Imagine receber um alerta de que sua conta bancária será bloqueada ou que uma compra suspeita foi feita no seu cartão. A mensagem é convincente, tem o logotipo oficial e um link “mágico” para resolver tudo em segundos.

Cuidado: você pode estar na mira de um phishing. Esse crime, um dos mais comuns na internet, foca no elo mais frágil da corrente: o comportamento humano. A boa notícia? Com as informações certas, você se torna “imune” a essas iscas.

O que é Phishing?

O termo vem de fishing (pescar). Os criminosos lançam “iscas” digitais esperando que alguém morda o anzol e entregue senhas, dados bancários ou números de cartão.

Como destaca uma reportagem da CNN Brasil, os golpistas usam e-mail, SMS e redes sociais para simular páginas reais. O objetivo é instalar programas maliciosos (malwares) ou levar você a preencher cadastros falsos. Em resumo, eles fingem ser quem não são para roubar o que é seu.

Phishing é crime?

Sim. Phishing é considerado um tipo de fraude digital e pode envolver crimes como estelionato e invasão de dispositivos.

O que fazer se clicar em um link de phishing?

Se você clicou em um link suspeito:

• não informe dados pessoais
• altere suas senhas imediatamente
• avise o banco ou serviço afetado

Antivírus protege contra phishing?

Antivírus e navegadores modernos ajudam a bloquear sites maliciosos, mas o principal fator de proteção ainda é a atenção do usuário.

Como o golpe funciona na prática

Geralmente, o ataque segue um roteiro de três passos, conforme detalhado neste guia preventivo da Serasa:

1. O Contato: Você recebe uma mensagem urgente por e-mail, SMS ou WhatsApp.
2. O Destino: Ao clicar, você vai para um site que é a “cópia fiel” do original.
3. O Roubo: Você digita seus dados achando que está seguro, mas está enviando-os direto para o servidor do criminoso.

O próprio Governo Federal, em suas campanhas de conscientização, reforça que saber identificar e reportar esses casos é o que ajuda a frear a propagação desses golpes no Brasil.

Ainda informa para se atentar:

• Remetente suspeito.
• Erros gramaticais e ortográficos.
• Links falsos.
• Urgência exagerada.
• Anexos suspeitos.

E reforça:

• Não clique em links
• Não baixe anexos 
• Não forneça informações pessoais
• Nunca informe senhas ou códigos de segurança
• Reporte o phishing imediatamente .
• Ative a autenticação em dois fatores (2FA) 

Sinais de alerta: Onde os golpistas deslizam

1. URLs “quase” iguais

O endereço do site (URL) é o maior dedo-duro. Criminosos criam endereços muito parecidos com os oficiais, mudando apenas uma letra ou o final do domínio.

• Real: banco.com.br
• Falso: banco-seguranca-login.net ou banc0.com.br

O CERT.br, autoridade máxima em segurança na internet no Brasil, disponibiliza uma cartilha completa sobre phishing que ensina a ler esses endereços. A regra de ouro deles é: nunca clique. Se houver dúvida, digite o endereço manualmente no navegador ou abra o app oficial.

2. O Senso de Urgência: O Gatilho do Medo

O phishing não é apenas um ataque tecnológico, é um ataque psicológico conhecido como Engenharia Social. Os criminosos sabem que, sob pressão, o cérebro humano tende a agir por instinto e ignorar detalhes lógicos.

• A técnica: Ao enviar mensagens como “Sua conta será bloqueada em 2 horas” ou “Detectamos um acesso indevido, clique agora para cancelar”, o golpista cria um estado de alerta.
• O objetivo: Fazer com que o pânico supere a cautela. Quando você está com medo de perder o acesso ao seu dinheiro ou ter o nome sujo, a tendência é clicar no link para “resolver logo” o problema, sem verificar a origem da mensagem.
• Como reagir: Lembre-se que instituições sérias (como bancos e órgãos governamentais) raramente resolvem problemas críticos via links em SMS ou e-mail com prazos de minutos. Se a mensagem te deixou ansioso, esse é o primeiro sinal para parar e não clicar.

3. Erros de “Português” e Formatação: O Desleixo que Denuncia

Embora alguns ataques sejam feitos por grupos profissionais, muitos golpes são disparados em massa por sistemas automatizados ou por criminosos que utilizam ferramentas de tradução.

• Falta de Personalização: Empresas legítimas geralmente chamam você pelo nome. Mensagens que começam com “Prezado Cliente” ou “Usuário do sistema” são genéricas e típicas de disparos em massa.
• Erros Graves: Fique atento a erros de concordância (“Os dado de sua conta”), falta de acentos ou o uso de caracteres estranhos para substituir letras (uma técnica para tentar burlar filtros de spam).
• Identidade Visual “Pobre”: Muitas vezes, o logotipo está esticado, com baixa resolução ou as cores não batem exatamente com as da marca oficial. Como grandes empresas possuem manuais de marca e revisores rigorosos, esse tipo de descuido é um indicativo claro de fraude.
• Dica Técnica: Às vezes, o criminoso usa um botão bonito, mas se você passar o mouse sobre ele (sem clicar!), verá que o endereço que aparece no canto da tela não tem nada a ver com a empresa mencionada.

Os vários rostos do Phishing

Não é só por e-mail! A empresa de cibersegurança Fortinet lista variações perigosas que você precisa conhecer:

• Smishing: O golpe via SMS.
• Vishing: Quando o criminoso te liga fingindo ser do suporte técnico ou do banco.
• QRishing: O uso de QR Codes falsos (comuns em lives ou cartazes de rua) que levam a sites maliciosos.

Checklist de Proteção

Para navegar sem medo, adote estes hábitos recomendados pela Microsoft em seu guia de segurança:

• **Pule o link:** Use sempre o aplicativo oficial ou digite o site no Google.
• Duvide do “bom demais”: Prêmios inesperados ou descontos absurdos costumam ser iscas.
• 2 Fatores (2FA): Ative a autenticação em duas etapas em tudo (WhatsApp, Instagram, Banco). Mesmo que descubram sua senha, eles não conseguem entrar.

Reforçando: nunca clique nos links

Antes de clicar em qualquer coisa, respire e faça estas três perguntas:

1. Eu estava esperando essa mensagem?
2. O link parece “estranho” ou longo demais?
3. A mensagem está me pressionando a agir rápido?

A Regra de Ouro: Vá direto à fonte

Se você chegou até aqui, já sabe identificar os sinais de um golpe. Mas, e se a dúvida persistir? E se a mensagem parecer realmente oficial e o assunto for urgente?

A orientação dos maiores especialistas em segurança digital é uma só: ignore o link e procure a instituição por conta própria.

Nunca use o caminho que o estranho te deu

Imagine que alguém bate à sua porta dizendo ser um funcionário da companhia de energia e pede para entrar. Você não abriria sem antes ligar para o número oficial da empresa e confirmar a visita, certo? Na internet, a lógica é a mesma.

Se você receber um alerta sobre sua conta bancária, uma compra no cartão ou uma pendência no CPF:

1. Feche a mensagem imediatamente: Não clique em botões como “Clique aqui”, “Regularize agora” ou “Baixar boleto”.
2. Abra o seu caminho seguro: Saia do e-mail ou SMS e abra o aplicativo oficial que você já tem instalado no celular ou digite o endereço do site diretamente no seu navegador.
3. Use os canais oficiais de suporte: Se preferir falar com alguém, utilize apenas os números de telefone que constam no verso do seu cartão ou no site oficial da empresa.

Por que isso funciona?

Ao fazer isso, você assume o controle da situação. Se houver um problema real na sua conta, ele aparecerá dentro do aplicativo seguro ou o atendente oficial confirmará a informação. Se não houver nada lá, você acaba de evitar um ataque de phishing.

Lembre-se: Bancos e empresas sérias nunca vão se sentir ofendidos por você ser cauteloso. Pelo contrário, eles investem milhões para que você utilize apenas os canais oficiais de atendimento.

Na dúvida, não clique. O tempo que você gasta verificando a informação é muito menor do que o tempo que gastaria tentando recuperar seus dados.

Leia também

Se você gostou deste conteúdo, pode se interessar por outros temas:

• Vida extraterrestre e tecnologia: por que o debate nos EUA importa para todos nós
• Brasil e Índia assinam memorando para cooperação em minerais críticos e terras raras
• HPV: exames, vacina, prevenção e por que falar sobre o assunto pode salvar vidas