O que é phishing e como se proteger

O phishing é um dos ciberataques mais antigos e eficazes — e está a ficar cada vez mais sofisticado. Funciona enganando-o para que entregue as suas credenciais de início de sessão, informações pessoais ou dados financeiros através de mensagens falsas que parecem legítimas.

Desde e-mails falsos a fingir ser o banco até mensagens SMS a afirmar que a encomenda está retida, o phishing assume muitas formas. Saber reconhecê-lo é a sua melhor defesa contra tomadas de conta e roubo de dados.

O que é o phishing?

O phishing é um tipo de ataque de engenharia social em que um criminoso se faz passar por uma entidade de confiança — como um banco, plataforma de redes sociais ou agência governamental — para o enganar a revelar informações sensíveis.

O termo "phishing" vem de "fishing" (pesca) — o atacante lança um isco (uma mensagem falsa) e espera que alguém morda. Ao contrário do hacking técnico, o phishing não explora vulnerabilidades de software. Explora a confiança humana e a urgência.

Um ataque de phishing típico funciona assim:

  • Recebe uma mensagem que parece oficial (e-mail, SMS ou mensagem direta)
  • A mensagem cria urgência: "A sua conta será suspensa", "Início de sessão suspeito detetado", "Confirme a sua identidade agora"
  • Clica num link que leva a uma página de início de sessão falsa idêntica à real
  • Introduz as credenciais — que vão diretamente para o atacante

O phishing é a principal causa de comprometimentos de conta em plataformas como o Facebook, fornecedores de e-mail e serviços bancários.

Métodos comuns de phishing

O phishing evoluiu muito para além dos óbvios e-mails de fraude. Eis as formas mais comuns que vai encontrar:

Phishing por e-mail

  • A forma clássica — e-mails falsos a fazer-se passar por bancos, plataformas ou serviços
  • Frequentemente inclui linguagem urgente e um link para uma página de início de sessão falsificada
  • O endereço do remetente pode parecer semelhante ao real mas com diferenças subtis

Phishing por SMS (smishing)

  • Mensagens de texto a afirmar ser de serviços de entrega, bancos ou agências governamentais
  • Frequentemente contêm URLs encurtados que ocultam o verdadeiro destino
  • Cada vez mais comum e mais difícil de filtrar do que o e-mail

Phishing em redes sociais

  • Mensagens diretas de contas comprometidas de amigos a pedir para "ver isto" ou "votar em mim"
  • Avisos falsos de direitos de autor ou verificação no Instagram e Facebook
  • Fraudes em comentários com links para sorteios falsos ou páginas de início de sessão

Phishing por voz (vishing)

  • Chamadas telefónicas a fazer-se passar por suporte técnico, banco ou autoridades
  • O chamador cria urgência e pede para fornecer detalhes de conta ou instalar software

O denominador comum: todas as formas de phishing exploram a confiança e criam um falso senso de urgência para que aja antes de pensar.

Como reconhecer uma mensagem ou página de phishing

Identificar o phishing fica mais fácil quando sabe o que procurar. Estes são os sinais de aviso mais fiáveis:

  • Urgência e ameaças — "Aja agora ou a sua conta será eliminada." Os serviços legítimos raramente ameaçam com consequências imediatas numa única mensagem.
  • Endereço do remetente suspeito — veja com atenção. "support@faceb00k-security.com" não é o Facebook. Verifique o domínio real do e-mail, não apenas o nome de exibição.
  • Saudações genéricas — "Caro utilizador" ou "Caro cliente" em vez do seu nome real pode indicar uma campanha de phishing em massa.
  • URLs que não correspondem — passe o cursor sobre os links (sem clicar) para ver o destino real. Se o texto do link diz "instagram.com" mas o URL aponta para outro lugar, é phishing.
  • Gramática ou formatação deficiente — embora o phishing tenha melhorado, muitas tentativas ainda contêm erros ortográficos, formatação estranha ou marca inconsistente.
  • Anexos inesperados — as plataformas legítimas quase nunca enviam anexos. Se receber um inesperadamente, não o abra.
  • Pedidos de credenciais via mensagem — nenhum serviço legítimo pedirá a password, PIN ou código de verificação através de e-mail ou chat.

Em caso de dúvida, não clique no link. Em vez disso, abra uma nova janela do navegador e vá diretamente ao site do serviço escrevendo o endereço por si próprio.

O que fazer se clicou num link de phishing

Se perceber que clicou num link de phishing ou introduziu credenciais numa página falsa, não entre em pânico — mas aja imediatamente:

  • Altere a password imediatamente — vá diretamente ao site real (escreva o URL) e altere a password para algo completamente novo.
  • Ative o 2FA imediatamente — se ainda não o fez, ative a autenticação de dois fatores na conta afetada e no e-mail.
  • Verifique acessos não autorizados — reveja sessões ativas e atividade recente. Termine a sessão em dispositivos que não reconhece.
  • Proteja o e-mail — se introduziu credenciais de e-mail numa página de phishing, a sua conta de e-mail é agora a prioridade. Um e-mail comprometido dá aos atacantes acesso a tudo.
  • Verifique as regras de reencaminhamento — os atacantes frequentemente configuram reencaminhamento de e-mail para receber silenciosamente cópias das mensagens.
  • Monitorize as contas — fique atento a atividades suspeitas nos dias e semanas seguintes, incluindo em contas que usam a mesma password.
  • Reporte a página de phishing — a maioria dos navegadores e fornecedores de e-mail tem opções para reportar phishing. Isto ajuda a proteger outras pessoas.

Se introduziu informações financeiras, contacte o banco imediatamente para congelar ou monitorizar os cartões ou contas afetados.

Como se proteger do phishing

A melhor proteção contra o phishing é uma combinação de consciencialização e práticas básicas de segurança:

  • Ative o 2FA em todas as contas importantes — mesmo que um atacante obtenha a password através de phishing, a autenticação de dois fatores bloqueia-o de iniciar sessão.
  • Use passwords únicas — nunca reutilize passwords entre serviços. Um gestor de passwords torna isto prático.
  • Verifique antes de clicar — quando receber uma mensagem sobre problemas de conta, vá diretamente ao site em vez de clicar no link da mensagem.
  • Mantenha o software atualizado — os navegadores e clientes de e-mail atualizam regularmente a deteção de phishing. Mantenha-os atuais.
  • Seja cético perante a urgência — as empresas legítimas dão-lhe tempo para agir. Se uma mensagem exige ação imediata, isso é um sinal de alerta.
  • Eduque-se a si próprio e a outros — quanto mais familiarizado estiver com as táticas de phishing, mais fácil as reconhece. Partilhe este conhecimento com família e amigos.

Nenhuma medida é perfeita, mas combinar estas práticas torna-o um alvo dramaticamente mais difícil. Para uma abordagem de segurança completa, consulte o nosso guia de proteção das suas contas.

Preocupado que a sua conta tenha sido comprometida através de phishing?

Se introduziu credenciais numa página de phishing e perdeu o acesso à conta, a RelyShield pode ajudar a recuperá-la e proteger tudo adequadamente.

Obter ajuda Consulta

Perguntas frequentes

Qual é a diferença entre phishing por e-mail e por SMS?
O método é diferente mas o objetivo é o mesmo. O phishing por e-mail usa e-mails falsos, enquanto o phishing por SMS (smishing) usa mensagens de texto. Ambos tentam enganá-lo para clicar num link malicioso ou partilhar informações sensíveis. O phishing por SMS é mais difícil de filtrar e frequentemente parece mais pessoal.
O software antivírus protege contra phishing?
Parcialmente. As boas funcionalidades de antivírus e segurança do navegador podem sinalizar sites de phishing conhecidos, mas não conseguem apanhar todos os novos. O phishing explora em última análise o julgamento humano, pelo que a consciencialização é a melhor defesa juntamente com as ferramentas técnicas.
O que fazer se introduzi a password numa página de phishing?
Altere a password imediatamente no site real, ative a autenticação de dois fatores, verifique atividade não autorizada e proteja o e-mail se usou as mesmas credenciais lá. Se foram introduzidos dados financeiros, contacte o banco imediatamente.
Posso reportar uma página de phishing?
Sim. Pode reportar páginas de phishing ao Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish), ao fornecedor de e-mail e à empresa que está a ser imitada. A maioria dos navegadores também tem uma opção integrada "Reportar phishing" ou "Reportar site enganoso" no menu.