O phishing é um ataque cibernético baseado em engenharia social, que utiliza comunicações falsas para imitar instituições confiáveis e roubar dados sensíveis. O objetivo é manipular a vítima para fornecer voluntariamente senhas, números de cartões e informações pessoais.

Essa tática geralmente recorre a um tom de urgência em e-mails, mensagens ou ligações telefônicas, pressionando o usuário a agir rapidamente sem verificar a procedência. Entre as variantes mais comuns, destacam-se o spear phishing, focado em alvos específicos, e o smishing, realizado via SMS em dispositivos móveis.

Para se proteger, o cuidado fundamental é nunca clicar em links suspeitos e sempre validar a identidade do remetente nos canais oficiais. Desconfie de alertas de bloqueio de conta ou promessas de prêmios que solicitem dados sensíveis, tratando qualquer contato inesperado com ceticismo.

A seguir, entenda detalhadamente o que é phishing, como o golpe funciona e suas variações. Também saiba como se proteger e o que fazer se for vítima desse ataque cibernético.

O que é phising?

O phishing é um golpe cibernético que utiliza mensagens falsas, como e-mails e SMS, ou sites clonados para imitar instituições confiáveis e enganar o usuário. Essa tática de engenharia social manipula a vítima para roubar dados sensíveis, como senhas e cartões, ou infectar o dispositivo com malware.

O que significa phishing?

Criado nos anos 1990, o termo phishing é um trocadilho com a palavra fishing (pescar), pois os cibercriminosos lançam “iscas” digitais esperando que as vítimas sejam “fisgadas” pelo golpe. A grafia com “ph” homenageia o phreaking, cultura pioneira de invasão de sistemas de telefonia.

A tática se popularizou na mesma década em ataques contra usuários da AOL, utilizando scripts e ferramentas automatizadas para roubar credenciais de acesso. Era o início da engenharia social em massa, focada em manipular o comportamento humano para obter dados.

Como funciona o phishing?

O ataque de phishing funciona por meio de mensagens falsas enviadas por e-mail, SMS ou redes sociais que imitam canais oficiais confiáveis. Utilizando fortes gatilhos de urgência, como supostas contas bloqueadas, os criminosos pressionam a vítima a agir rápido e sem pensar.

Essa tática é um exemplo de engenharia social, técnica que explora o comportamento humano em vez de falhas em softwares. O golpe tem sucesso justamente porque manipula a psicologia do usuário em situações cotidianas.

Na prática, a vítima é induzida a clicar em links maliciosos que levam a páginas clonadas ou a baixar anexos perigosos. Essas armadilhas permitem capturar dados diretamente ou instalar malwares no computador ou no celular.

Assim que a pessoa digita senhas ou dados de cartões nos formulários falsos, o criminoso rouba tudo em tempo real. Com essas credenciais, os golpistas invadem contas bancárias para roubar dinheiro ou entram em perfis de redes sociais para fazer novas vítimas.

Quais são os principais tipos de phishing?

As categorias de phishing variam conforme o meio utilizado para atingir as vítimas, como e-mail, SMS, ligações telefônicas e QR code. Também há ataques que focam especificamente no perfil do usuário que deve ser “fisgado” pelo cibercriminoso.

Phishing de e-mail (e-mail phishing)

O phishing de e-mail utiliza mensagens falsas em nome de fontes confiáveis para induzir o usuário a entregar dados ou baixar anexos perigosos. Com alertas urgentes de contas bloqueadas ou falsas faturas, os golpistas manipulam a vítima para que ela acesse páginas clonadas e digite senhas e credenciais.

Vishing

O vishing é a versão por voz do phishing, na qual criminosos utilizam chamadas telefônicas para simular falsas urgências em nome de bancos ou autoridades. Aqui, o objetivo é manipular a vítima para que ela informe senhas, PINs ou códigos de verificação voluntariamente.

Whaling

O whaling é um ataque direcionado a grandes figuras corporativas, como CEOs e diretores financeiros, para desviar dinheiro ou roubar dados estratégicos. Os criminosos utilizam engenharia social sob medida, criando mensagens personalizadas que imitam parceiros de negócios ou autoridades para exigir transferências urgentes.

Spear phishing

O spear phishing é um ataque direcionado a uma pessoa ou grupo específico, utilizando dados customizados para fazer com que a mensagem pareça legítima. Por exemplo, os golpistas podem se passar por chefes ou colegas de trabalho para roubar credenciais de acesso e obter informações confidenciais de uma empresa.

Smishing

O smishing é o phishing via SMS, no qual criminosos enviam mensagens de texto falsas simulando alertas urgentes de bancos ou entregas pendentes. A tática força o usuário a clicar em links maliciosos que levam a sites clonados ou instalar malwares para roubar dados e credenciais de acesso.

Quishing

O quishing usa QR codes falsos para direcionar as vítimas a páginas clonadas ou downloads perigosos. Espalhados tanto por e-mails quanto em cartazes ou adesivos falsos em locais públicos, esses códigos burlam filtros de segurança tradicionais para roubar senhas, dados financeiros ou instalar malwares.

Quais são exemplos de phishing?

Os principais exemplos de e-mail phishing envolvem alertas falsos de bancos, avisos de faturas atrasadas ou notificações de segurança sobre contas suspensas. Os criminosos imitam a identidade visual de instituições reais e inserem links para páginas clonadas ou anexos infectados com malwares.

Outras iscas frequentes exploram a curiosidade e o medo, como falsos comunicados de reembolso pendentes, prêmios inesperados ou alertas de suportes técnicos. Para enganar o usuário, os golpistas usam domínios mascarados ou muito parecidos com o original, induzindo o clique rápido em arquivos maliciosos.

Toda a dinâmica visual e textual usa gatilhos de urgência para pressionar a vítima a fornecer senhas e códigos de autenticação sem pensar. A recomendação de segurança é desconfiar de prazos fatais e checar qualquer informação diretamente nos canais oficiais das empresas.

Como se proteger contra phishing?

Existem algumas práticas que ajudam a criar barreiras de defesa para blindar os dados contra phishing. As principais são:

• Analise os links antes de abrir: para identificar phishing, posicione o cursor sobre o link ou copie o endereço URL e cole em um bloco de notas, procurando por erros de ortografia, extensões suspeitas ou domínios estranhos que denunciam páginas clonadas;





• Fique atento ao tom das mensagens: erros gramaticais gritantes, promessas de prêmios exageradas ou ameaças imediatas de bloqueio de contas são os principais sinais de phishing em e-mails e mensagens de texto;





• Ative a autenticação de dois fatores (2FA): configure a autenticação de dois fatores (2FA) em todas as contas. Essa camada extra de proteção que impede o acesso de invasores mesmo que eles consigam roubar a senha;





• Valide alertas por canais oficiais: caso receba uma cobrança de um banco ou pedido de dinheiro urgente de um colega, ignore os contatos fornecidos na mensagem. Procure e ligue diretamente para os canais de atendimento oficiais;





• Mantenha sistemas e softwares atualizados: ative atualizações automáticas de segurança do sistema operacional e do antivírus para corrigir vulnerabilidades. Além disso, mantenha uma rotina de backup para salvar cópias de arquivos importantes.

O que fazer se fui vítima de phishing?

Se você caiu em um golpe de phishing, é fundamental agir com rapidez para conter os danos. Algumas medidas imediatas de cibersegurança devem ser adotadas como contenção e proteção jurídica:

• Troque suas senhas imediatamente: substitua as credenciais das contas expostas imediatamente por combinações fortes e habilite a autenticação de dois fatores (2FA), criando uma barreira extra que bloqueia novos acessos dos invasores;





• Comunique as instituições financeiras: avise o seu banco ou operadora de cartão sobre o ocorrido para bloquear movimentações, monitorar extratos e contestar transações financeiras suspeitas feitas em seu nome;





• Registre um boletim de ocorrência: formalize a denúncia em uma delegacia virtual para obter o boletim de ocorrência. Esse documento é essencial para resguardar seus direitos caso os criminosos usem seus dados de forma indevida;





• Faça uma varredura no dispositivo: após o boletim de ocorrência, execute um antivírus atualizado para eliminar malwares ocultos, como vírus espiões, e limpe o histórico do navegador e o cache do sistema para remover rastros digitais deixados pelo golpe;





• Reforce as ferramentas de defesa do dispositivo: adote um gerenciador de senhas para evitar repetições e configure alertas de segurança no celular, impedindo que o sistema aceite conexões ou certificados digitais inválidos no futuro.

Phishing é um tipo de malware? 

Não, phishing é uma tática de manipulação psicológica usada para enganar o usuário e roubar dados, servindo como a porta de entrada para crimes cibernéticos. Ele funciona como uma “isca” digital que convence a própria vítima a entregar informações confidenciais voluntariamente.

O malware é um termo técnico abrangente para qualquer software malicioso instalado em um dispositivo, como um programa espião ou um vírus. Eles são projetados para infectar e danificar aparelhos e sistemas de computadores, visando prejudicar as vítimas.

Phishing é um tipo de vírus?

Não, phishing é uma armadilha de engenharia social que usa comunicações falsas para enganar o usuário, funcionando como uma “isca” digital para golpes cibernéticos. O objetivo é manipular o comportamento humano para roubar dados sensíveis ou abrir as portas do sistema para invasões.

Por outro lado, o vírus é um tipo específico de malware que infecta arquivos legítimos para danificar computadores e celulares. Em geral, é um arquivo autoexecutável que se replica ativamente para atingir outros programas disponíveis na mesma máquina.

Qual é a diferença entre phishing e pharming?

O phishing é um ataque de engenharia social baseado em “iscas” ativas, como e-mails ou SMS falsos, que dependem da ação da própria vítima para capturar dados. O golpe funciona manipulando a psicologia do usuário para que ele clique em um link suspeito e entregue seus dados voluntariamente.

O pharming é um ataque invisível que corrompe as rotas de navegação da internet modificando o sistema de DNS, serviço que traduz nomes de sites em números de IP. Essa técnica sequestra o tráfego automatizadamente, redirecionando o usuário para uma página falsa mesmo que ele digite a URL corretamente no navegador.

O que é phishing? Conheça os tipos de phishing e saiba como se proteger