Pular para o conteúdo principal

Como Se Proteger de Ataques de Phishing

O phishing é a principal causa de roubo de contas. Como funciona o phishing moderno, sinais de alerta e defesas que realmente bloqueiam ataques.

Última atualização: 14 de abril de 2026

Resumo

  • O phishing é a principal causa de roubo de contas — os atacantes enganam você para que forneça credenciais em um site falso.
  • Os kits modernos de phishing clonam páginas de login com perfeição pixel a pixel e interceptam os seus códigos 2FA em tempo real.
  • As chaves de segurança por hardware (YubiKey, FIDO2) são a única defesa resistente a phishing por design.
  • Os gestores de senhas protegem você ao recusar o preenchimento automático em domínios incorretos.
  • Verifique o domínio exato antes de digitar as credenciais e nunca faça login a partir de um link recebido por e-mail.

O que é phishing?

O phishing é um ataque de engenharia social no qual um atacante cria uma cópia convincente de um site legítimo — muitas vezes com perfeição pixel a pixel — e engana a vítima para que introduza as suas credenciais nesse site. No momento em que a vítima submete o formulário, o atacante captura o nome de usuário, a senha e qualquer segundo fator, usando-os para tomar conta do perfil real em questão de segundos.

A palavra deriva da metáfora de "pescar" vítimas com isco (normalmente um e-mail). A grafia foi alterada para realçar que os atacantes utilizam frequentemente números de phone (phishing por SMS, ou "smishing") e infraestruturas com aparência profissional.

Por que o phishing continua a ser a principal ameaça

A maioria das violações de contas em grande escala hoje em dia não envolve hacking, quebra de senhas ou contorno de encriptação. Envolve um ser humano a digitar uma senha num site falso. O phishing é:

  • Barato — um atacante pode enviar milhões de e-mails pelo custo de um VPS e de um domínio falsificado
  • Difícil de filtrar — os kits modernos rotacionam domínios, utilizam alojamento legítimo e adaptam-se aos filtros em tempo real
  • Eficaz — mesmo usuários com consciência de segurança caem em tentativas direcionadas bem elaboradas (spear phishing)
  • Escalável — um único phishing bem-sucedido frequentemente concede acesso a dezenas de serviços ligados através da reutilização de senhas

O Relatório de Investigações de Violação de Dados da Verizon de 2024 concluiu que o phishing foi o vetor de acesso inicial em mais de 36% de todas as violações — mais do que qualquer outra causa isolada.

Como funciona o phishing moderno

O phishing evoluiu muito além dos e-mails do "príncipe nigeriano" dos anos 2000. Um ataque de phishing moderno inclui tipicamente:

1. Um isco convincente

Normalmente um e-mail, mensagem de texto ou mensagem de chat que cria urgência ("A sua conta será suspensa"), autoridade ("Equipa de segurança da Microsoft") ou curiosidade ("Alguém marcou-o numa foto"). O spear-phishing vai mais longe com detalhes pessoais retirados do LinkedIn, bases de dados de violações ou correspondência anterior.

2. Um site falso com perfeição pixel a pixel

Os atacantes utilizam kits de phishing prontos a usar que clonam o HTML, CSS e JavaScript do site-alvo. Muitos kits são vendidos como serviço (phishing-as-a-service), com dashboards funcionais e apoio ao cliente.

3. Um proxy em tempo real para o 2FA

A parte perigosa: os kits modernos não se limitam a capturar a sua senha. Atuam como um proxy man-in-the-middle que encaminha tudo o que você digita — incluindo o seu código TOTP — para o site real em questão de segundos, contornando a maioria dos métodos de 2FA. Esta técnica chama-se adversary-in-the-middle (AiTM) e é utilizada em ferramentas como o Evilginx2 e o Modlishka.

4. Roubo de token de sessão

Após autenticar através do proxy, o atacante captura o seu cookie de sessão e pode utilizá-lo para permanecer autenticado mesmo depois de mudar a sua senha. É por isso que a resposta ao phishing inclui sempre a revogação de sessões ativas, e não apenas a rotação da senha.

O que realmente detém o phishing

Chaves de segurança por hardware (FIDO2 / WebAuthn)

Esta é a única categoria de defesa que é resistente a phishing por design. Quando inicia sessão com uma chave FIDO2, a chave verifica criptograficamente o domínio exato do site que solicita a autenticação. Um site falso — por mais visualmente perfeito que seja — tem um domínio diferente, pelo que a chave recusa responder. O aperto de mão criptográfico simplesmente não é concluído.

A Google ficou famosa por ter tornado obrigatório o uso de YubiKeys para todos os mais de 85.000 funcionários em 2017 e relatou zero ataques de phishing bem-sucedidos nas contas da empresa nos anos seguintes.

Passkeys

As passkeys são a evolução orientada ao consumidor do FIDO2. Utilizam a mesma criptografia vinculada ao domínio e estão integradas no iOS, Android, macOS e Windows. Se um site que utiliza suporta passkeys, ativá-las torna essa conta resistente a phishing.

Gestores de senhas

Um gestor de senhas é a sua segunda linha de defesa, pois só preenche automaticamente as credenciais no domínio exato onde foram guardadas. Se aterrar em paypaI.com (com "I" maiúsculo) em vez de paypal.com, o seu gestor recusa silenciosamente preencher o formulário. Essa recusa é um aviso claro de que algo está errado.

Filtragem de e-mail e DNS

Os fornecedores de e-mail utilizam DMARC, SPF e DKIM para detetar endereços de remetentes falsificados. A maioria dos fornecedores modernos interceta as tentativas mais óbvias, mas os ataques direcionados ainda passam. Ative os botões de "Denunciar phishing" no seu cliente de e-mail para ajudar a melhorar os filtros.

Sinais de alerta a ter em conta

Quando receber uma mensagem a pedir-lhe que inicie sessão, verifique algo ou aja com urgência:

  • Urgência e ameaças — "A sua conta será encerrada em 24 horas"
  • Saudações genéricas — "Prezado cliente" em vez do seu nome
  • Domínios semelhantespaypaI.com, app1e.com, secure-microsoft-login.net
  • Anexos inesperados — especialmente arquivos .zip, .html ou .pdf que pedem início de sessão para visualizar
  • Erros gramaticais ou de formatação — as grandes empresas reveem os seus e-mails
  • Discrepância no link — passe o cursor sobre o link e verifique se o destino corresponde ao texto

Se algo não parecer certo, feche o e-mail. Navegue até ao site manualmente. Se existir um problema real, irá vê-lo quando iniciar sessão através do seu fluxo de trabalho habitual.

O que fazer se foi vítima de phishing

Aja rapidamente — a velocidade é importante porque os atacantes começam a usar as credenciais em minutos.

  1. Mude a senha imediatamente num dispositivo diferente (o seu celular, por exemplo, se caiu na armadilha no seu computador portátil)
  2. Revogue todas as sessões ativas nas definições da conta — isto encerra a sessão de qualquer pessoa que esteja a utilizar tokens de sessão roubados
  3. Ative o 2FA caso ainda não estivesse ativo, e utilize uma chave de hardware ou passkey se possível
  4. Verifique se há atividade não autorizada — e-mails enviados, logins recentes, alterações de faturação, novas regras de reencaminhamento
  5. Notifique a instituição afetada caso se trate de uma conta financeira ou profissional
  6. Verifique outras contas que utilizavam a mesma senha — mesmo que tenha a certeza de que não reutiliza senhas, verifique

Conclusão

O phishing prospera porque contorna a tecnologia e tem como alvo os seres humanos. As melhores defesas combinam três camadas: gestores de senhas (recusam o preenchimento automático em domínios errados), 2FA resistente a phishing (chaves de hardware ou passkeys vinculadas ao domínio real) e ceticismo saudável (nunca faça login a partir de um link de e-mail).

Ative as três camadas na sua conta mais importante — o seu e-mail — primeiro. A partir daí, o resto da sua vida digital ficará significativamente mais seguro.

Como Se Proteger de Phishing

Uma lista de verificação prática e ordenada para proteger as suas contas contra ataques de phishing.

  1. Use um gestor de senhas:Instale um gestor de senhas de confiança (1Password, Bitwarden, Proton Pass) e permita que ele preencha automaticamente as credenciais. Ele recusará o preenchimento automático em domínios semelhantes mas falsos, funcionando como um detetor de phishing integrado.
  2. Ative o 2FA resistente a phishing:Adicione uma chave de hardware FIDO2 (YubiKey, Google Titan) ou passkey às suas contas mais importantes — primeiro o e-mail, depois a banca, o armazenamento em nuvem e o gestor de senhas. Estes são os únicos métodos de 2FA que realmente detêm o phishing moderno.
  3. Nunca faça login a partir de links recebidos por e-mail:Quando receber um e-mail a pedir que inicie sessão, feche o e-mail e navegue até ao site manualmente através de um marcador ou digitando o URL. O link no e-mail pode ser uma cópia perfeita; o marcador no seu browser não é.
  4. Verifique o domínio exato antes de digitar:Antes de introduzir qualquer senha, observe o URL completo na barra de endereços. Procure o HTTPS, a ortografia correta e a ausência de subdomínios extra como paypal.com.secure-login.net.
  5. Denuncie e siga em frente:Denuncie a tentativa de phishing ao seu fornecedor de e-mail (a maioria tem um botão "Denunciar phishing"). Depois, continue o seu dia — o phishing só é perigoso se você cair na armadilha, e a consciencialização é a maior parte da batalha.

Perguntas Frequentes

O que é phishing em termos simples?
Phishing é quando um atacante cria um site falso idêntico a um real (o seu banco, e-mail ou login do trabalho) e engana você para que digite a sua senha nele. No momento em que você envia o formulário, o atacante captura as suas credenciais e as utiliza no site real.
O 2FA consegue deter o phishing?
O 2FA baseado em aplicativo (TOTP) e os códigos SMS NÃO detêm o phishing moderno. Os atacantes usam proxies em tempo real que encaminham o seu código para o site real em questão de segundos. Apenas as chaves de hardware FIDO2/WebAuthn e as passkeys são resistentes a phishing, pois se vinculam criptograficamente ao domínio real.
Como identifico um e-mail de phishing?
Passe o cursor sobre os links antes de clicar e verifique o destino real. Fique atento à urgência ("a sua conta será encerrada em 24 horas"), saudações genéricas ("Prezado cliente") e pequenos erros de ortografia no domínio (paypaI.com com um "I" maiúsculo em vez de "l" minúsculo). Em caso de dúvida, navegue até ao site manualmente em vez de clicar no link.
O que devo fazer se achar que fui vítima de um ataque de phishing?
Mude imediatamente a senha da conta afetada a partir de um dispositivo diferente. Revogue todas as sessões ativas nas definições da conta. Ative ou reative o 2FA, caso ainda não o tenha feito. Verifique se há atividade não autorizada na conta. Se for uma conta financeira, contacte a instituição diretamente.
Os gestores de senhas são seguros para usar contra o phishing?
Sim, e são uma das melhores defesas disponíveis. Os gestores de senhas preenchem automaticamente as credenciais com base no domínio exato. Se aterrar em paypaI.com em vez de paypal.com, o seu gestor não irá preencher automaticamente — o que é um sinal de alerta claro de que algo está errado.

Artigos relacionados

O que é 2FA?

Checklist de Privacidade Online

O que é E-mail Criptografado?