Topo

Phishing: Como identificar e fugir do golpe que atinge milhões

Smishing, vishing e whaling são variações sofisticadas. Especialistas revelam sinais de alerta e protocolos de segurança essenciais.

postado em 20/11/2025 por Redação.

Publicidade
Comente

553 milhões. Esse é o número assustador de tentativas de phishing registradas no Brasil nos últimos 12 meses, segundo dados da empresa de segurança digital Kaspersky divulgados durante a 15ª Semana de Cibersegurança. A cifra representa uma média de 1,5 milhão de ataques por dia — ou quase três tentativas por habitante brasileiro.

O phishing consolidou-se como o crime cibernético mais praticado no país. A técnica consiste no envio de links falsos por e-mail, SMS, WhatsApp e redes sociais para roubar dados pessoais e financeiros das vítimas. Quando o usuário clica no link ou fornece informações solicitadas, acreditando tratar-se de uma comunicação legítima, os criminosos obtêm acesso a contas bancárias, senhas e documentos.

O impacto financeiro é devastador. Entre os casos investigados, há indícios de que o phishing tenha sido responsável pelo desvio de R$ 15 milhões do Sistema Integrado de Administração Financeira (Siafi), do governo federal, em março do ano passado. Um levantamento da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP) identificou ainda 1,5 milhão de casos de phishing entre janeiro e setembro de 2025.

Phishing: Como identificar e fugir do golpe que atinge milhões
Créditos: Redação

Por que o Brasil virou alvo preferencial

Publicidade

Na América Latina, foram bloqueadas 1,3 bilhão de tentativas de phishing entre julho de 2024 e agosto de 2025 — média de 3,5 milhões de ataques por dia, ou 145 mil por hora. O Brasil responde sozinho por 43% desse volume total.

Fábio Assolini, diretor de pesquisa e análises da Kaspersky para a América Latina, explica o fenômeno. "O Brasil lidera o ranking regional por duas razões principais. Além do país ser o maior e mais populoso da região, a população brasileira tem alto interesse em adotar novas tecnologias, mesmo com a baixa educação digital", afirmou.

Essa combinação entre conectividade em massa e falta de práticas seguras transforma o território nacional em terreno fértil para golpes cibernéticos. A facilidade de acesso à internet, somada à ausência de protocolos de verificação, faz das campanhas de phishing operações lucrativas para criminosos, que exploram temas como impostos, bancos e programas sociais para atrair vítimas.

Inteligência artificial turbina os golpes

O crescimento de 85% nos ataques em relação a 2023 tem um culpado tecnológico: a inteligência artificial. Ferramentas de IA generativa já são usadas para criar mensagens fraudulentas mais convincentes, com linguagem natural e aparência profissional que dificultam a identificação do golpe.

Os criminosos também utilizam RPA (Robotic Process Automation) para disparar automaticamente milhões de mensagens de phishing em poucas horas, principalmente por SMS. Essa automação contribuiu para o recorde de 6,3 milhões de tentativas bloqueadas em um único dia.

Além disso, deepfakes com áudios e vídeos manipulados simulam vozes e rostos reais para aplicar golpes de identidade. "Qualquer criminoso que está iniciando pode fazer esse tipo de ataque. A tecnologia RPA permite que eles automatizem o disparo de milhões de mensagens com um custo e esforço mínimos", alertou Assolini.

As cinco variações mais perigosas do phishing

Embora o termo phishing seja genérico, existem modalidades específicas que aumentam a eficácia do golpe:

Smishing: Ataque realizado por mensagens de texto (SMS). A vítima recebe uma mensagem no celular com um link clicável ou número para ligar, geralmente alegando problemas bancários ou prêmios de sorteios falsos. Ao clicar ou ligar, o ataque captura informações confidenciais.

Vishing: Golpe executado por ligação telefônica. Os criminosos se passam por representantes de empresas confiáveis — como Microsoft, bancos ou operadoras — para convencer a vítima a fornecer dados ou instalar programas maliciosos no dispositivo.

Spear Phishing: Ataque direcionado a uma pessoa ou organização específica. Criminosos coletam informações públicas da vítima (redes sociais, violações de dados) para criar mensagens altamente personalizadas e convincentes, com maior taxa de sucesso.

Whaling: Variação que persegue "baleias" — executivos de alto escalão como CEOs e CFOs. Esses ataques são mais sofisticados e podem comprometer sistemas inteiros de empresas quando bem-sucedidos.

Pharming: Técnica que manipula o tráfego de um site específico. Os atacantes redirecionam usuários para páginas falsas idênticas às originais, onde todas as informações declaradas são apropriadas pelos criminosos.

Para entender melhor o universo dos golpes digitais, confira também alguns golpes virtuais bizarros registrados ao redor do mundo.

Como identificar uma tentativa de phishing

Especialistas em segurança digital apontam sinais de alerta que ajudam a detectar mensagens fraudulentas:

Remetente suspeito: Verifique o endereço completo do e-mail. Golpistas criam endereços semelhantes aos oficiais, com alterações sutis como "[email protected]" (com dois M) ou domínios públicos como "@gmail.com" e "@hotmail.com" no lugar de "@empresa.com.br".

Urgência e ameaças: Mensagens que criam falsa sensação de urgência — "sua conta será bloqueada em 24 horas", "atualize seus dados imediatamente" — são táticas clássicas de phishing para que você não pense antes de agir.

Solicitação de dados confidenciais: Empresas legítimas nunca pedem senhas, CPF, números de cartão de crédito ou dados bancários por e-mail, SMS ou telefone. Qualquer solicitação desse tipo é sinal vermelho.

Links suspeitos: Antes de clicar, passe o cursor sobre o link para verificar o endereço real na parte inferior da tela. Se o destino não corresponder ao texto exibido ou parecer estranho, não clique.

Erros de português: Mensagens com erros gramaticais, ortográficos ou formatação desleixada geralmente indicam fraude. Empresas profissionais revisam suas comunicações.

Saudações genéricas: E-mails que começam com "Prezado cliente" ou "Caro usuário" são suspeitos. Organizações que trabalham com você conhecem seu nome e personalizam mensagens.

Anexos inesperados: Nunca abra arquivos anexados de remetentes desconhecidos ou não solicitados, especialmente formatos executáveis (.exe, .zip, .rar). Eles podem conter malware.

Protocolos de proteção essenciais

Fábio Marenghi, investigador líder de segurança na internet da Kaspersky, reforça medidas preventivas. "Uma das principais formas de manter seus dispositivos seguros é aplicar as atualizações de seus sistemas operacionais e dos aplicativos, conforme orientação dos fabricantes", afirmou.

Especialistas recomendam também:

  • Ativar autenticação em dois fatores em todas as contas possíveis
  • Instalar e manter atualizado um antivírus confiável
  • Verificar a autenticidade de mensagens por canais oficiais conhecidos
  • Desconfiar de ofertas exageradas ou promoções "boas demais para ser verdade"
  • Nunca clicar em links de mensagens não solicitadas
  • Conferir se o site começa com "HTTPS" (o "S" indica "seguro")
  • Estabelecer protocolos de verificação antes de transferências financeiras

A proteção começa com senhas fortes e práticas seguras de armazenamento de dados pessoais.

O que fazer se você cair em um golpe

Caso tenha clicado em um link suspeito ou fornecido informações pessoais, tome medidas imediatas:

  • Desconecte o dispositivo da internet para evitar mais danos
  • Execute uma verificação completa de vírus no sistema
  • Altere todas as senhas de contas importantes (e-mail, bancos, redes sociais)
  • Entre em contato com seu banco imediatamente se forneceu dados financeiros
  • Registre um boletim de ocorrência na delegacia ou site da Polícia Civil
  • Monitore seu CPF por meio de serviços de proteção ao crédito
  • Alerte contatos próximos para que não sejam enganados com mensagens falsas

A ADDP recomenda ainda a criação de protocolos domésticos e corporativos de verificação, como a regra das "duas confirmações e dez segundos" — sempre que receber solicitação de informações sensíveis ou transferências, confirme por dois canais diferentes e aguarde dez segundos antes de agir.

Cenário exige educação digital urgente

Com 700 milhões de tentativas de ataques cibernéticos anuais — equivalente a 1.379 ataques por minuto — o Brasil ocupa o segundo lugar no ranking global de países mais atacados. As perdas financeiras associadas aos golpes variam entre R$ 10 bilhões e R$ 112 bilhões em 2024, valores que devem ser ainda maiores em 2025 devido à subnotificação.

Grande parte das vítimas não registra boletim de ocorrência, seja por vergonha, desconhecimento ou sensação de impunidade. Essa subnotificação distorce os números reais e enfraquece as políticas públicas de prevenção.

No ambiente corporativo, um único clique indevido pode comprometer sistemas inteiros, facilitando a entrada de malwares, espionagem industrial e extorsões digitais. O custo médio de uma violação de dados no Brasil ultrapassa R$ 6 milhões em 2025, incluindo multas, recuperação de sistemas, paralisação de atividades e perdas de contratos.

Diante desse cenário, especialistas são unânimes: o combate ao phishing exige uma abordagem preventiva e colaborativa, envolvendo o setor público, privado e a sociedade civil. A educação digital contínua, tanto em empresas quanto entre usuários comuns, é a principal defesa contra um problema que cresce exponencialmente com a evolução tecnológica.

Comentários (0) Postar um Comentário

Nenhum comentário encontrado. Seja o primeiro!

Oi, Bem-vindo!

Acesse agora, navegue e crie sua listas de favoritos.

Entrar com facebook Criar uma conta gratuita 
Já tem uma conta? Acesse agora:
Esqueceu a senha?