Capa do Ebook gratuito Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Engenharia Social e Fraudes Digitais: prevenção, detecção e resposta

Novo curso

23 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Phishing por e-mail: padrões de mensagem, anexos e links maliciosos

Capítulo 4

Tempo estimado de leitura: 15 minutos

+ Exercício

O que é phishing por e-mail e por que ele funciona

Phishing por e-mail é uma fraude em que o atacante envia mensagens que imitam comunicações legítimas (de empresas, colegas, fornecedores, serviços internos ou órgãos) para induzir a vítima a executar uma ação que favoreça o criminoso. Essa ação costuma ser: clicar em um link, abrir um anexo, informar credenciais, aprovar um pagamento, habilitar macros, instalar um “atualizador” falso ou fornecer dados sensíveis. O e-mail é um canal especialmente explorado porque é amplamente usado em rotinas de trabalho, permite anexos e links, e pode ser forjado de várias maneiras para parecer confiável.

Na prática, o phishing por e-mail pode ter objetivos diferentes: roubo de senha (captura de credenciais), sequestro de sessão (captura de cookies ou tokens), instalação de malware (trojan, ransomware, spyware), fraude financeira (mudança de conta bancária, boleto falso, “pagamento urgente”), ou coleta de informações para ataques posteriores (ex.: organograma, assinaturas, padrões de aprovação). O ponto central é que a mensagem tenta parecer plausível dentro do contexto da vítima: um aviso de “fatura”, um “documento compartilhado”, uma “atualização de política”, um “pedido do diretor”, um “comprovante”, uma “entrega pendente”.

Padrões comuns de mensagem: como reconhecer sinais no texto e no contexto

1) Inconsistências no remetente e no domínio

Um dos sinais mais úteis é a discrepância entre o nome exibido e o endereço real. O atacante pode configurar o nome como “Financeiro” ou “Suporte TI”, mas o e-mail vir de um domínio estranho ou com pequenas variações. Exemplos de variações típicas: troca de letras parecidas (l/I, o/0), inclusão de hífens, subdomínios enganosos, ou domínios com sufixos incomuns.

  • Nome exibido: “Equipe de TI” / E-mail real: ti@empresa-seguranca.com (não é o domínio oficial da organização)

  • Nome exibido: “Contas a Pagar” / E-mail real: contas@empresaa.com (letra duplicada)

    Continue em nosso aplicativo

    Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

    ou continue lendo abaixo...
    Download App

    Baixar o aplicativo

  • Nome exibido: “Diretoria” / E-mail real: diretoria@empresa.com.exemplo.net (domínio verdadeiro é exemplo.net)

Além do endereço, observe o campo “Responder para” (Reply-To). Alguns golpes usam um remetente aparentemente legítimo, mas direcionam as respostas para outro endereço, onde o criminoso conduz a fraude.

2) Urgência operacional e pressão por ação rápida

Mensagens de phishing frequentemente tentam reduzir a chance de verificação. Elas pedem ação imediata: “sua conta será bloqueada hoje”, “pagamento vence em 2 horas”, “último aviso”, “auditoria em andamento”, “entrega será devolvida”. Em ambientes corporativos, isso aparece como “preciso que você aprove agora”, “não posso falar, estou em reunião”, “faça a transferência e me envie o comprovante”.

Um indicador prático é quando a urgência não combina com o processo normal. Se aprovações financeiras sempre exigem solicitação formal, número de pedido e validação em sistema, um e-mail pedindo “só desta vez” é um desvio importante.

3) Linguagem genérica, saudações vagas e falta de contexto verificável

Phishing em massa tende a usar saudações genéricas (“Prezado cliente”, “Olá usuário”) e pouco contexto. Já golpes mais direcionados podem citar seu nome e cargo, mas ainda assim falham em detalhes verificáveis: não mencionam o número correto do contrato, o nome do gestor real, o identificador do chamado, ou usam termos fora do padrão da empresa.

  • Exemplo suspeito: “Detectamos atividade incomum. Confirme seus dados para evitar suspensão.” (sem informar qual conta, qual evento, ou como verificar por canal oficial)

  • Exemplo mais plausível, mas ainda suspeito: “Segue a nota fiscal do pedido 45821.” (porém o pedido não existe no ERP, ou o fornecedor não é aquele)

4) Erros sutis de escrita, formatação e identidade visual

Erros de ortografia, frases truncadas e formatação inconsistente são sinais comuns, mas não são garantia: atacantes podem escrever bem e copiar templates reais. Ainda assim, vale observar: logos com baixa qualidade, cores diferentes do padrão, assinaturas incompletas, telefones inexistentes, ou links que não correspondem ao texto exibido.

5) Pedidos fora do fluxo: credenciais, MFA, dados sensíveis e pagamentos

Um padrão recorrente é solicitar informações que processos legítimos não pedem por e-mail. Exemplos: “envie sua senha”, “envie o código do autenticador”, “confirme sua senha para liberar acesso”, “mande foto do documento”, “envie lista de funcionários”, “envie backup”. Em fraudes financeiras, o pedido pode ser “atualize os dados bancários do fornecedor” ou “pague este boleto anexo”.

Regra prática: qualquer solicitação de credencial, código de verificação, ou alteração de dados de pagamento deve ser tratada como suspeita até validação por canal independente.

Links maliciosos: como eles enganam e como verificar com segurança

Como os links são usados no phishing

Links são o caminho mais comum para roubo de credenciais. O e-mail leva a uma página que imita um portal de login (e-mail corporativo, intranet, armazenamento de arquivos, banco, assinatura eletrônica). Ao inserir usuário e senha, a vítima entrega os dados ao atacante. Em alguns casos, a página também solicita o código de autenticação (MFA) em tempo real, permitindo que o criminoso use as credenciais imediatamente.

Outra variação é o link que baixa um arquivo (por exemplo, um “comprovante” ou “documento”) que na verdade é um instalador malicioso, um script ou um arquivo compactado com executável.

Sinais técnicos e visuais em URLs

  • Domínio diferente do esperado: o texto pode dizer “Acessar portal”, mas o endereço real aponta para outro domínio.

  • Subdomínios enganosos: algo como login.empresa.com.exemplo.net, onde o domínio real é exemplo.net.

  • Uso de encurtadores: links encurtados escondem o destino. Nem sempre são maliciosos, mas aumentam o risco.

  • Parâmetros longos e confusos: podem ser usados para rastrear, redirecionar ou ofuscar o destino.

  • HTTP em vez de HTTPS: hoje é menos comum, mas ainda aparece em golpes. Atenção: HTTPS não garante legitimidade, apenas criptografia.

Passo a passo prático: verificação segura de links antes de clicar

  1. Não clique imediatamente. Pause e avalie se a solicitação faz sentido para você e para o processo normal.

  2. Passe o mouse sobre o link (ou pressione e segure no celular, sem abrir) para visualizar o endereço completo. Compare com o domínio oficial que você já conhece.

  3. Procure o domínio “registrável” (a parte final relevante, como exemplo.com). Subdomínios podem enganar; foque no domínio principal.

  4. Se for um serviço interno, não use o link do e-mail. Abra o navegador e digite o endereço oficial manualmente ou use um favorito confiável.

  5. Se for um fornecedor/cliente, confirme por canal independente: telefone já cadastrado, portal oficial, ou contato conhecido (não o número do e-mail suspeito).

  6. Em caso de dúvida, encaminhe para o time responsável (TI/Segurança) com o cabeçalho completo do e-mail, se possível, para análise.

Observação importante: “testar” clicando e vendo se abre uma página “normal” é arriscado. Páginas de phishing podem ser muito bem feitas e podem coletar informações mesmo sem você digitar senha (por exemplo, fingerprinting do navegador).

Anexos maliciosos: formatos, técnicas e cuidados

Por que anexos são perigosos

Anexos permitem que o atacante entregue conteúdo executável ou scripts que exploram falhas, induzem a habilitar recursos perigosos (como macros) ou instalam malware. Muitos golpes se disfarçam de documentos rotineiros: nota fiscal, boleto, currículo, proposta comercial, comprovante, relatório, planilha de pagamento, “documento assinado”.

Formatos de anexos frequentemente abusados

  • Arquivos do Office (doc, docm, xls, xlsm): podem conter macros ou instruções para habilitar edição/conteúdo.

  • PDF: pode conter links para páginas de phishing ou explorar vulnerabilidades em leitores desatualizados.

  • Arquivos compactados (zip, rar, 7z): usados para burlar filtros e esconder executáveis.

  • Imagens e “documentos” incomuns (iso, img): podem montar conteúdo e executar instaladores.

  • Atalhos e scripts (lnk, js, vbs, ps1): frequentemente usados para executar comandos e baixar malware.

  • Executáveis disfarçados (exe, scr): às vezes com nomes como “comprovante.pdf.exe” quando extensões estão ocultas.

Técnicas de engenharia no anexo: “habilite conteúdo”, “documento protegido”, “falha de visualização”

Um padrão comum é o anexo abrir e exibir uma mensagem instruindo a vítima a habilitar macros, habilitar edição ou permitir conteúdo ativo para “ver o documento”. Em ambientes modernos, muitas organizações bloqueiam macros por padrão; o atacante então tenta convencer a vítima a contornar a proteção.

Outro padrão é o “PDF” que, ao abrir, mostra apenas uma imagem com um botão “Baixar” ou “Visualizar”, que na verdade é um link para um site malicioso.

Passo a passo prático: como lidar com anexos com segurança

  1. Verifique o contexto: você esperava esse arquivo? Ele corresponde a uma conversa existente, pedido, contrato, ou chamado real?

  2. Confirme o remetente por canal independente se o anexo envolve dinheiro, credenciais, dados pessoais ou mudanças de cadastro.

  3. Observe o tipo real do arquivo: em vez de confiar no ícone, verifique a extensão. Desconfie de extensões duplas (ex.: .pdf.exe) e de formatos incomuns para o tipo de conteúdo prometido.

  4. Não habilite macros nem “conteúdo ativo” para visualizar documentos recebidos por e-mail, a menos que haja um processo formal e validação do arquivo.

  5. Use visualização protegida/sandbox quando disponível: abrir em modo protegido, em leitor online corporativo, ou em ambiente isolado reduz risco.

  6. Se precisar compartilhar internamente, encaminhe o anexo para análise antes de abrir, especialmente se vier de fora da organização.

  7. Se você abriu por engano, desconecte-se da rede se notar comportamento estranho (pop-ups, lentidão, processos desconhecidos) e acione o procedimento interno de resposta.

Padrões de phishing direcionado em ambientes corporativos

Falsas solicitações de pagamento e alteração de dados bancários

Um golpe recorrente em empresas é o e-mail se passando por fornecedor ou por alguém interno solicitando pagamento urgente ou alteração de conta bancária. O criminoso pode anexar um boleto, uma nota fiscal, ou enviar novos dados de transferência. O perigo aumenta quando o e-mail chega em período de fechamento, feriados, ou horários de pico.

Sinais típicos: mudança repentina de dados bancários, insistência em urgência, pedido para “não seguir o fluxo normal”, anexos com “segunda via”, e-mails com tom de cobrança, e pequenas variações no domínio do fornecedor.

Falsos compartilhamentos de documentos e “assinaturas pendentes”

Outro padrão é simular um documento compartilhado ou uma assinatura eletrônica pendente. O e-mail contém um botão chamativo (“Revisar documento”, “Assinar agora”), levando a uma página de login falsa. Muitas vezes o texto afirma que o documento expira em poucas horas.

Boa prática: em vez de clicar, acesse o portal oficial do serviço pelo endereço conhecido e verifique se há realmente um documento pendente na sua conta.

Falsos alertas de segurança e “reset de senha”

Mensagens que alegam “login suspeito”, “caixa postal cheia”, “senha expirada”, “bloqueio iminente” são usadas para capturar credenciais. Em empresas, o e-mail pode imitar o suporte interno, com assinatura e linguagem parecidas.

Boa prática: abra um chamado pelo canal oficial ou acesse o portal interno digitando o endereço manualmente. Evite usar links do e-mail para redefinir senha, a menos que você tenha solicitado a redefinição imediatamente antes e reconheça o fluxo.

Como analisar um e-mail suspeito de forma estruturada

Checklist rápido de triagem

  • Eu esperava esta mensagem? Se não, aumente o nível de cautela.

  • O remetente é coerente? Nome, domínio, Reply-To e assinatura batem com o padrão real?

  • Há pedido de ação sensível? Credenciais, códigos, pagamento, dados pessoais, instalação, habilitar macros.

  • O link aponta para onde diz? Domínio oficial, sem redirecionamentos estranhos.

  • O anexo faz sentido? Formato esperado, sem extensões duplas, sem necessidade de habilitar conteúdo.

  • O texto tenta apressar ou intimidar? Urgência fora do normal, ameaça de bloqueio, cobrança agressiva.

Passo a passo prático: validação por canal independente

“Canal independente” significa confirmar a solicitação sem usar as informações fornecidas no e-mail suspeito. Isso evita que você ligue para o telefone do criminoso ou responda para o endereço controlado por ele.

  1. Se for assunto interno: contate a pessoa pelo chat corporativo, ramal já conhecido, ou presencialmente. Não responda ao e-mail suspeito.

  2. Se for fornecedor: use o telefone cadastrado no contrato/ERP, ou o portal oficial do fornecedor. Confirme dados bancários e valores.

  3. Se for serviço online: acesse o site digitando o endereço manualmente e verifique notificações dentro da conta.

  4. Registre evidências: guarde o e-mail, anote horário, assunto, remetente e qualquer link/anexo. Isso ajuda a equipe de segurança a bloquear campanhas semelhantes.

Exemplos práticos comentados (sem abrir links/anexos)

Exemplo 1: “Sua caixa de e-mail excedeu o limite”

Texto típico: “Sua caixa atingiu 98% do limite. Clique para aumentar o armazenamento e evitar bloqueio.”

  • O que observar: urgência e ameaça de bloqueio; link para domínio não corporativo; saudação genérica; assinatura imprecisa.

  • Como agir: verificar o status da caixa diretamente no cliente de e-mail ou portal oficial; se houver dúvida, abrir chamado no suporte.

Exemplo 2: “Nota fiscal em anexo / boleto atualizado”

Texto típico: “Segue NF e boleto com vencimento hoje. Favor pagar e enviar comprovante.”

  • O que observar: pressão por pagamento; anexo compactado; remetente com domínio parecido; ausência de número de pedido real.

  • Como agir: conferir no sistema interno se há pedido/recebimento; validar dados bancários com cadastro oficial; não abrir anexo antes de confirmação.

Exemplo 3: “Documento compartilhado: revisão necessária”

Texto típico: “Você recebeu um documento. Clique em ‘Abrir’ para revisar.”

  • O que observar: botão grande; link encurtado; página de login pedindo credenciais corporativas fora do domínio esperado.

  • Como agir: acessar o serviço pelo endereço oficial e procurar o documento dentro da conta; se não existir, reportar.

Boas práticas operacionais para reduzir risco no dia a dia

Higiene de navegação e autenticação

  • Evite reutilizar senhas e use um gerenciador de senhas quando permitido pela política da organização.

  • Ative autenticação multifator (MFA) sempre que disponível, mas trate códigos de MFA como segredo: não informe por e-mail, telefone ou chat sem validação.

  • Desconfie de páginas de login abertas a partir de e-mails; prefira acessar por favoritos confiáveis ou digitando o endereço.

Rotinas de verificação para pagamentos e mudanças cadastrais

  • Para alteração de dados bancários, exija confirmação por canal independente e registro formal (ex.: solicitação em sistema, documento assinado, validação dupla).

  • Para pagamentos urgentes, aplique dupla checagem: outra pessoa revisa dados do beneficiário, valor e justificativa.

  • Não use dados de contato fornecidos no e-mail para confirmar a solicitação; use contatos previamente cadastrados.

Configurações e hábitos que ajudam

  • Mantenha softwares atualizados (navegador, leitor de PDF, pacote de escritório). Muitas infecções por anexo exploram falhas antigas.

  • Desative a exibição automática de imagens remotas no e-mail quando possível; isso reduz rastreamento e alguns vetores de engenharia.

  • Evite baixar anexos em dispositivos pessoais para “resolver rápido”. Isso amplia superfície de ataque e dificulta resposta.

Como reportar e preservar evidências sem aumentar o dano

O que fazer ao suspeitar de phishing

  1. Não interaja: não clique, não responda, não encaminhe para colegas (a menos que seja para o canal oficial de reporte).

  2. Use o canal de reporte definido pela organização (botão de “report phishing”, caixa de e-mail de segurança, chamado).

  3. Inclua informações úteis: assunto, remetente, horário, e se possível o e-mail original como anexo (.eml/.msg) para preservar cabeçalhos.

  4. Se você clicou: feche a página, não digite credenciais, e reporte informando que houve clique. Se digitou senha, altere imediatamente por canal oficial e informe a equipe responsável.

O que fazer se abriu um anexo suspeito

  1. Desconecte da rede se notar comportamento anormal (downloads inesperados, janelas, lentidão intensa).

  2. Não tente “limpar sozinho” apagando arquivos aleatoriamente; isso pode destruir evidências e atrapalhar a contenção.

  3. Acione o suporte e informe exatamente o que foi aberto, em que horário e quais ações foram feitas (habilitou macros? clicou em “permitir”?).

Mini laboratório mental: treine a leitura crítica em 60 segundos

Uma forma prática de criar hábito é aplicar um roteiro curto sempre que um e-mail pedir ação:

1) O que estão pedindo para eu fazer? (clicar, abrir, pagar, informar dados) 2) Isso é esperado agora? (processo, conversa, pedido real) 3) Quem está pedindo? (domínio, Reply-To, assinatura, histórico) 4) Se eu fizer isso, qual o pior impacto? (senha, dinheiro, malware, dados) 5) Como confirmo sem usar o e-mail? (canal independente)

Esse treino reduz decisões impulsivas e ajuda a separar mensagens rotineiras de solicitações que merecem validação adicional.

Agora responda o exercício sobre o conteúdo:

Ao receber um e-mail com um botão para acessar um portal e um texto com urgência, qual é a ação mais segura para validar a solicitação antes de clicar?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A prática recomendada é evitar o link do e-mail e validar pelo endereço oficial digitado manualmente ou por favorito confiável. Se ainda houver dúvida, confirme por canal independente para não usar contatos controlados pelo atacante.

Próximo capitúlo

Vishing: golpes por voz, URA falsa e exploração de urgência

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store