search A mídia que reinventa a empresa

Phishing: o que você precisa saber antes de responder a esse "e-mail urgente"?

Phishing: o que você precisa saber antes de responder a esse "e-mail urgente"?

Por Maëlys De Santis

Em 30 de abril de 2025

O phishing é uma das ameaças cibernéticas mais comuns. Aqui está um número para provar isso: em 2023, 1,76 bilhão de URLs fraudulentos foram enviados ao redor do mundo (fonte: Stoïk 2023 Cyber Claims Report).

Quais são as características desse tipo de ataque on-line? Como você pode se proteger? Quais são as melhores ferramentas antiphishing? Aqui está tudo o que você precisa saber para minimizar os riscos e o impacto do phishing em sua empresa.

Definição de phishing

O que é phishing?

Phishing é um ataque cibernético baseado no princípio da engenharia social. Em termos práticos, isso significa que o cerne do golpe está no erro humano (excesso de confiança, falta de vigilância etc.), e não em uma falha técnica genuína.

Em uma tentativa de phishing, um hacker usurpa a identidade de um de seus contatos confiáveis para enviar-lhe um e-mail ou uma mensagem urgente. O hacker geralmente age em nome de uma instituição (banco, empresa de entregas, parceiro, cliente etc.), mas em ataques mais direcionados ele também pode se passar por um colega ou superior.

A mensagem solicita que você "atualize" ou "confirme" seus dados após um erro técnico, atualização etc.

Na realidade, o objetivo do hacker é recuperar dados pessoais ou bancários para explorá-los.

Sequência típica de um ataque de phishing

  1. Preparação: seleção de alvos, coleta das informações necessárias para ter credibilidade e escolha da estratégia.

  2. Distribuição: distribuição em massa ou direcionada de mensagens fraudulentas usando nomes de domínio sequestrados.

  3. Criação de um senso de urgência e exploração de autoridade. A fraude parece confiável, com uma mensagem com um contexto coerente e elementos visuais copiados (logotipo da empresa).

  4. Captura de dados por meio de redirecionamento para um nome de domínio falso ou formulário de entrada.

  5. Uso de identificadores, transferência de dinheiro para uma conta, revenda de dados na dark web.

  6. Após a operação, exclusão de sites fraudulentos, ocultação da origem do ataque.

Os diferentes tipos de phishing

Há vários tipos de phishing, dependendo da vítima-alvo e do tipo de mídia usada:

  • Phishing clássico por e-mail: um e-mail genérico enviado em massa, fazendo-se passar por organizações legítimas (bancos, serviços on-line). A vítima é então redirecionada para um nome de domínio que replica os sites originais. 💌

  • Spear phishing: um ataque direcionado que requer pesquisa prévia sobre a futura vítima com uma mensagem personalizada.

  • Whaling: um ataque de phishing que visa especificamente "peixes grandes" (executivos, gerentes etc.) com mensagens sofisticadas e altos riscos financeiros. 🐋

  • Smishing: uma forma de phishing que é realizada por SMS com uma mensagem curta que solicita que o usuário clique em um link. 📲

  • Vishing: phishing por telefone ou videoconferência, fingindo ser membro de uma organização oficial.

  • Quishing: técnica de phishing que usa a tecnologia de código QR.

Spam e phishing: quais são as diferenças?

Spam e phishing são ambos classificados como mensagens indesejadas. Spam é um e-mail não solicitado enviado em massa para promover um produto ou serviço. Ele é invasivo, mas não envolve nenhum elemento de fraude. Não há roubo de identidade ou de informações, apenas publicidade agressiva.

Qual é a aparência de um ataque de phishing?

Como você pode reconhecer um ataque de phishing? Aqui estão os vários sinais de que você pode estar sendo vítima de phishing.

Pista nº 1: um endereço de remetente suspeito

Em um ataque de phishing, o hacker indica um endereço de remetente copiado do endereço de uma instituição, mas ligeiramente diferente. Preste atenção ao "." e "-", aos números e à ordem das palavras no endereço.

Exemplo: amazon-service@gmail.com em vez de service@amazon.com.

Pista nº 2: preste atenção aos detalhes visuais

Preste muita atenção aos logotipos, cabeçalhos e ao layout geral dos e-mails. As tentativas de phishing geralmente usam versões ligeiramente alteradas das identidades visuais oficiais: logotipos de baixa qualidade, cores ligeiramente diferentes, fontes inadequadas. Essas pequenas diferenças ajudam você a identificar a falsificação!

Pista nº 3: erros de ortografia e gramática

Com o phishing em massa, não é incomum encontrar vários erros de ortografia nas mensagens enviadas. Obviamente, quanto mais sofisticada for a tentativa, menos erros o e-mail conterá. No entanto, sempre é possível identificar fórmulas que não correspondem às regras usuais de comunicação da sua organização.

Observação: com a democratização do uso da inteligência artificial, os hackers também estão se tornando cada vez mais sutis em suas comunicações.

Pista nº 4: saudações genéricas

O phishing em massa não se preocupa com a individualização. Portanto, desconfie de e-mails que comecem com "caro cliente" ou "caro colega" e que não incluam nenhum elemento de personalização.

☝️ Mas tenha cuidado, pois os casos de spear phishing ou whaling ainda podem incluir informações direcionadas sobre você e a pessoa que você acha que é o remetente.

Pista nº 5: a impressão de urgência excessiva

É muito raro que empresas, instituições e provedores de serviços decidam fechar sua conta sem aviso prévio. Quando você recebe uma ameaça desse tipo em um prazo muito curto, certamente está sendo vítima de um ataque de phishing.

Seu primeiro instinto deve ser entrar em contato com a organização em questão (por meio de um canal que não seja o link fornecido) para verificar as informações.

Dica nº 6: Solicitações de informações confidenciais

É muito importante conscientizar suas equipes sobre a seguinte ideia:

Nenhuma organização legítima jamais solicitará suas informações confidenciais por e-mail ou mensagem.

Se seus funcionários tiverem isso em mente, será praticamente impossível ser vítima de phishing.

As solicitações de senhas completas, números de cartões bancários com códigos de segurança ou cópias de documentos de identidade devem ser um sinal de alerta imediato.

Quais são os riscos associados ao phishing?

Para entender completamente os riscos associados ao phishing, nada melhor do que alguns exemplos.

De 2013 a 2015, um fraudador roubou mais de US$ 100 milhões do Facebook e do Google fazendo-se passar pela empresa Quanta. Ele emitiu faturas falsas desse antigo parceiro dos dois gigantes. Como você pode ver, nem mesmo os grandes nomes da Web estão imunes ao phishing.

Em 2015, o spear phishing permitiu que os hackers plantassem malware nos sistemas de controle das estações de energia ucranianas. O resultado foram interrupções de energia em todo o país.

Exemplo mais recente. Em 2016, a empresa aeroespacial austríaca FACC foi vítima de um ataque de whaling. Os serviços financeiros da empresa enviaram quase 42 milhões de euros para hackers que se fizeram passar pelo CEO da empresa.

O principal risco para as organizações é financeiro. Mas as consequências não param por aí. As empresas que são vítimas de phishing veem muitos de seus dados essenciais desaparecerem e perdem sua reputação com clientes e parceiros.

Como você pode se proteger contra o phishing?

Para proteger sua organização contra ataques de phishing, você precisa combinar uma abordagem humana e técnica. Incorpore boas práticas digitais para todos os seus funcionários e fortaleça seu arsenal de defesa cibernética.

A regra básica: nunca forneça informações pessoais

Estabeleça processos rigorosos para a transmissão de informações confidenciais. Nenhum dado confidencial (identificadores, senhas, detalhes bancários etc.) deve ser compartilhado por e-mail ou telefone. Essa regra deve ser respeitada 100% do tempo.

Mesmo que a solicitação pareça vir da gerência, ela não deve ser validada em nenhuma circunstância. Pelo contrário, ela deve exigir ainda mais vigilância.

Nosso conselho: para esse tipo de solicitação, estabeleça um protocolo de denúncia que deve ser seguido por todos os funcionários, caso contrário, eles serão penalizados.

Treine suas equipes e conscientize-as sobre os riscos de phishing

O treinamento deve ser adaptado aos riscos específicos de cada departamento. As equipes de finanças, que geralmente são confrontadas com a "fraude do presidente", devem se concentrar nesse tipo de ameaça.

Os membros da gerência sênior devem ser informados sobre o whaling, que lhes diz respeito diretamente. Organize sessões de treinamento regulares com exemplos. Também recomendamos que você teste a vigilância das suas equipes com ataques simulados.

Use um filtro de spam eficaz

Invista em uma solução de filtragem de várias camadas para fortalecer sua proteção contra phishing. Para fazer isso, selecione uma ferramenta que combine várias abordagens de detecção:

  • Análise heurística e comportamental.

  • Comparação com um banco de dados de remetentes mal-intencionados.

  • Tecnologias de inteligência artificial para identificar ameaças de dia zero.

Instalação e atualização de uma solução antimalware eficaz

Integre sua proteção antiphishing à sua estratégia geral de segurança de TI. Afinal de contas, apesar de todas as precauções do mundo, o phisher pode conseguir enganar um de seus funcionários. Nesse caso, você não pode se dar ao luxo de não ter uma solução antimalware abrangente. Ela representa sua última linha de defesa e deve ser implantada em todas as estações de trabalho de sua empresa.

Ao fazer sua escolha, concentre-se nos seguintes recursos:

  • proteção em tempo real,
  • análise comportamental
  • Verificação de URL,
  • bloqueio de sites mal-intencionados
  • e monitoramento de modificação de arquivos (ransomware).

Você também deve se certificar de que o software seja fácil de usar, especialmente se não tiver uma divisão de segurança cibernética.

Como você reage no caso de um ataque bem-sucedido?

Apesar da proteção humana e tecnológica abrangente, não existe risco zero. Veja a seguir como reagir no caso de um ataque de phishing bem-sucedido por um criminoso cibernético.

Reaja rapidamente e informe o incidente

No caso de um ataque, seu primeiro instinto deve ser desconectar imediatamente o dispositivo infectado da Internet e da sua rede interna. Em outro dispositivo seguro, altere as senhas das contas potencialmente comprometidas.

Em seguida, informe imediatamente o incidente ao seu gerente de segurança de TI.

Depois que essa primeira etapa for validada, entre em contato com as outras organizações envolvidas:

  • Entre em contato com o seu banco se os detalhes da sua conta tiverem sido divulgados.

  • Denuncie a fraude à polícia e a outras autoridades relevantes.

  • Informe a organização cuja identidade foi usurpada.

Avalie a extensão do dano

Identifique exatamente quais informações e dados foram comprometidos. Faça uma varredura em seu sistema com um software antimalware para detectar a presença de qualquer software mal-intencionado em sua estação de trabalho. Se for detectado um malware, siga o procedimento recomendado por sua ferramenta.

Implemente um plano de recuperação

Se achar que a integridade da sua estação de trabalho foi comprometida, reinstale completamente o sistema operacional. Também é recomendável configurar um sistema de backup para que você possa restaurar uma versão anterior ao ataque.

Aprenda com o ataque e otimize sua segurança

Analise o ataque detalhadamente para identificar e corrigir quaisquer falhas de segurança. Após essa análise, treine suas equipes adequadamente e aprimore seus procedimentos de segurança de TI.

Software antiphishing: nossos 4 melhores

Se estiver procurando uma ferramenta para proteger seus sistemas contra phishing, aqui está nossa seleção do melhor software do mercado:

  1. Altospam: a solução nº 1 para proteger caixas de correio corporativas. Graças ao seu software Mailsafe, você se beneficia de uma análise heurística que reduz os falsos positivos para menos de 0,01%. A solução se integra perfeitamente ao Google Workplace e ao Microsoft 365.

  2. Barracuda Email Protection: proteção abrangente contra phishing, ransomware e malware usando técnicas avançadas de análise comportamental e heurística, além da tecnologia de IA.

  3. Phished: uma abordagem focada no treinamento de funcionários com resultados que falam por si: uma redução na taxa de phishing de 40,5% para menos de 5% entre seus clientes.

  4. Cofense: uma combinação de ataques simulados e uma rede global de relatórios para ficar à frente da inovação dos hackers.

Definição de phishing: o que significa?

O phishing é um risco de TI que afeta todas as organizações, independentemente de seu setor ou tamanho. Apesar do foco no assunto por parte dos profissionais de defesa cibernética e das autoridades, o phishing nunca prosperou. O motivo disso? Com a IA, as técnicas estão evoluindo.

As informações podem ser buscadas mais rapidamente, e as técnicas de phishing são ainda mais eficazes. Um exemplo: videoconferência com deepfakes maiores do que a vida.

O phishing nos lembra de uma verdade fundamental: a tecnologia por si só não é suficiente para a segurança cibernética. Uma cultura metódica de dúvida, o respeito aos procedimentos e a vigilância pessoal também são essenciais.

Artigo traduzido do francês

Maëlys De Santis

Maëlys De Santis, Growth Managing Editor, Appvizer

Maëlys De Santis, editora-chefe de crescimento, começou na Appvizer em 2017 como redatora e gerente de conteúdo. Sua carreira na Appvizer se destaca por sua profunda experiência em estratégia e marketing de conteúdo, bem como em otimização de SEO. Maëlys tem mestrado em Comunicação Intercultural e Tradução pelo ISIT e também estudou idiomas e inglês na Universidade de Surrey. Ela compartilhou sua experiência em publicações como Le Point e Digital CMO. Ela contribui para a organização do evento global de SaaS, B2B Rocks, onde participou da palestra de abertura em 2023 e 2024.

Uma anedota sobre Maëlys? Ela tem uma paixão (não tão) secreta por meias elegantes, Natal, culinária e seu gato Gary. 🐈‍⬛