Phishing e links falsos: como reconhecer, evitar e reagir

Tempo de leitura: 8 minutos

Phishing é um tipo de fraude digital em que criminosos se passam por pessoas, empresas ou instituições confiáveis para induzir a vítima a clicar em links falsos, abrir anexos maliciosos ou fornecer senhas, códigos, dados bancários e documentos. É uma forma de “predação social” aplicada ao mundo digital: o ataque costuma ser simples, mas psicologicamente bem construído.

O ponto central do phishing não é tecnologia—é comportamento humano sob pressão: urgência, medo, promessa de vantagem, vergonha, confusão, “autoridade” (banco, governo, chefe) e “prova social” (muita gente caiu, logo parece real).

1) Como o phishing chega até você (e por que funciona)

Os canais mais comuns:

  • 📩 E-mail: “Sua conta será bloqueada”, “nota fiscal”, “reembolso”, “fatura atrasada”.
  • 📱 WhatsApp/SMS: “Compra aprovada”, “entrega retida”, “PIX agendado”, “confirmação de cadastro”.
  • 📲 Redes sociais: perfis clonados pedindo dinheiro, links “imperdíveis”, “vagas de emprego”.
  • ☎️ Ligações: o golpista liga e manda “confirmar” algo em um link que ele envia na hora.
  • 🧾 QR Codes e boletos: QR Code colado por cima do original, boleto adulterado, link de pagamento falso.

Por que funciona tão bem?

  • Urgência: “última chance”, “bloqueio em 30 minutos”.
  • Autoridade: “Setor antifraude”, “suporte do banco”, “cartório”, “Receita”.
  • Escassez/benefício: “voucher”, “prêmio”, “reembolso”.
  • Medo e vergonha: “conteúdo ilegal”, “processo”, “vazamento”.
  • Sobrecarga: texto longo, termos técnicos, atendimento “rápido”.

2) Links falsos: o que o criminoso manipula

Um link falso pode parecer perfeito em uma tela pequena. Os golpes mais comuns envolvem:

2.1 Domínios “parecidos” (typosquatting)

Trocas sutis para enganar:

  • banco-seguro[.]com em vez de bancoseguro[.]com
  • go0v[.]br (com zero) em vez de gov[.]br
  • itau-verificacao[.]com (não é o domínio oficial do banco)

Regra prática: o que manda é o domínio real, não o texto da mensagem.

2.2 Subdomínios enganosos (o truque do “.com” no meio)

Exemplo:

  • banco.com.seguranca-login[.]net
    Parece ter “banco.com”, mas o domínio de verdade é seguranca-login[.]net.

2.3 Encurtadores e redirecionamentos

Links curtos ocultam o destino final. Em golpes, isso é usado para:

  • passar por filtros,
  • dificultar a verificação,
  • redirecionar várias vezes até a página falsa.

2.4 Cadeado/HTTPS não é “selo de honestidade”

O cadeado só significa conexão criptografada. Site falso também pode ter HTTPS.
O que valida é: domínio correto + contexto + ação que estão pedindo.

2.5 Páginas “idênticas” (clone visual)

O criminoso copia o layout do banco/loja/governo e coloca:

  • campo para senha,
  • “código SMS” (para capturar o token),
  • “selfie/documento” (para golpes de identidade),
  • “atualização cadastral” (para roubar dados).

3) Exemplos práticos (situações do dia a dia)

A seguir, padrões reais (os textos variam, mas o mecanismo é esse):

Exemplo A — “Compra aprovada, clique para cancelar”

Você recebe SMS/WhatsApp:

“Compra de R$ 2.899 aprovada. Se não reconhece, cancele aqui: [link]”

Armadilha: você clica no link e “confirma” dados, senha ou código de autenticação—e isso autoriza transações de verdade.

Conduta segura:
1) Não clique.
2) Abra o app oficial do banco (ou digite o site manualmente).
3) Verifique notificações por lá.
4) Se necessário, contate o banco por canais oficiais.

Exemplo B — “Entrega retida / taxa para liberar”

Mensagem:

“Sua encomenda está retida. Pague a taxa para liberar: [link]”

Armadilha: página de pagamento falsa (PIX/Cartão). Às vezes o valor é baixo para reduzir suspeita.

Conduta segura:

  • Verifique a entrega no app/site oficial da transportadora/loja.
  • Desconfie de “taxa aleatória” fora do canal onde você comprou.
  • Se pedirem PIX “em nome de pessoa física” ou descrição genérica, o risco sobe muito.

Exemplo C — “Clonagem de WhatsApp” (código de 6 dígitos)

O golpista pede para você “confirmar” um código que chegou por SMS.

Armadilha: esse código é para logar sua conta em outro aparelho.

Conduta segura:

  • Código de verificação nunca se compartilha, nem com “suporte”, nem com familiar.
  • Ative verificação em duas etapas no WhatsApp e defina um PIN.

Exemplo D — “Vaga de emprego / curso / benefício”

Formulário pedindo RG/CPF, foto do documento, selfie, comprovante de residência.

Armadilha: coleta de dados para fraude de identidade, abertura de contas, golpes financeiros e chantagens.

Conduta segura:

  • Pesquise a empresa/instituição fora do link.
  • Confirme por canais oficiais.
  • Desconfie de pressa, “taxa para entrevista” e excesso de dados.

4) Checklist anti-phishing (prático e rápido)

4.1 Antes de clicar: a triagem de 10 segundos

  • 🧠 Contexto: eu esperava essa mensagem? Faz sentido agora?
  • ⏱️ Pressa: estão me empurrando para agir “já”? (sinal de alerta)
  • 🔗 Link: consigo identificar o domínio real? Ele é o oficial?
  • 🔐 Pedido: estão pedindo senha, código, selfie, dados bancários? (quase sempre golpe)
  • 📞 Canal: por que o “banco” está falando por WhatsApp/SMS com link? (muito suspeito)

4.2 Como verificar um link sem cair

  • Digite você mesmo o endereço no navegador (em vez de clicar).
  • Use aplicativos oficiais (banco, loja, governo).
  • Se tiver dúvida, confirme por telefone/site oficial (achado por você, não pelo link).

4.3 Higiene digital que evita estrago quando algo passa

  • MFA/2FA (preferencialmente por app autenticador) nas contas principais.
  • Senhas únicas + gerenciador de senhas.
  • Atualizações automáticas (celular, navegador, apps).
  • Antivírus/antimalware confiável (especialmente em PC).
  • Bloqueio de tela forte e biometria.
  • Em família: combine uma palavra-código para pedidos de dinheiro/urgência (“golpes de parente”).

5) Orientações especiais para mulheres, idosos e responsáveis por crianças

Mulheres (inclui riscos de perseguição/violência doméstica)

  • Se houver risco de monitoramento, o agressor pode usar phishing para obter acesso a e-mail/WhatsApp/localização.
  • Priorize:
    • troca de senhas em aparelho confiável,
    • revisar sessões ativas (Gmail/Meta/Microsoft),
    • ativar 2FA,
    • checar se há apps “de controle” instalados.
  • Em ameaça imediata, priorize segurança física e apoio local (no Brasil, 190 emergência; 180 orientação e denúncia de violência contra a mulher).

Idosos (alvo preferencial de engenharia social)

  • Golpistas exploram respeito à autoridade e medo de “bloqueio”.
  • Estratégia de proteção:
    • Regra simples: “banco não pede senha/código por mensagem”.
    • Deixe um atalho na tela: “abrir app do banco” e ignore links.
    • Combine um “protocolo”: qualquer pedido de dinheiro/PIX só após confirmar com familiar por ligação.

Crianças e adolescentes

  • Ensine o básico: link pode ser armadilha, “skin grátis”, “robux”, “diamante”, “v-bucks”, etc.
  • Ative controles:
    • permissões de instalação,
    • compras no app,
    • autenticação em contas (Google/Apple),
    • conversa franca sobre golpes e chantagens online.

6) Se você clicou ou caiu: o que fazer (plano de resposta)

A ordem abaixo reduz danos:

6.1 Se você apenas clicou (sem preencher nada)

  • Feche a aba.
  • Rode uma verificação de segurança (antimalware/antivírus).
  • Observe comportamento estranho (pop-ups, apps desconhecidos).

6.2 Se você digitou senha/dados ou enviou código

  • Troque a senha imediatamente (comece pelo e-mail, que “reseta” outras contas).
  • Ative/reative 2FA.
  • Encerre sessões ativas (Google/Microsoft/Meta e apps sensíveis).
  • Revise:
    • regras de encaminhamento no e-mail (golpistas criam para espionar),
    • dispositivos conectados,
    • números de recuperação.

6.3 Se envolveu banco, cartão ou PIX

  • Contate o banco pelo app/telefone oficial e peça:
    • bloqueio de cartão/conta (se necessário),
    • contestação de transações,
    • registro formal do incidente.
  • Troque senhas e revise chaves PIX/limites.
  • Guarde evidências: prints, horários, números, URLs, e-mails.

6.4 Se houve fraude de identidade (documentos/selfie)

  • Registre ocorrência e acompanhe movimentações financeiras/abertura de contas.
  • Monitore e conteste rapidamente qualquer conta/linha aberta indevidamente.

6.5 Denuncie (ajuda você e reduz novas vítimas)

  • Encaminhe evidências aos canais de reporte (abaixo).
  • Em e-mails, preserve cabeçalhos quando possível (muitos provedores têm opção “mostrar original”).

7) Mentalidade de sobrevivência digital (o antídoto)

Na rua, você evita becos escuros e situações de risco. No digital é parecido: o phishing é o “beco escuro” que chega até você por mensagem.

Mantras práticos:

  • “Se me apressa, eu desacelero.”
  • “Se pediu código/senha, é golpe até prova em contrário.”
  • “Eu não clico: eu verifico pelo canal oficial.”
  • “Se a oferta é boa demais, o preço sou eu.”

Links úteis (Brasil) — materiais e orientação sobre phishing/fraudes online