Capa do Ebook gratuito Segurança Digital Básica: Senhas, Golpes e Proteção de Dados no Dia a Dia

Segurança Digital Básica: Senhas, Golpes e Proteção de Dados no Dia a Dia

Novo curso

14 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Reconhecimento de Phishing e Engenharia Social

Capítulo 5

Tempo estimado de leitura: 13 minutos

+ Exercício

O que é phishing e por que ele funciona

Phishing é uma tentativa de enganar você para que entregue informações, dinheiro ou acesso a contas, geralmente por meio de mensagens que parecem legítimas. O objetivo pode ser roubar dados (como e-mail, número de documento, dados bancários), instalar malware, capturar códigos de verificação, ou induzir pagamentos e transferências. O phishing pode chegar por e-mail, SMS, WhatsApp/Telegram, redes sociais, ligações telefônicas e até por anúncios em sites.

O phishing funciona porque explora três fatores comuns do dia a dia: urgência ("faça agora"), autoridade ("sou do banco", "sou do suporte"), e rotina (mensagens parecidas com as que você já recebe). Em vez de “hackear” sistemas diretamente, o atacante tenta “hackear” decisões humanas: fazer você clicar, responder, baixar ou pagar.

Engenharia social: o motor por trás do phishing

Engenharia social é o conjunto de técnicas de manipulação usadas para levar alguém a agir contra seus próprios interesses. O phishing é uma forma muito comum de engenharia social, mas engenharia social também inclui golpes por telefone, falsos atendentes, falsos entregadores, perfis falsos, e até pedidos “internos” em empresas (por exemplo, alguém se passando por gestor pedindo um pagamento).

Em geral, a engenharia social segue um padrão: o golpista cria um contexto crível, pressiona por uma ação rápida e reduz sua chance de pensar com calma. Quanto mais “emocional” a situação (medo, pressa, oportunidade imperdível), maior a chance de erro.

Principais tipos de phishing e como reconhecer

1) Phishing por e-mail

É o mais conhecido: um e-mail que parece vir de uma empresa, serviço ou pessoa confiável. Ele costuma ter um link para uma página falsa (que imita a original) ou um anexo malicioso.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Sinais comuns: assunto alarmista (“Conta será bloqueada”), pedido de “verificação”, link encurtado ou estranho, anexos inesperados, erros sutis no remetente.
  • Exemplo prático: “Detectamos acesso suspeito. Confirme seus dados em 30 minutos.” O link leva a um site parecido com o real, mas com domínio diferente.

2) Smishing (phishing por SMS)

Mensagens curtas com links e senso de urgência: entrega pendente, multa, cobrança, “pontos expirando”, “compra aprovada”. Como o SMS tem pouco espaço, o golpe depende de você clicar rápido.

  • Sinais comuns: link encurtado, remetente genérico, pedido para “regularizar agora”, mensagem fora do seu contexto (você não comprou nada, não espera entrega).

3) Phishing por WhatsApp/Telegram e redes sociais

O golpista pode usar um número desconhecido ou uma conta clonada de alguém que você conhece. Também é comum o envio de links para “votar em concurso”, “ver foto”, “comprovante”, “promoção”, “rastreamento”.

  • Sinais comuns: pedido incomum (dinheiro, código, link), mudança de tom da pessoa, pressa, história confusa, recusa em confirmar por voz.
  • Exemplo prático: “Oi, troquei de número. Preciso pagar uma conta agora, consegue fazer um Pix?”

4) Vishing (phishing por voz/telefone)

Golpes por ligação em que alguém se passa por suporte, banco, operadora, “antifraude” ou até familiar. O objetivo é obter dados, induzir instalação de aplicativo, ou orientar você a fazer uma transação.

  • Sinais comuns: a pessoa pede códigos, pede para “confirmar” informações, manda instalar app, pede para acessar o internet banking durante a ligação, ou diz que “vai transferir para o setor de segurança”.

5) Spear phishing (phishing direcionado)

É um phishing personalizado. O golpista usa informações públicas (LinkedIn, redes sociais, site da empresa) para criar uma mensagem sob medida. Por parecer “bem escrito” e contextualizado, é mais perigoso.

  • Exemplo prático: e-mail para o financeiro: “Sou do fornecedor X, segue boleto atualizado do contrato Y”, com dados reais do negócio.

6) Quishing (phishing via QR Code)

O QR Code leva a um site malicioso ou inicia uma ação. Pode aparecer em cartazes falsos, adesivos sobrepostos em locais públicos, ou mensagens com “pague aqui”.

  • Sinais comuns: QR em local improvável, adesivo por cima de outro, pedido de pagamento/atualização, ausência de contexto.

Checklist mental: sinais de alerta que se repetem

Use este checklist rápido sempre que receber uma mensagem pedindo ação:

  • Urgência e ameaça: “último aviso”, “bloqueio imediato”, “multa”, “processo”, “conta suspensa”.
  • Recompensa grande demais: “você ganhou”, “cashback alto”, “promoção imperdível”, “reembolso imediato”.
  • Pedido de segredo: “não conte para ninguém”, “é confidencial”, “não pode desligar”.
  • Pedido de dados ou códigos: qualquer solicitação de código de verificação, número de cartão, foto de documento, selfie, ou “confirmação” de dados sensíveis.
  • Link ou anexo inesperado: especialmente se você não solicitou nada.
  • Remetente estranho: domínio diferente, letras trocadas, números no lugar de letras, ou nome exibido que não bate com o endereço real.
  • Erros sutis: linguagem genérica (“Prezado cliente”), formatação estranha, termos fora do padrão da empresa.
  • Pressão para mudar o canal: “fale comigo por este número”, “clique aqui para resolver”, “instale este app”.

Como verificar links, remetentes e páginas sem cair

Verificando o remetente (e-mail)

O nome exibido pode enganar. O que importa é o endereço completo e o domínio após o @.

  • Compare o domínio com o oficial (ex.: empresa.com). Desconfie de variações (ex.: empresa-suporte.com, empresaa.com).
  • Desconfie de e-mails enviados de domínios genéricos quando deveriam ser corporativos.
  • Se for um contato conhecido, mas o pedido for incomum, confirme por outro canal.

Verificando links antes de clicar

  • No computador, passe o mouse sobre o link para ver o destino real (sem clicar).
  • No celular, pressione e segure o link para visualizar a URL.
  • Desconfie de encurtadores e de URLs longas cheias de parâmetros estranhos.
  • Procure por pequenas trocas de letras (ex.: “rn” no lugar de “m”, “0” no lugar de “o”).

Verificando a página após abrir (se você já clicou)

Às vezes você clica sem querer. O foco passa a ser não prosseguir.

  • Confira o domínio na barra de endereço com calma.
  • Desconfie se a página pedir dados que normalmente não seriam solicitados naquele contexto.
  • Se a página “parece real”, mas algo está ligeiramente fora do padrão (cores, textos, campos demais), pare.
  • Feche a aba e acesse o serviço digitando o endereço oficial manualmente ou usando um favorito salvo.

Passo a passo prático: como agir ao receber uma mensagem suspeita

Cenário A: chegou um e-mail de “segurança” pedindo para confirmar acesso

1) Não clique em links nem abra anexos imediatamente. Pare 10 segundos e leia de novo com calma. 2) Verifique o remetente: confira o domínio após o @ e procure variações estranhas. 3) Procure sinais de urgência/ameaça e pedidos de dados. 4) Em vez de usar o link do e-mail, abra o site/app oficial por um caminho que você já confia (digitando o endereço ou usando o app). 5) Se houver alerta real, ele também costuma aparecer dentro da conta (notificações, histórico). 6) Se for do trabalho, encaminhe para o canal interno de segurança/TI (se existir) e marque como suspeito. 7) Apague a mensagem após reportar.

Cenário B: mensagem no WhatsApp de “parente/amigo” pedindo dinheiro

1) Não responda confirmando dados pessoais e não faça transferência. 2) Faça uma pergunta de verificação que só a pessoa real saberia (algo que não esteja em redes sociais). 3) Ligue para o número antigo ou para a pessoa por chamada de voz/vídeo. 4) Se disserem que “não pode falar”, trate como golpe. 5) Se for confirmado golpe, avise contatos em comum e denuncie/bloqueie o número.

Cenário C: ligação de “banco/suporte” dizendo que houve fraude

1) Não confirme dados (nome completo, data de nascimento, endereço, códigos). 2) Não instale aplicativos nem permita acesso remoto ao aparelho. 3) Desligue. 4) Procure o número oficial no verso do cartão, no site oficial ou no app e ligue você mesmo. 5) Se você já passou alguma informação, registre o ocorrido e monitore movimentações imediatamente.

Cenário D: QR Code em local público para “pagar” ou “ganhar desconto”

1) Desconfie de QR em adesivo colado por cima de outro ou sem identificação clara. 2) Use o leitor do seu app para pré-visualizar o link/destino antes de confirmar. 3) Se o QR levar a um site, confira o domínio com atenção. 4) Se pedir login, dados ou pagamento fora do esperado, cancele.

Técnicas de engenharia social mais usadas (e como neutralizar)

Autoridade

O golpista se apresenta como alguém “importante”: suporte, gerente, polícia, auditoria, diretoria. A intenção é reduzir sua resistência.

  • Como neutralizar: valide identidade por canal oficial. Autoridade legítima não precisa de segredo nem de pressa para você “quebrar procedimentos”.

Urgência e escassez

“Última chance”, “expira hoje”, “em 10 minutos”. Isso impede você de checar.

  • Como neutralizar: crie a regra pessoal: mensagens urgentes exigem verificação extra, não menos.

Medo e ameaça

Bloqueio de conta, processo, multa, exposição de dados, “seu CPF foi usado”.

  • Como neutralizar: não reaja pela emoção. Verifique em fonte oficial e procure evidências dentro do serviço real.

Reciprocidade e “ajuda”

O golpista oferece “resolver para você”, “facilitar”, “evitar prejuízo”.

  • Como neutralizar: suporte legítimo orienta, mas não precisa que você entregue códigos, senhas ou faça ações fora do padrão.

Prova social

“Todo mundo já atualizou”, “seus colegas já fizeram”, “muita gente está recebendo”.

  • Como neutralizar: popularidade não é validação. Confirme com comunicado oficial ou com alguém de confiança por outro canal.

Consistência e pequenos passos

O golpe começa com algo simples (“confirme seu nome”), depois evolui para algo maior (“agora confirme o código”).

  • Como neutralizar: trate qualquer coleta de informação como parte do golpe. Se começou estranho, pare no primeiro passo.

Armadilhas comuns em anexos e arquivos

Anexos podem carregar malware ou levar a páginas falsas. Os mais usados são PDFs, arquivos compactados e documentos com macros. Mesmo quando o arquivo “abre”, ele pode induzir você a clicar em um link interno ou habilitar recursos perigosos.

  • Sinais comuns: anexo inesperado, nome genérico (“documento”, “boleto”), pedido para “habilitar edição” ou “habilitar conteúdo”.
  • Boa prática: se você não esperava o arquivo, confirme com o remetente por outro canal antes de abrir.

Como golpistas coletam informações para golpes mais convincentes

Para personalizar abordagens, golpistas usam dados públicos e vazados: redes sociais (aniversário, familiares, local de trabalho), anúncios de venda (telefone), currículos, comentários em posts, e informações de cadastros expostos. Com isso, eles criam mensagens com detalhes reais para ganhar confiança.

  • Exemplo prático: alguém sabe que você está procurando emprego e envia “teste de admissão” com link para login falso.
  • Exemplo prático: alguém vê que você viajou e manda “problema na entrega” com link para “reagendar”.

Roteiro de verificação em 30 segundos (para usar sempre)

1) O pedido faz sentido para mim agora? Eu esperava isso? 2) Estão tentando me apressar ou me assustar? 3) Estão pedindo link, anexo, dados, código ou dinheiro? 4) Consigo verificar por um canal oficial que eu mesmo vou abrir? 5) Se eu não conseguir verificar, eu não faço.

O que fazer se você clicou, respondeu ou enviou algo

Nem sempre dá para evitar o clique. O importante é reduzir o dano rapidamente.

Se você clicou em um link e abriu uma página

  • Feche a página sem preencher nada.
  • Se você digitou dados, considere que foram comprometidos e trate como incidente.
  • Verifique se houve login recente ou atividade estranha no serviço verdadeiro (acessando por caminho oficial).

Se você baixou um arquivo

  • Não execute o arquivo se ainda não abriu.
  • Se executou e algo parece estranho (lentidão, pop-ups, comportamento incomum), desconecte da internet e procure ajuda técnica.
  • Faça uma verificação com ferramenta de segurança confiável no dispositivo.

Se você enviou dinheiro ou fez um pagamento

  • Registre imediatamente as informações da transação (horário, valor, destinatário, comprovante).
  • Entre em contato com o seu banco por canal oficial o quanto antes para tentar contestação/bloqueio.
  • Faça boletim de ocorrência conforme sua necessidade e guarde evidências (prints, números, e-mails).

Se você compartilhou códigos de verificação

  • Trate como comprometimento de conta: interrompa o acesso o mais rápido possível pelo canal oficial do serviço.
  • Revise dispositivos conectados e sessões ativas (quando o serviço permitir).

Exercícios práticos: treine seu “radar”

Exercício 1: dissecar uma mensagem suspeita

Pegue uma mensagem real (sem clicar em nada) e responda:

  • Qual é a ação que ela quer que eu faça?
  • Qual emoção ela tenta provocar (medo, pressa, ganância)?
  • Qual informação ou recurso ela quer obter (dados, dinheiro, acesso)?
  • Como eu verificaria isso por um caminho oficial?

Exercício 2: crie uma frase padrão para recusar pressão

Ter uma frase pronta ajuda a interromper a manipulação:

  • “Eu vou desligar e retornar pelo número oficial.”
  • “Eu só confirmo isso pelo app/site oficial, não por link de mensagem.”
  • “Me manda por e-mail corporativo e eu valido com o setor responsável.”

Exercício 3: combine um “código de família”

Para reduzir golpes de falso parente, combine com familiares uma palavra-chave ou pergunta que valide identidade em pedidos urgentes. O ideal é algo que não esteja em redes sociais e que possa ser lembrado facilmente.

Boas práticas de comunicação para reduzir risco no dia a dia

  • Desconfie de mudanças de canal: se alguém inicia por e-mail e pede para ir para WhatsApp (ou vice-versa) para “resolver rápido”, valide antes.
  • Evite expor rotinas publicamente: postar viagem em tempo real, endereço, escola de filhos, ou detalhes de trabalho facilita golpes direcionados.
  • Confirmação por canal alternativo: se a mensagem envolve dinheiro, dados ou acesso, confirme por ligação ou conversa presencial.
  • Não negocie sob pressão: golpistas querem que você decida rápido. Sua regra deve ser “sem verificação, sem ação”.

Agora responda o exercício sobre o conteúdo:

Ao receber uma mensagem pedindo uma ação urgente, qual atitude reduz melhor o risco de cair em phishing ou engenharia social?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Golpes exploram urgência e autoridade para evitar que você pense. A forma mais segura é não usar o link/anexo e validar pelo app/site/contato oficial que você acessa por conta própria.

Próximo capitúlo

Golpes Comuns por Mensagens e Redes Sociais

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store