Pular para o conteúdo principal

Como Se Proteger de Ataques de Phishing

O phishing continua sendo a principal forma de roubo de contas. Aprenda como funciona o phishing moderno, os sinais de alerta a observar e defesas práticas que realmente impedem ataques.

2026-04-14

TL;DR

  • O phishing é a principal causa de comprometimento de contas — atacantes enganam você para fornecer credenciais em um site falso.
  • Kits de phishing modernos clonam páginas de login perfeitamente e fazem proxy dos seus códigos 2FA em tempo real.
  • Chaves de segurança de hardware (YubiKey, FIDO2) são a única defesa que é à prova de phishing por design.
  • Gerenciadores de senha protegem você ao recusar o preenchimento automático no domínio errado.
  • Verifique o domínio exato antes de digitar credenciais, e nunca faça login através de um link em e-mail.

O que é phishing?

Phishing é um ataque de engenharia social onde um atacante cria uma cópia convincente de um site legítimo — frequentemente perfeita pixel por pixel — e engana uma vítima para inserir credenciais lá. No momento em que a vítima envia o formulário, o atacante captura o nome de usuário, senha e qualquer segundo fator, então os usa para assumir o controle da conta real em segundos.

A palavra vem da metáfora de "pescar" vítimas com isca (geralmente um e-mail). A ortografia mudou para enfatizar que atacantes frequentemente usam números de telefone (phishing por SMS, ou "smishing") e infraestrutura de aparência profissional.

Por que o phishing ainda é a ameaça #1

A maioria das violações de contas em grande escala hoje não envolvem hackear, quebrar senhas ou contornar criptografia. Elas envolvem um humano digitando uma senha em um site falso. O phishing é:

  • Barato — um atacante pode enviar milhões de e-mails pelo custo de um VPS e um domínio falsificado
  • Difícil de filtrar — kits modernos rotacionam domínios, usam hospedagem legítima e se adaptam a filtros em tempo real
  • Efetivo — mesmo usuários conscientes da segurança caem em tentativas direcionadas bem elaboradas (spear phishing)
  • Escalável — um único phishing bem-sucedido frequentemente resulta em acesso a dezenas de serviços conectados através do reúso de senhas

O Relatório de Investigações de Violação de Dados da Verizon de 2024 descobriu que phishing foi o vetor de acesso inicial em mais de 36% de todas as violações — mais do que qualquer outra causa única.

Como funciona o phishing moderno

O phishing evoluiu muito além dos e-mails de "príncipe nigeriano" dos anos 2000. Um ataque de phishing moderno tipicamente inclui:

1. Uma isca convincente

Geralmente um e-mail, texto ou mensagem de chat criando urgência ("Sua conta será suspensa"), autoridade ("Equipe de segurança da Microsoft"), ou curiosidade ("Alguém marcou você em uma foto"). O spear-phishing leva isso adiante com detalhes pessoais extraídos do LinkedIn, vazamentos de dados ou correspondência anterior.

2. Um site falso perfeito pixel por pixel

Atacantes usam kits de phishing prontos que clonam o HTML, CSS e JavaScript do site alvo. Muitos kits são vendidos como serviço (phishing-as-a-service), com painéis funcionais e suporte ao cliente.

3. Um proxy em tempo real para 2FA

A parte perigosa: kits modernos não apenas capturam sua senha. Eles agem como um proxy man-in-the-middle que encaminha tudo que você digita — incluindo seu código TOTP — para o site real em segundos, contornando a maioria das 2FA. Esta técnica é chamada adversary-in-the-middle (AiTM) e é usada em ferramentas como Evilginx2 e Modlishka.

4. Roubo de token de sessão

Uma vez que você se autentica através do proxy, o atacante captura seu cookie de sessão e pode usá-lo para permanecer logado mesmo depois que você mudar sua senha. É por isso que a resposta ao phishing sempre inclui revogar sessões ativas, não apenas rotação de senha.

O que realmente impede o phishing

Chaves de segurança de hardware (FIDO2 / WebAuthn)

Esta é a única categoria de defesa que é à prova de phishing por design. Quando você faz login com uma chave FIDO2, sua chave verifica criptograficamente o domínio exato do site solicitando autenticação. Um site falso — não importa quão visualmente perfeito — tem um domínio diferente, então a chave se recusa a responder. O handshake criptográfico simplesmente não se completa.

O Google famosamente mandatou YubiKeys para todos os mais de 85.000 funcionários em 2017 e relatou zero ataques de phishing bem-sucedidos em contas da empresa nos anos seguintes.

Passkeys

Passkeys são a evolução amigável ao consumidor do FIDO2. Eles usam a mesma criptografia vinculada ao domínio e estão integrados no iOS, Android, macOS e Windows. Se um site que você usa suporta passkeys, ativar uma torna essa conta à prova de phishing.

Gerenciadores de senha

Um gerenciador de senhas é sua segunda linha de defesa porque só preenche automaticamente credenciais no domínio exato onde foram salvas. Se você chegar em paypaI.com (I maiúsculo) em vez de paypal.com, seu gerenciador silenciosamente se recusa a preencher o formulário. Essa recusa é um aviso alto de que algo está errado.

Filtragem de e-mail e DNS

Provedores de e-mail usam DMARC, SPF e DKIM para detectar endereços de remetente falsificados. A maioria dos provedores modernos captura as tentativas óbvias, mas ataques direcionados ainda passam. Ative botões de "reportar phishing" no seu cliente de e-mail para ajudar os filtros a melhorarem.

Sinais de alerta a observar

Quando você receber uma mensagem pedindo para fazer login, verificar ou agir urgentemente:

  • Urgência e ameaças — "Sua conta será fechada em 24 horas"
  • Saudações genéricas — "Caro cliente" em vez do seu nome
  • Domínios semelhantespaypaI.com, app1e.com, secure-microsoft-login.net
  • Anexos inesperados — especialmente arquivos .zip, .html ou .pdf pedindo para fazer login para visualizá-los
  • Erros de gramática ou formatação — grandes empresas revisam seus e-mails
  • Link incompatível — passe o mouse sobre o link e verifique se o destino corresponde ao texto

Se algo parecer suspeito, feche o e-mail. Navegue para o site manualmente. Se houver um problema real, você o verá quando fizer login através do seu fluxo normal.

O que fazer se você caiu em um

Aja rapidamente — velocidade importa porque atacantes começam a usar credenciais em minutos.

  1. Mude a senha imediatamente em um dispositivo diferente (seu telefone, por exemplo, se caiu nele no laptop)
  2. Revogue todas as sessões ativas nas configurações da conta — isso expulsa qualquer um usando tokens de sessão roubados
  3. Ative 2FA se ainda não estava ativada, e use uma chave de hardware ou passkey se possível
  4. Verifique por atividade não autorizada — e-mails enviados, logins recentes, mudanças de cobrança, novas regras de encaminhamento
  5. Notifique a instituição afetada se for uma conta financeira ou de trabalho
  6. Verifique outras contas que usavam a mesma senha — mesmo se você tem certeza de que não reutiliza senhas, verifique

A conclusão

O phishing prospera porque contorna a tecnologia e tem como alvo humanos. As melhores defesas misturam três camadas: gerenciadores de senha (recusam preencher automaticamente em domínios errados), 2FA resistente a phishing (chaves de hardware ou passkeys que se vinculam ao domínio real), e ceticismo saudável (nunca fazer login através de um link de e-mail).

Ative todos os três na sua conta mais importante — seu e-mail — primeiro. A partir daí, o resto da sua vida digital fica significativamente mais segura.

Como Se Proteger do Phishing

Uma lista prática e ordenada para fortalecer suas contas contra ataques de phishing.

  1. Use um gerenciador de senhas:Instale um gerenciador de senhas respeitável (1Password, Bitwarden, Proton Pass) e deixe-o preencher automaticamente as credenciais. Ele se recusará a preencher em domínios semelhantes, fornecendo um detector de phishing integrado.
  2. Ative 2FA resistente a phishing:Adicione uma chave de hardware FIDO2 (YubiKey, Google Titan) ou passkey às suas contas mais importantes — e-mail primeiro, depois banco, armazenamento em nuvem e gerenciador de senhas. Estes são os únicos métodos de 2FA que realmente param o phishing moderno.
  3. Nunca faça login através de links de e-mail:Quando receber um e-mail pedindo para fazer login, feche o e-mail e navegue para o site manualmente através de um favorito ou digitando a URL. O link no e-mail pode ser um clone perfeito; o favorito no seu navegador não é.
  4. Verifique o domínio exato antes de digitar:Antes de inserir qualquer senha, olhe para a URL completa na barra de endereços. Procure por https, a ortografia correta, e nenhum subdomínio extra como paypal.com.secure-login.net.
  5. Reporte e siga em frente:Reporte a tentativa de phishing ao seu provedor de e-mail (a maioria tem um botão "Reportar phishing"). Então continue com seu dia — phishing só é perigoso se você cair nele, e a conscientização é a maior parte da batalha.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email