visual + captura de credenciais
A página clonada replica o visual e coloca um formulário. Ao digitar dados, você pode ser:
Redirecionado para o site verdadeiro (para reduzir suspeita), enquanto seus dados já foram capturados.
Induzido a fornecer múltiplos fatores: senha + código SMS + token, em tempo real.
Convencido a instalar um “aplicativo de segurança” que é, na prática, um malware.
Sinais de alerta (sem depender de “português ruim”)
Use sinais combinados. Um sinal isolado pode não significar golpe, mas vários juntos elevam muito o risco:
Pressa e ameaça: “última chance”, “bloqueio em 30 minutos”, “multa hoje”.
Pedido de segredo: “não compartilhe com ninguém”, “não desligue”, “não fale com o gerente”.
Link fora de contexto: você não iniciou a solicitação e mesmo assim pedem login.
Canal inesperado: uma “empresa” que normalmente fala por app agora manda SMS com link.
Dados genéricos: “Prezado cliente” em vez do seu nome (nem sempre, mas é comum).
Endereço estranho: domínio longo, com hífens, números, ou extensão incomum para aquela marca.
Solicitação de códigos: pedem código de verificação, token, ou “código que chegou por SMS” para “cancelar compra”.
Verificação segura em minutos: método prático (checklist de 3 camadas)
A seguir está um passo a passo para verificar links e páginas rapidamente, com foco em reduzir risco antes de clicar e, se já clicou, antes de digitar qualquer dado.
Camada 1 (30–60 segundos): checagem sem clicar
1) Pare e identifique o gatilho: a mensagem está tentando te apressar? Está tentando te assustar? Se sim, trate como suspeita até prova em contrário.
2) Verifique o remetente pelo que é verificável: em e-mails, veja o endereço completo (não só o “nome” exibido). Em mensagens, desconfie de números comuns se a empresa normalmente usa canal oficial dentro do app.
3) Passe o mouse (no computador) ou pressione o link (no celular) para pré-visualizar: muitos apps mostram o destino. Compare o domínio com o que você conhece. Foque no final do domínio (por exemplo, “.com.br”, “.com”), e não no começo.
4) Desconfie de encurtadores: links do tipo “encurta.algo/xyz” escondem o destino. Se for importante, prefira acessar pelo caminho oficial (digitando o endereço ou usando o app).
5) Não use o link da mensagem para “resolver”: a regra prática é: mensagem serve para alertar; ação você faz pelo canal que você mesmo abre (app oficial, site digitado, contato salvo).
Camada 2 (1–3 minutos): validação do endereço e do site (se você abriu)
Se você já abriu o link, ainda dá para evitar o dano: não digite nada antes de validar.
1) Confira o domínio com atenção: procure letras trocadas, hífens suspeitos, palavras extras e extensões estranhas. Exemplo de raciocínio: “o site que eu uso sempre termina com X; aqui está terminando com Y”.
2) Procure por sinais de clonagem apressada: botões que não funcionam, páginas internas quebradas, rodapé incompleto, links que não levam a lugar nenhum. Sites falsos muitas vezes só clonam a tela de login.
3) Abra uma nova aba e acesse pelo caminho confiável: em vez de continuar no link, abra outra aba e digite você mesmo o endereço que já conhece, ou use o aplicativo oficial. Compare: a página e o domínio são idênticos?
4) Evite logar por “atalhos”: se a mensagem te levou direto para uma tela de login, isso é um padrão de phishing. Prefira entrar pelo app/site e navegar até a área desejada.
5) Cuidado com permissões e downloads: qualquer pedido para instalar extensão, aplicativo “leitor”, “atualização” ou permitir notificações para “continuar” é um alerta forte. Em geral, sites legítimos não exigem isso para você consultar algo básico.
Camada 3 (2–5 minutos): checagem técnica leve (quando a dúvida persiste)
Quando a mensagem parece muito real, use verificações adicionais rápidas:
1) Pesquise o domínio: copie o domínio (apenas o domínio, sem caminhos) e pesquise. Veja se há alertas de fraude, reclamações recentes ou se o domínio parece recém-criado (muitos golpes usam domínios novos).
2) Use um verificador de reputação de URL: serviços de reputação podem indicar se o link já foi reportado. Se o verificador acusar risco, não prossiga.
3) Confira o certificado (apenas como complemento): ver detalhes do certificado pode mostrar o nome do domínio e a validade, mas lembre-se: HTTPS não prova legitimidade. Use isso só para confirmar inconsistências óbvias (domínio diferente do esperado).
4) Valide por canal independente: se a mensagem diz “há um problema na sua conta”, entre no app oficial e procure avisos internos. Se for uma cobrança/pendência, ela costuma aparecer no canal oficial sem você clicar em link externo.
Passo a passo prático: como checar um link em 90 segundos (roteiro de bolso)
Use este roteiro sempre que receber um link relacionado a conta, cadastro, segurança, pagamento, entrega ou “atualização”:
Passo 1 — Não clique imediatamente: leia a mensagem inteira e procure o que ela quer que você faça.
Passo 2 — Identifique a ação pedida: é login? é “confirmar dados”? é “regularizar”? Quanto mais sensível, maior o cuidado.
Passo 3 — Veja o destino do link: pré-visualize e foque no domínio real.
Passo 4 — Compare com o caminho que você já usa: se você não sabe de cabeça, não use o link. Abra o app oficial ou digite o endereço que você tem salvo.
Passo 5 — Se abriu, não digite nada: valide domínio, sinais de clonagem e consistência.
Passo 6 — Se ainda houver dúvida, encerre: feche a aba, apague a mensagem e faça a verificação pelo canal oficial.
Exemplos práticos (com decisões seguras)
Exemplo 1: “Alerta de acesso suspeito — confirme agora”
Você recebe um e-mail dizendo que houve acesso suspeito e há um botão “Confirmar identidade”. Decisão segura:
Não clicar no botão.
Abrir o aplicativo/serviço pelo caminho que você já usa.
Procurar por alertas internos e revisar dispositivos logados e histórico de acessos.
Se for necessário trocar senha, fazer isso dentro do canal oficial, não pelo link do e-mail.
Exemplo 2: “Seu cadastro está incompleto — evite bloqueio”
A mensagem pede CPF, data de nascimento e uma selfie “para validar”. Decisão segura:
Tratar como altamente suspeito, porque envolve coleta de dados pessoais.
Validar se existe mesmo pendência entrando no app oficial.
Se houver processo de atualização cadastral, ele estará disponível dentro do ambiente logado, sem depender de link externo.
Exemplo 3: “Rastreamento de entrega — clique para ver status”
Você está esperando uma entrega e recebe SMS com link encurtado. Decisão segura:
Não abrir o encurtador.
Consultar o status pelo app/portal oficial da loja ou da transportadora, usando o código de rastreio que você já tem.
Se você não tem pedido ativo, considerar golpe e apagar.
Páginas clonadas: como reconhecer na prática (o que olhar primeiro)
Quando você cai em uma página clonada, o tempo de reação importa. Antes de digitar qualquer coisa, olhe nesta ordem:
1) Endereço completo (domínio): é o fator mais importante. Se o domínio não for exatamente o esperado, pare.
2) Tela “boa demais” e curta demais: páginas falsas costumam ser simples e focadas em capturar login. Se só existe “entrar” e nada mais funciona, suspeite.
3) Campos incomuns: pedem informações que o serviço normalmente não pede naquele momento (por exemplo, pedir código de verificação sem você ter iniciado login).
4) Erros de navegação: ao clicar em “Política”, “Ajuda”, “Contato”, nada abre ou abre páginas genéricas.
5) Pop-ups e permissões: pedido para permitir notificações, baixar arquivo, instalar extensão, habilitar “proteção”.
Armadilhas comuns: QR Code, anexos e “documentos”
QR Code (quishing)
Golpes com QR Code funcionam porque você não vê o link antes de abrir. Medidas rápidas:
Use o leitor que mostra a prévia do link antes de abrir.
Se o QR veio em mensagem inesperada, trate como suspeito.
Após abrir, aplique a mesma validação de domínio e não digite dados.
Anexos (PDF, HTML, Office)
Anexos podem conter links maliciosos ou scripts. Boas práticas:
Evite abrir anexos de remetentes desconhecidos, mesmo que o assunto pareça “cobrança” ou “comprovante”.
Desconfie de anexos que pedem para “habilitar edição”, “habilitar conteúdo” ou “baixar um visualizador”.
Se precisar validar algo, peça reenvio por canal oficial ou consulte diretamente no sistema/app do serviço.
O que fazer se você clicou (mas ainda não digitou nada)
1) Feche a aba imediatamente e não interaja com pop-ups.
2) Não volte pelo histórico: apague a aba e evite reabrir.
3) Se o navegador baixou algo: não execute. Exclua o arquivo e esvazie a lixeira.
4) Rode uma verificação de segurança: use a ferramenta de segurança do sistema/dispositivo para checar ameaças.
5) Reavalie a mensagem: procure o canal oficial e valide se havia mesmo alguma pendência.
O que fazer se você digitou dados em uma página suspeita
Se você inseriu senha, código de verificação ou dados pessoais em um site que pode ser falso, aja como se os dados tivessem sido comprometidos:
1) Troque a senha imediatamente pelo canal oficial (app/site digitado por você). Se você reutiliza essa senha em outros lugares, troque também nesses serviços.
2) Revogue sessões/dispositivos: procure a opção de “sair de todos os dispositivos” ou “dispositivos conectados” e encerre sessões desconhecidas.
3) Ative ou reconfigure autenticação em dois fatores: prefira métodos mais fortes quando disponíveis (por exemplo, aplicativo autenticador ou chave de segurança). Evite depender apenas de SMS se houver alternativa.
4) Verifique atividades recentes: histórico de acessos, alterações de cadastro, chaves de recuperação, e-mail/telefone de recuperação.
5) Monitore tentativas de redefinição: muitos golpistas tentam “escalar” o acesso pedindo recuperação de senha em outros serviços.
Rotina rápida para reduzir exposição a phishing (sem repetir fundamentos)
Sem depender de grandes mudanças, algumas rotinas diminuem muito a chance de cair em links maliciosos:
Use favoritos/salvos: mantenha nos favoritos do navegador os endereços oficiais que você usa com frequência. Isso reduz a chance de digitar errado ou cair em anúncio falso.
Evite buscar “login” em mecanismos de busca: quando você pesquisa “nome do serviço login”, pode cair em anúncio patrocinado de página clonada. Prefira abrir pelo favorito ou digitar o domínio conhecido.
Separe e-mail para cadastros: ter um e-mail dedicado para contas importantes ajuda a perceber mensagens fora do padrão e reduz spam no endereço principal.
Atualize navegador e sistema: muitas explorações dependem de falhas antigas. Atualização reduz risco ao clicar em links maliciosos.
Desconfie de “suporte” que vem até você: quando o contato não foi iniciado por você, trate como potencial engenharia social e valide por canal independente.
Checklist final de verificação (para colar no bloco de notas)
ANTES DE CLICAR: 1) Eu esperava essa mensagem? 2) Estão me apressando/ameaçando? 3) Qual é o domínio real do link? 4) Posso resolver pelo app/site que eu mesmo abro? 5) O link é encurtado ou estranho? SE ABRIU: 6) Domínio é exatamente o oficial? 7) A página tem navegação real ou só login? 8) Estão pedindo códigos/senhas fora de hora? 9) Pediram download/permissão? SE DIGITOU DADOS: 10) Trocar senha + encerrar sessões + revisar atividades.
