O que é phishing
O que é phishing — definição, tipos e como evitar golpes online
Phishing é um tipo de crime digital baseado em engenharia social que visa enganar pessoas para obter informação sensível — como nomes de utilizador, palavras-passe, números de cartão ou dados pessoais.
Em vez de atacar sistemas por força bruta, os burlões apostam na confiança: enviam mensagens que parecem legítimas (por email, SMS ou até por chamada), induzem a vítima a clicar num link ou abrir um anexo e, desse modo, roubam credenciais ou instalam malware.
Assim, phishing não é apenas um “email suspeito”: é um esquema planeado para explorar a credulidade humana.
Como funciona, passo a passo
Em primeiro lugar, o atacante prepara uma mensagem convincente que imita uma entidade de confiança — por exemplo, um banco, um serviço de entregas ou uma plataforma de streaming.
Em seguida, a mensagem convida a vítima a clicar num link ou a fornecer dados. Finalmente, a página ou o anexo recolhe as credenciais ou instala software malicioso. Em suma: enganar — incitar — roubar.
Tipos comuns de phishing
- Email phishing: o formato clássico. Mensagens em massa que imitam instituições legítimas com o objetivo de recolher dados.
- Spear phishing: ataques dirigidos, com informação personalizada sobre a vítima (emprego, colegas, interesses).
- Whaling: mira executivos ou responsáveis de alto nível, onde a recompensa justifica o esforço.
- Smishing: phishing por SMS — mensagens curtas que contêm links fraudulentos.
- Vishing: phishing por voz — chamadas que se fazem passar por suporte técnico, banco ou autoridade.
- Clone phishing: a mensagem parece ser uma cópia de uma comunicação legítima, mas com links alterados ou anexos maliciosos.
Sinais de alerta — como reconhecer um ataque
- Remetente ou domínio estranho. Verifica o endereço completo: domínios com terminações invulgares (
.shop,.xyz) ou pequenas variações são um sinal vermelho. - Urgência exagerada. Mensagens que exigem ação imediata (“atualize agora”, “conta suspensa”) tentam impedir que penses.
- Pedidos de dados sensíveis. Bancos e plataformas legítimas raramente pedem senhas ou números de cartão por email/SMS.
- Falta de personalização. Saudações genéricas (“Exmo. Senhor(a)”) em vez do teu nome podem indicar envio massivo.
- Erros subtis na escrita ou no layout. Mesmo quando o texto está bem escrito, inconsistências no estilo ou no rodapé são pistas.
- Links que não coincidem. Passa o cursor sobre o link para ver a URL real antes de clicar.
Como prevenir e o que fazer em caso de suspeita
- Nunca clique num link recebido por email ou SMS. Em vez disso, abre o site oficial escrevendo o endereço no navegador.
- Verifica o remetente e a URL. Se o domínio não corresponder ao serviço legítimo, encerra e reporta.
- Ativa a autenticação multifator (MFA). Mesmo que percam a tua palavra-passe, o segundo fator complica muito a vida aos criminosos.
- Mantém software e antivírus atualizados. Correções de segurança bloqueiam muitas explorações usadas por anexos maliciosos.
- Faz cópias de segurança regulares. Em cenários de extorsão ou perda de acesso, ter backup reduz danos.
- Reporta o incidente. Comunica ao teu banco, ao provedor de email e às autoridades competentes — reportar ajuda a travar os burlões.
Por que o phishing continua a funcionar?
Porque explora algo velho e humano: pressa, confiança e descuido. Embora a técnica evolua (páginas cada vez mais bem imitadas, mensagens com dados pessoais), o princípio básico mantém-se — e a defesa também: suspeita, verifica, protege.
Em Suma
O phishing é hoje uma das formas mais lucrativas de crime online. Além disso, com a sofisticação crescente das mensagens, torna-se cada vez mais difícil distinguir o verdadeiro do falso à primeira vista.
No entanto, pequenas precauções — não clicar, verificar domínios e usar MFA — continuam a ser a barreira mais eficaz contra estas aldrabices.
Em termos simples: desacelera, confirma e impede que um clique estrague o teu dia.