E-mail de phishing

Como o phishing funciona

Alguém envia a você um e-mail que parece ser do seu banco. Linha de assunto: "Urgente: atividade suspeita na sua conta." O e-mail inclui o logotipo do seu banco, usa as cores dele e diz para você clicar em um link para verificar sua identidade imediatamente. Você clica, cai no que parece exatamente a página de login do seu banco, insere seu nome de usuário e senha e pronto. Você acabou de entregar suas credenciais a um golpista.

Isso é phishing. O e-mail não é realmente do seu banco. A página de login é falsa. Agora o golpista tem sua senha e pode esvaziar sua conta.

Esses ataques funcionam porque exploram urgência e confiança. "Sua conta será suspensa em 24 horas." "Detectamos atividade incomum." "Confirme sua identidade agora ou perca o acesso." Eles pressionam você a agir rápido, sem pensar. E eles estão ficando sofisticados. E-mails de phishing modernos geralmente têm gramática perfeita, endereços de remetente com aparência legítima e identidade visual convincente. Os dias dos golpes óbvios do "príncipe nigeriano" já ficaram praticamente para trás.

Como identificar um e-mail de golpe de phishing 

Linguagem urgente ou ameaçadora é o primeiro sinal de alerta. Empresas legítimas não ameaçam encerrar sua conta se você não responder em poucas horas. Golpistas criam uma urgência artificial para driblar seu ceticismo.

Observe com atenção o endereço do remetente. "support@amaz0n.com" (com zero) não é a Amazon. "accounts@paypa1.com" (com o número um) não é o PayPal. Passe o mouse sobre o nome do remetente para ver o endereço de e-mail real. Melhor ainda, verifique as informações do cabeçalho do e-mail.

Saudações genéricas como "Prezado cliente" ou "Prezado usuário", em vez do seu nome real, sugerem phishing em massa. Embora alguns ataques sofisticados usem seu nome verdadeiro, então isso por si só não é definitivo.

Fique atento a anexos ou links inesperados. Seu banco não vai enviar uma fatura para você como arquivo ZIP. Seu colega de trabalho provavelmente não enviou um documento PDF aleatório se você não estava esperando por isso. Na dúvida, entre em contato com o suposto remetente por outro canal antes de abrir qualquer coisa.

Nenhuma empresa legítima jamais enviará um e-mail pedindo sua senha, número do CPF, dados do cartão de crédito ou códigos de autenticação de dois fatores. Nunca. Se um e-mail pedir esse tipo de informação, é falso.

Hoje, gramática ou formatação ruim é um sinal menos confiável, mas muitos e-mails de phishing ainda têm frases estranhas ou traduções esquisitas. Empresas profissionais revisam seus e-mails.

Passe o mouse sobre os links antes de clicar (não clique, apenas passe o mouse). Se a URL exibida não corresponder ao destino que o link afirma levar, é phishing. Um link que diz "mybank.com", mas na verdade aponta para "mybank-verify-login-2024.ru", é obviamente falso.

Tipos de ataques de phishing

Alguns ataques de phishing são direcionados, outros são em massa. 

Spear phishing atinge pessoas específicas com informações personalizadas. Golpistas pesquisam você no LinkedIn, encontram seus colegas de trabalho, talvez percebam que você acabou de começar em um novo emprego. Depois, criam mensagens que parecem assustadoramente precisas. Muito mais convincentes do que disparos genéricos.

Depois há o whaling. É quando eles vão atrás de executivos. Alguém se passa pelo CEO e envia um e-mail ao financeiro solicitando uma transferência bancária urgente. Esses ataques custam milhões às empresas porque executivos têm acesso a muito dinheiro.

O clone phishing é mais sorrateiro. Eles pegam um e-mail legítimo que você recebeu antes (talvez um recibo ou notificação), copiam, trocam os links por links maliciosos e reenviam. Você o reconhece porque recebeu a versão real na semana passada, então confia nele sem pensar duas vezes.

Vishing e smishing? Não são e-mail, mas estão relacionados. Vishing são ligações telefônicas, smishing são mensagens de texto. As mesmas táticas de golpe, canais diferentes.

Golpes de phishing recentes de 2026

Golpe de phishing com Microsoft Power BI

Esse foi bem inteligente. Golpistas usaram o próprio recurso de notificações do Microsoft Power BI para enviar e-mails de phishing a partir de endereços reais da Microsoft. Você receberia uma mensagem alegando que alguém cobrou de US$ 400 a US$ 700 da sua conta do PayPal, com um número de telefone para ligar e "contestar" a cobrança.

É aqui que a coisa ficava feia: quando você ligava, a pessoa do outro lado afirmava ser da Microsoft. Ela orientava você a instalar um software de acesso remoto para "corrigir o problema". Isso dava a eles controle total sobre o seu computador. A PCWorld documentou o ataque completo no início de 2026.

Os e-mails pareciam legítimos porque eram legítimos, apenas estavam sendo usados de forma indevida. Foi isso que fez esse golpe funcionar.

Operação Tycoon 2FA

O Tycoon 2FA era basicamente phishing como serviço. Pague uma assinatura e tenha acesso a uma plataforma que podia enviar e-mails de phishing convincentes, capazes de contornar a autenticação de dois fatores. No auge, atingia mais de 500.000 organizações por mês com dezenas de milhões de mensagens.

As áreas de saúde e educação foram as mais atingidas. Mais de 100 membros da Health-ISAC foram alvo de phishing, causando problemas operacionais reais (atrasos no atendimento a pacientes em hospitais de Nova York, interrupções em escolas). A Microsoft rastreou 96.000 vítimas distintas no mundo todo antes de as autoridades derrubarem a operação em março de 2026.

Em meados de 2025, o Tycoon era responsável por 62% de todas as tentativas de phishing bloqueadas pela Microsoft. Em apenas um mês, eles impediram mais de 30 milhões de e-mails dessa única plataforma. É assim que o phishing em escala industrial funciona agora.

Ataques ClickFix e CAPTCHA falso

Sabe aquelas verificações CAPTCHA de "Não sou um robô"? Os invasores descobriram como falsificá-las. Você chegava ao que parecia uma página de verificação legítima, mas, em vez de clicar em caixas, era induzido a copiar e executar comandos maliciosos do PowerShell no seu computador.

O The Hacker News informou que aproximadamente 147.500 sistemas foram infectados entre o fim de agosto de 2025 e o início de 2026. Campanhas recentes tiveram como alvo criadores de conteúdo nas redes sociais, alegando que eles eram elegíveis para selos de verificação. As vítimas assistiam a vídeos instrutivos mostrando como copiar "tokens de autenticação" dos cookies do navegador, o que na verdade instalava software de monitoramento remoto.

Em 2025, 30% desses ataques usaram falsos prompts de verificação para instalar ferramentas de acesso remoto. A taxa de sucesso? Alta o suficiente para que os invasores continuassem usando o mesmo roteiro.

Por que isso funciona? Porque as pessoas são treinadas a concluir CAPTCHAs sem pensar. Você vê "verifique se você é humano" e segue em frente. Esse instinto é exatamente o que torna isso perigoso.

O que fazer se você receber um e-mail de phishing

Não clique em nada. Não abra anexos. Não siga links. Não responda. Apenas apague-o.

Denuncie: A maioria dos clientes de e-mail tem um botão de "Denunciar phishing". Gmail, Outlook e outros provedores usam essas denúncias para melhorar seus filtros de spam e proteger outros usuários.

Verifique de forma independente: Se o e-mail disser que é do seu banco, feche o e-mail e acesse sua conta bancária diretamente pelo site ou app oficial. Não use links do e-mail suspeito. Se estiver tudo bem na sua conta real, o e-mail era falso.

Confirme com o remetente: Se o e-mail de phishing disser ser de alguém que você conhece, entre em contato com essa pessoa por outro método (ligue, mande mensagem, fale pelo Slack). Não responda ao próprio e-mail suspeito.

O que devo fazer se eu já cliquei em um e-mail de phishing? 

Troque suas senhas imediatamente, especialmente se você inseriu credenciais em um site falso. Ative a autenticação de dois fatores se ainda não tiver feito isso. Monitore suas contas em busca de atividade não autorizada. Se você inseriu informações do cartão de crédito, entre em contato com seu banco para cancelar o cartão.

Como se proteger 

SPF, DKIM e DMARC

Se você controla um domínio, implemente SPF, DKIM e DMARC para impedir que golpistas falsifiquem seu endereço de e-mail para outras pessoas. Embora isso não proteja você de receber tentativas de phishing, protege outras pessoas contra ataques de phishing que se passam por você.

Ative a autenticação de dois fatores em todos os lugares possíveis. 

Mesmo que alguém roube sua senha por meio de phishing, não conseguirá acessar sua conta sem o segundo fator, tornando você um alvo significativamente mais difícil. Mantenha o ceticismo diante de e-mails inesperados, especialmente pedidos urgentes envolvendo dinheiro ou credenciais. Quando algo parece estranho, geralmente está mesmo errado—confie nos seus instintos.

Mantenha seu software atualizado. 

Navegadores e clientes de e-mail modernos têm detecção de phishing integrada que melhora a cada atualização, então manter tudo em dia ajuda você a se beneficiar dos recursos de segurança mais recentes. Se você é responsável por uma empresa, faça simulações de phishing regularmente. Funcionários costumam ser o elo mais fraco da segurança, e a educação por meio de testes realistas os ajuda a reconhecer e evitar ataques reais.

Considere usar um gerenciador de senhas. 

Essas ferramentas preenchem senhas automaticamente apenas em sites legítimos, o que significa que, se o seu gerenciador de senhas não preencher automaticamente no que parece ser o site do seu banco, isso é um sinal de alerta de que o site é falso. Essa camada extra de verificação pode detectar tentativas de phishing que, de outra forma, poderiam enganar você. 

Desative o carregamento de imagens remotas 

Em alguns clientes de e-mail, como o Spark Desktop, você pode até desativar o carregamento de imagens remotas para ter proteção adicional: abra Configurações do Spark Desktop > Geral > Carregar imagens remotas > Desative a opção.

Conteúdo relacionado

• Privacidade no e-mail Spark
• Frases para evitar em e-mails
• A regra de dois minutos para e-mails
• Melhores clientes de e-mail 

Termos relacionados

• E-mail de spam
• Falsificação de e-mail
• Autenticação de dois fatores
• Autenticação de e-mail