O que é um email de phishing?

Saiba o que é um email de phishing e como se proteger contra esse tipo de fraude online.

Definição de emails de phishing

Phishing é um tipo de golpe online onde criminosos tentam enganar as pessoas para que elas revelem informações confidenciais, como senhas, números de cartão de crédito e dados pessoais. Para isso, um criminoso finge ser uma pessoa ou empresa confiável, como um banco, uma agência governamental ou um site popular.

Um email de phishing é uma mensagem fraudulenta projetada para parecer autêntica. Geralmente, ele pede que você clique em um link, baixe um anexo ou forneça detalhes pessoais na tentativa de roubar informações valiosas. Esses emails costumam criar um senso de urgência — por exemplo, alertando que sua conta está em risco ou oferecendo uma recompensa com prazo limitado — para pressioná-lo a agir rapidamente.

Principais conclusões

Os emails de phishing são projetados para roubar informações pessoais, fingindo ser de fontes legítimas.
Os sinais comuns de emails de phishing incluem remetentes suspeitos, solicitações urgentes, saudações genéricas, anexos inesperados e solicitações de informações confidenciais.
Se você interagir com um email de phishing, aja rapidamente trocando senhas, notificando as partes relevantes e denunciando o email.
Previna ataques de phishing mantendo-se alerta, usando práticas de segurança robustas e mantendo o software atualizado com proteção antivírus e filtros de email.
Ajude a detectar e prevenir phishing por meio de filtragem com inteligência artificial, detecção de ameaças em tempo real e ferramentas de autenticação multifatorial da Segurança da Microsoft.

Por que é importante entender os emails de phishing

O mundo está mais digital do que nunca, e os emails de phishing são uma das maiores ameaças online. Os criminosos cibernéticos enviam milhões de emails de phishing todos os dias direcionados a indivíduos, empresas e até mesmo agências governamentais. Cair em um ataque cibernético, como um email de phishing, pode resultar em identidades roubadas, perdas financeiras e contas hackeadas. Em ambientes de trabalho, um clique errado pode comprometer redes inteiras, levando a vazamentos de dados e danos dispendiosos.

Reconhecer os emails de phishing é uma habilidade fundamental para proteger você e suas informações. Os invasores estão se tornando melhores em fazer seus golpes parecerem reais, mas conhecer os sinais de alerta pode ajudar você a evitá-los.

Entender o phishing não ajuda apenas você — também ajuda a manter seu local de trabalho, família e amigos seguros. Quanto mais pessoas puderem identificar esses golpes, mais difícil será para os criminosos cibernéticos serem bem-sucedidos.

A evolução dos emails de phishing

O phishing começou na década de 1990, quando os golpistas enganavam as pessoas para revelar suas senhas da AOL. À medida que a internet cresceu, os ataques de phishing se tornaram mais sofisticados. Os criminosos começaram a copiar a aparência e o funcionamento de sites reais para roubar credenciais de logon. Ao longo do tempo, o phishing expandiu além do email para mensagens de texto (ataque por SMS) e chamadas telefônicas (vishing). Atualmente, os invasores usam mensagens geradas por IA e táticas de engenharia social para tornar seus golpes ainda mais convincentes.

Apesar dos avanços na segurança cibernética, o phishing continua sendo uma das ameaças online mais comuns. Reconhecer emails de phishing é uma habilidade importante para se manter seguro online.

Como funcionam os emails de phishing

Os emails de phishing são projetados para parecer com mensagens de empresas e pessoas em que você confia. O objetivo é enganar você para que tome uma determinada ação usando atividade enganosa e truques psicológicos.

Os criminosos cibernéticos projetam cuidadosamente emails de phishing para que pareçam reais, ao:

Imitar marcas legítimas. Você pode ver logotipos oficiais, endereços de email semelhantes e designs de aparência profissional.
Usar detalhes pessoais. Alguns golpes incluem seu nome, email ou outras informações para tornar a mensagem mais autêntica.
Inserir links falsos. O email pode conter links que parecem reais, mas na verdade levam a sites falsos criados para roubar suas informações.
Adicionar anexos maliciosos. Alguns emails de phishing incluem arquivos que instalam ransomware ou outros tipos de malware se forem abertos.

Truques psicológicos usados em emails de phishing

Os emails de phishing aproveitam as emoções das pessoas para aumentar as chances de um golpe bem-sucedido. As táticas comuns incluem:

Urgência. Por exemplo, ameaça bloquear sua conta, a menos que você execute uma determinada ação.
Medo. Por exemplo, informando que sua conta foi comprometida.
Curiosidade. Por exemplo, enviando um recibo ou fatura por algo que você não comprou.
Incentivo financeiro. Por exemplo, dizendo que você ganhou um sorteio ou um cartão-presente.
Autoridade. Por exemplo, fingindo ser alguém do departamento de TI da sua empresa.

Como identificar um email de phishing

Os emails de phishing podem ser convincentes, mas frequentemente têm sinais reveladores. Veja o que observar:

Links suspeitos. Passe o mouse sobre os links (sem clicar) para ver para onde eles realmente levam. Às vezes, os links de phishing contêm erros de ortografia, caracteres extras ou domínios desconhecidos — por exemplo, "micros0ft-support.com" em vez de "microsoft.com." Se um link parecer estranho, não clique nele.
Anexos inesperados. Sempre tenha cuidado com os anexos de email, especialmente se eles solicitarem que você habilite macros ou instale software. Empresas legítimas raramente enviam anexos que você não solicitou.
Linguagem urgente ou ameaçadora. As mensagens que dizem que você precisa agir imediatamente ou terá sua conta suspensa fazem pressão para que você aja por medo. Os golpistas contam com o pânico para obter respostas rápidas.
Solicitações de informações pessoais ou financeiras. Nenhuma empresa legítima pedirá que você forneça senhas, números de cartão de crédito ou números de CPF por email. Se tiver dúvidas, entre em contato com a empresa diretamente por canais oficiais — não clicando em nada no email.
Saudações genéricas e falta de personalização. Os emails de phishing às vezes usam introduções genéricas, como "Prezado cliente" ou "Prezado usuário", em vez de ligar para você usando seu nome. As empresas reais normalmente personalizam seus emails.
Gramática ruim e erros de ortografia. Muitos emails de phishing contêm frases estranhas, erros de digitação ou palavras incomuns. As organizações profissionais revisaram seus emails, portanto, esses tipos de erros podem ser um sinal de alerta.
Endereços do remetente incompatíveis. Verifique o endereço de email do remetente com atenção. Os golpistas usarão endereços semelhantes aos reais, mas com pequenas diferenças, como "support@micr0soft.com" em vez de "support@microsoft.com".

Cinco exemplos de emails de phishing

Navegue por esses exemplos de golpes comuns de email de phishing para entender melhor como eles se parecem.

1. Alerta de segurança falso

Linha do assunto: Tentativa de logon incomum detectada — Ação necessária!

Um email de phishing fingindo ser de um serviço conhecido, como seu banco ou provedor de email, avisa que alguém tentou acessar sua conta. Inclui um link para "proteger" sua conta, mas o link leva a uma página de logon falsa projetada para roubar suas credenciais.

Sinais de alerta:

O email não menciona onde a tentativa de logon ocorreu (sem detalhes de localização ou dispositivo).
O link "proteja sua conta" leva a um domínio que está ligeiramente diferente do site real da empresa.
O endereço do remetente é algo como "security-alerts@accounts-support.com" em vez do domínio oficial da empresa.

2. Fatura ou solicitação de pagamento falsa

Assunto: Fatura #38491 Anexada — Pagamento imediato necessário

Esse tipo de email de phishing afirma que você deve dinheiro por um serviço que nunca usou. Ele pressiona você a abrir uma fatura anexada ou clicar em um link para revisar a cobrança. O anexo pode conter malware ou o link pode levar a uma página de pagamento falsa.

Sinais de alerta:

O email é inesperado. As empresas legítimas não enviam faturas surpresas.
A fatura está em um formato suspeito, como um arquivo .ZIP ou um documento pedindo que você habilite macros.
Não há informações claras sobre quem enviou a fatura — sem nome da empresa ou detalhes de contato.

3. "Você ganhou um prêmio!" scam

Assunto: Parabéns! Você foi selecionado para um cartão-presente de USD$ 500

Esse email de phishing diz que você ganhou um sorteio e simplesmente precisa "verificar seus dados" para receber o prêmio. Ele pede informações pessoais ou direciona você a um formulário que rouba seus dados.

Sinais de alerta:

Você nunca participou de um sorteio, tornando a vitória suspeita.
O email pede detalhes pessoais, como seu endereço, número de telefone ou informações do cartão de crédito.
O endereço de email do remetente é uma conta genérica do Gmail ou Yahoo em vez de um domínio da empresa.

4. Fraude de CEO (comprometimento de email empresarial)

Assunto: Solicitação rápida — Preciso de sua ajuda urgente

Essa tentativa de phishing no ambiente de trabalho visa funcionários de uma empresa fingindo ser de seu chefe, um executivo sênior ou dos recursos humanos. O email pede ao destinatário que compre cartões-presente, transfira dinheiro ou forneça dados confidenciais da empresa. Os invasores normalmente falsificam o endereço de email de um gerente ou usam um semelhante com uma pequena diferença.

Sinais de alerta:

O email é urgente e vago, sem contexto anterior.
O email do remetente é ligeiramente diferente do email verdadeiro dos executivos (por exemplo, "ceo@companyname.co" em vez de "ceo@companyname.com)".
A solicitação é incomum — a maioria das empresas tem processos formais para transações financeiras.

5. Redefinição de senha falsa do departamento de TI

Assunto: Aviso de TI: Sua senha de email expira hoje

Esse email supostamente é da equipe de TI da sua empresa, dizendo para você redefinir sua senha imediatamente. O link fornecido leva a uma página de logon falsa que rouba suas credenciais.

Sinais de alerta:

O email não segue o estilo usual de comunicação de TI da sua empresa.
O email do remetente não é do domínio oficial da empresa.
O suporte de TI geralmente não pede aos funcionários que redefinam senhas por meio de links de email. As empresas tendem a usar portais internos.

O que fazer se você receber um email de phishing

Se você receber um email de phishing, não entre em pânico, mas também não interaja com ele. Siga estas etapas para se proteger e proteger os outros.

1. Não clique em links ou abra anexos

Evite clicar em qualquer link, baixar anexos ou responder ao email.
Mesmo que o email pareça convincente, interagir com ele pode levar a malware ou informações roubadas.

2. Verifique o remetente

Verifique o endereço de email do remetente com atenção. Se algo parecer estranho, como uma leve grafia incorreta ou um domínio desconhecido, provavelmente é um golpe.
Se o email afirmar ser de uma empresa, vá diretamente ao site oficial da empresa em vez de usar qualquer link fornecido.

3. Reporte a tentativa de phishing

Se você recebeu o email no trabalho, encaminhe-o para sua equipe de TI ou de segurança.
Nos Estados Unidos, reporte o phishing à FTC (Comissão Federal de Comércio) ou encaminhe o email para phishing-report@us-cert.gov.

4. Marque o email como spam e exclua-o

Muitos serviços de email têm uma opção de "Reportar phishing" que ajuda a melhorar os filtros de spam. Se você não ver essa opção, reporte como spam.
Se o seu provedor de email não mover automaticamente o email para a lixeira após você sinalizá-lo, exclua-o para não abri-lo acidentalmente depois.

Passos a seguir se você interagiu com um email de phishing

Depois de interagir com um email de phishing, seja clicando em um link, baixando um anexo ou fornecendo informações pessoais, você deve agir rapidamente para limitar o dano. Veja o que fazer.

1. Anote o que você compartilhou

Se você inseriu sua senha, dados bancários ou informações pessoais, anote o que você compartilhou.
Isso ajudará você a determinar o que precisa ser protegido e a quem notificar.

2. Altere as senhas imediatamente

Atualize as senhas que você possa ter compartilhado, especialmente para contas bancárias, de email ou corporativas.
Se você usa a mesma senha para outros sites, mude-a lá também.
Use senhas fortes e únicas e ative a autenticação multifator para maior segurança.

3. Informe as pessoas que precisam saber

Se o email de phishing visou sua conta de trabalho, avise sua equipe de TI ou de segurança.
Se você forneceu detalhes financeiros, entre em contato com seu banco ou empresa de cartão de crédito para monitorar transações e congelar sua conta, se necessário.
Avise amigos, familiares e colegas sobre o que aconteceu se o golpe puder afetá-los (por exemplo, se os invasores puderem usar sua conta comprometida para enviar emails de phishing para eles).

4. Reporte o ataque de phishing

Se você perdeu dinheiro ou teve dados confidenciais roubados, reporte o ataque à FTC.
Se ocorreu fraude financeira, entre em contato com as autoridades de segurança locais.
Marque a mensagem como uma tentativa de phishing ou spam através do seu provedor de email para ajudar a bloquear ataques semelhantes.

5. Espere tentativas de phishing de acompanhamento

Os golpistas costumam mirar novamente nas vítimas usando os dados roubados para enviar novos emails, mensagens de texto ou ligações de phishing.
Tenha cuidado extra com as mensagens que afirmam ajudar você a recuperar sua conta ou que solicitam mais informações pessoais.

O que acontece se você for vítima de phishing?

Ser vítima de um ataque de phishing pode ter consequências sérias que afetam tanto indivíduos quanto organizações. Aqui estão alguns possíveis efeitos.

Roubo de identidade

Os golpistas de phishing roubam informações pessoais, como números de Seguro Social, endereços e datas de nascimento, para se passar pelas vítimas. Isso pode levar à abertura de contas de crédito ou à prática de crimes em nome da vítima.

Perdas financeiras

O acesso a dados financeiros privados, como detalhes de contas bancárias ou números de cartões de crédito, pode resultar em transações não autorizadas e perdas monetárias significativas. Por exemplo, um sofisticado golpe de phishing de fatura que teve como alvo o Google e o Facebook entre 2013 e 2015 resultou em perdas de USD$ 100 milhões.

Informações confidenciais comprometidas

Os ataques de phishing podem expor dados confidenciais, incluindo segredos comerciais e comunicações pessoais. Em 2021, um email de phishing resultou no ataque ao Colonial Pipeline, que causou uma grande interrupção no fornecimento de combustível nos Estados Unidos.

Danos à reputação

As organizações atingidas por ataques de phishing podem sofrer danos a longo prazo em sua reputação. Os clientes e parceiros podem perder a confiança, especialmente se seus dados foram comprometidos. Essa perda de confiança pode ter efeitos duradouros nas relações comerciais, nas finanças e na percepção pública.

Impedir um ataque de email de phishing

Mesmo que os emails de phishing possam ser convincentes, ainda há maneiras de se proteger, mantendo-se alerta e seguindo as melhores práticas de segurança de email.

Seja cuidadoso com todos os emails que solicitam interação

Sempre analise os emails cuidadosamente antes de clicar em links ou baixar anexos.
Faça essas perguntas a si mesmo antes de interagir:
- Este email faz sentido? Estou esperando por isso?
- O endereço de email do remetente está correto?
- Há solicitações urgentes ou ameaças que me pressionam a agir rapidamente?
- A gramática e o tom parecem profissionais?
Se algo parecer estranho, verifique o email com o remetente usando um método de contato confiável.

Aumente a segurança do email

Use filtros de email para bloquear mensagens de phishing conhecidas.
Marque os emails suspeitos como spam para melhorar a filtragem.
Nunca clique em links ou baixe anexos de fontes desconhecidas ou inesperadas.

Mantenha seu software e ferramentas de segurança atualizados

Instale um software antivírus e certifique-se de que está atualizado para ajudar a detectar ameaças de phishing.
Habilite as atualizações automáticas para seu sistema operacional, navegadores da Web e aplicativos de email para corrigir vulnerabilidades de segurança.

Use a autenticação multifator

Ativar a autenticação multifator para suas contas online adiciona uma camada extra de segurança, exigindo um segundo passo (como um código enviado para seu telefone) antes de fazer logon.
Mesmo que os invasores roubem sua senha, eles não poderão acessar sua conta sem o segundo fator.

Fique um passo à frente do phishing com a Segurança da Microsoft

À medida que os emails de phishing se tornam mais sofisticados, usando emails gerados por IA, engenharia social e até tecnologia de deepfake, felizmente as soluções da Segurança da Microsoft também evoluem para detectá-los e preveni-los.

Ao combinar conscientização com ferramentas de segurança robustas, você ajudará a evitar emails de phishing e protegerá seus dados pessoais e empresariais.

RECURSOS

Saiba mais sobre a Segurança da Microsoft

Uma mulher e um homem trabalhando com um tablet

Solução

SecOps unificadas, da plataforma IA

Combine suas SecOps (operações de segurança) em prevenção, detecção e resposta com uma plataforma da IA.

Saiba mais

Acesse o portal de proteção contra ameaças

Entenda como as organizações estão usando a XDR (detecção e resposta estendida) integrada e o SIEM (gerenciamento de eventos e informações de segurança) para se tornarem mais resilientes contra ataques.