Phishing é ataque social onde criminoso envia email falso fingindo ser pessoa ou empresa confiável, objetivando fazer você cliquem em link malicioso ou anexo infectado, ou revelar informações sensíveis como senha, número de cartão de crédito ou dados bancários. Surpreendentemente simples? É. Também devastadoramente efetivo: 69% dos ataques cibernéticos começam com phishing bem-sucedido, e é responsável pela maioria das brechas de segurança em PMEs.
Este guia mostra exemplos reais de emails phishing, como identificá-los mesmo quando bem feitos, como treinar sua equipe com simulações práticas usando GoPhish (gratuita), e por que MFA (autenticação multifator) reduz sucesso de phishing em 90%. Você aprenderá que tecnologia ajuda, mas educação é arma número 1.
- Prevalência: 69% dos ataques cibernéticos começam com phishing bem-sucedido
- Taxa de Sucesso: 25% dos emails phishing são abertos, 10% clicam em link/anexo
- Objetivo: Roubar credenciais (login/senha), coletar dados pessoais, distribuir malware, ransomware, ou trojans
- Variantes: Spearphishing (targetado), whaling (CEO), vishing (voz), smishing (SMS)
- Defesa Camadas: MFA (reduz 90%), treinamento de colaboradores, filtros de email, simulações práticas
- Custo Médio de Breachvia Phishing: R$ 300 mil a R$ 1 milhão por incidente
O Que É Phishing: Tipo de Engenharia Social
Phishing é engenharia social: manipular comportamento humano em vez de explorar vulnerabilidade técnica. Criminoso não precisa hackear banco para roubar senha: convence você a dar a senha voluntariamente clicando em link falso.
Palavra “phishing” é trocadilho: “fishing” em inglês é pesca. Criminoso lança anzol (email falso) na água esperando que peixe (você) morda. A maioria não morde, mas eventualmente alguém morde e criminoso pescou vítima.
Diferenças Entre Phishing e Variantes
- Phishing: Email falso genérico enviado em massa (spray-and-pray)
- Spearphishing: Email falso targetado para pessoa específica, personalizando detalhes (nome do chefe, projeto recente) para aumentar credibilidade
- Whaling: Spearphishing focado em executivos (CEO, CFO) para roubar credenciais ou fazer transferência bancária
- Vishing: Phishing por telefone: “Olá, sou do IT, preciso da sua senha para atualizar sistema”
- Smishing: Phishing por SMS: “Seu banco: clique aqui para atualizar dados” com link falso
Vamos focar em phishing por email, que é 90% dos casos, mas princípios se aplicam a todos.
Exemplos Reais de Emails Phishing (2026)
Exemplo 1: “Sua Conta Google Será Fechada” (Clássico)
De: security-alert@goggle.com (note: é “goggle.com” não “google.com”)
Assunto: URGENTE: Sua conta será fechada em 24 horas – AÇÃO REQUERIDA
Corpo:
Prezado Usuário, Detectamos atividade suspeita em sua conta Google. Para proteger sua conta, você precisa verificar sua identidade em: https://goo.g1-verify.com/account/login Clique aqui para verificar agora: [LINK AZUL] Caso não verifique em 24 horas, sua conta será fechada permanentemente. Google Security Team
Sinais de Alerta:
- Domínio falso: “goggle.com” não “google.com”
- URL suspeita: “goo.g1-verify.com” (não é domínio Google official)
- Linguagem urgente: “24 horas”, “conta será fechada”
- Solicita clique em link (não entra direto em conta)
- Falta de personalização: “Prezado Usuário” não seu nome
Exemplo 2: “Atualizar Dados Bancários” (Sofisticado)
De: noreply@seu-banco-real.com.br
Assunto: Atualize seus dados de segurança – Exigido pelo Banco Central
Corpo:
Estimado Cliente, O Banco Central do Brasil exigiu que todos os bancos atualizem sistemas de segurança de clientes. Seu CPF xxxxx-xx será requerido para verificação. Clique aqui para atualizar: https://seu-banco-seguranca.com.br/atualizar Não compartilhe este link. Seu banco nunca pedirá senha por email. Atenciosamente, Equipe de Segurança do Banco
Sinais de Alerta (Mais Sutis):
- Banco nunca pede você atualizar dados por email
- URL parcialmente correta: “seu-banco-seguranca.com.br” (parece oficial mas domínio é fake)
- Aviso “Seu banco nunca pedirá senha” é tática reversa: criar confiança falsa
- Referência a Banco Central (autoridade) para legitimidade
- Se você clicar: site falso para você entrar dados de banco
Exemplo 3: “Invoice Attached” (Técnico)
De: accounting@fornecedor-confiavel.com (pode ser endereço real hackeado)
Assunto: Invoice #12345 – Due in 3 days
Anexo: “Invoice_12345.xlsx”
Corpo:
Hi, Please find attached invoice for recent services. Please pay before due date. Thanks, Accounting
Sinais de Alerta:
- Email genérico, sem contexto específico de negócio
- Anexo .xlsx (Excel) pode ter macro maliciosa
- Endereço pode ser real (fornecedor hackeado)
- Se você abrir arquivo + ativar “editar”: macro executa ransomware em silêncio
- Referência a “due date” cria urgência
Exemplo 4: “Multifator de Autenticação Expirou” (Spearphishing)
De: no-reply@empresa-onde-voce-trabalha.com
Assunto: Sua Autenticação Multifator Expirou – AÇÃO REQUERIDA
Corpo:
Olá João Silva, Sua autenticação multifator expirou em nossa plataforma de acesso remoto. Para reiniciar, clique no link abaixo e faça re-autenticação. https://vpn-empresa-verificacao.com/auth Seu navegador pode avisar que site é inseguro - ignore, é normal durante manutenção. IT Security
Sinais de Alerta:
- Usa seu nome real (João Silva) – dados colhidos de LinkedIn
- Referencia sistema específico (VPN) que empresa usa
- URL falsa mascarada como domínio real
- Instruir ignorar avisos de segurança é RED FLAG – nunca faça isso
- Urgência criada (“ação requerida”)
- Se você clica: site falso coleta seu username/password/código MFA
(1) Urgência/ameaça (“conta será fechada”, “dados expostos”);
(2) Solicitação de clique ou anexo;
(3) URL falsa mascarada como real;
(4) Falta de personalização (genérico) OU muita personalização (spearphishing);
(5) Instruções para ignorar avisos de segurança;
(6) Solicita credenciais, dados bancários, ou MFA código
Como Identificar Phishing: Técnicas Práticas
1. Verificar Endereço De Email (Domain Check)
Olhe endereço de email com cuidado. Muitos emails phishing usam domínios parecidos:
– google.com é legítimo
– goggle.com é falso (trocar ‘o’ com ‘o’)
– g00gle.com é falso (zero em vez de ‘o’)
– google.com.br é falso (adicionar .br)
– noreply@google.com é real, noreply@google-security.com é fake
Dica: passe mouse sobre nome de remetente para revelar email real. Muitas vezes mostra endereço falso que email tenta esconder.
2. Verificar Links (Hover & Compare)
Antes de clicar em qualquer link, passe mouse sobre ele (não clique) para ver URL real no canto inferior do navegador. Se URL é diferente do que link promete, é phishing.
Exemplo:
– Link diz “Clique para Google”
– Mas URL real é “https://malicious-site.com/fake-google”
– É phishing!
3. Buscar Personalizações Ausentes
Emails legítimos geralmente têm seu nome, conta específica, contexto específico. Emails phishing genéricos (“Prezado Usuário”, “Estimado Cliente”) são maior RED FLAG. Inversamente, spearphishing bem feito TEM seu nome (colhido de LinkedIn) – então não confie em personalização sozinha.
4. Verificar Anexos (Extension & Source)
Cuidado com anexos, especialmente:
– .exe (executável)
– .zip (compactado, pode conter executável)
– .xlsm, .docm (macros do Excel/Word)
– .scr, .vbs (scripts)
Se você não estava esperando anexo, ou é de pessoa que nunca envia anexo, é suspeito. Quando em dúvida, contate remetente por telefone para confirmar antes de abrir.
5. Certificado SSL & “Cadeado” (Falsa Segurança)
Muitas pessoas pensam que “cadeado” (certificado HTTPS) significa site é seguro e legítimo. Falso. Criminoso pode ter certificado SSL também. Cadeado significa conexão é criptografada, não que site é legítimo. Sempre verifique domínio também, não apenas cadeado.
6. Verificar Gramática e Ortografia
Emails phishing genéricos frequentemente têm erros de português, tradução estranha, ou frases esquisitas. Emails legítimos de empresas têm alta qualidade de redação. Não é regra (criminosos sofisticados têm native speakers), mas é indicador.
Treinamento Prático com Simulações: GoPhish
Melhor forma de treinar equipe contra phishing é simulação prática. GoPhish é ferramenta open source gratuita que permite criar campanha de phishing falsa, enviar emails para sua equipe, rastrear quem clica/abre, e gerar relatório.
Passo 1: Instalar GoPhish
- Baixar de gophish.com (gratuito, open source)
- Rodar em servidor interno ou máquina de teste
- Interface web em https://localhost:3333
Passo 2: Criar Campanha de Phishing Simula
- Selecionar template de email (ou criar customizado)
- Escrever email falso que parece real mas é simulação
- Não tente ser super convincente: objetivo é educar, não assustar
- Exemplo: “Olá, teste seu conhecimento de segurança. Clique aqui se acha que é phishing” (com link obvio)
Passo 3: Enviar para Equipe (Com Aviso Prévio do Dono)
- Informar dono da empresa que fará simulação
- NÃO fazer surpresa (cria clima de desconfiança, não educação)
- Estabelecer que será educativo, não punitivo
- Enviar simulação para grupo pequeno primeiro (testar)
Passo 4: Análise de Resultados
- Rastrear: quantos abriram email, quantos clicaram, taxa de sucesso
- Relatório: lista de pessoas que clicaram (para treinamento adicional)
- Não puna quem caiu em phishing: objetivo é aprender
Passo 5: Feedback e Educação
- Email para toda equipe: “Teste de segurança foi realizado, X% clicou”
- Palestras curtas (15 min) sobre como identificar phishing
- Links para artigos de educação
- Cultura positiva: “Parabéns aos que identificaram phishing corretamente”
MFA: Sua Defesa Contra Phishing Bem-Sucedido
Mesmo que colaborador caia em phishing e revele senha, MFA protege conta porque criminoso precisa também do segundo fator (código de celular, autenticador app, etc.).
Estatística: MFA reduz sucesso de phishing em 90%. Combinado, MFA + treinamento reduz em 99%.
Tipos de MFA
- SMS: Código enviado por SMS. Fraco (pode ser interceptado), mas é start
- App Authenticator: Google Authenticator, Microsoft Authenticator (gratuito). Código gerado no celular, nunca viaja por SMS. Mais seguro
- Push Notification: App envia notificação “Alguém está tentando entrar em sua conta. Aprove?”. Você aprova ou nega no celular. Mais seguro ainda (evita roubo de código)
- Chave de Segurança: Dispositivo físico (FIDO2 key, ~R$ 50-100). Mais seguro de tudo, mas menos conveniente
Recomendação para PME: comece com App Authenticator (gratuito, seguro), escale para push notification se possível.
Implementação MFA para Email Corporativo
- Se usa Gmail: ativar “Verificação em Duas Etapas” em accounts.google.com
- Se usa Outlook/Microsoft 365: ativar “Autenticação Multifator” em account.microsoft.com
- Custo: zero (Google Authenticator app é gratuito)
- Tempo: 30 minutos para configurar toda equipe
Filtros de Email e Ferramentas Técnicas
Enquanto educação é defesa número 1, ferramentas técnicas ajudam também:
| Ferramenta | Função | Custo | Efetividade |
|---|---|---|---|
| Gmail Safe Browsing | Avisa se link é malicioso ou phishing | Grátis (integrado) | 80% |
| Outlook Advanced Threat Protection | Detecção de phishing e malware em email | Incluído em Microsoft 365 | 80% |
| Proofpoint / Mimecast | Filtro de email avançado com machine learning | R$ 5-20/usuário/mês | 95% |
| DMARC / SPF / DKIM | Autenticação de email para evitar spoofing (fingir ser domínio real) | Grátis (configuração técnica) | 60% (evita emails com domínio falso óbvio) |
| DNS Seguro (Pi-hole, Cloudflare) | Bloqueia acesso a sites maliciosos em nível DNS | Grátis (Pi-hole) a R$ 100/mês (Cloudflare Enterprise) | 40% (evita acesso a sites conhecidos como phishing) |
Para PME média: Gmail Safe Browsing (grátis) + MFA + treinamento com simulações é combinação poderosa. Se orçamento permite, adicionar Proofpoint aumenta defesa para 99%.
Plano de Resposta Se Alguém Clicar em Phishing
Se colaborador reporta que clicou em link/anexo phishing, ação rápida é crítica:
- 1. Isole o computador: Desconecte da rede se possível (ou isolado em VLAN diferente)
- 2. Mude a senha: Se entrou em sistema, mude senha imediatamente de outro computador (não do infectado)
- 3. Verifique atividade suspeita: Revise logs de login (que IP? que hora?), emails enviados, dados acessados
- 4. Verifique malware: Rode scan com antivírus atualizado, ou wipe completo se necessário
- 5. Comunique: Se credenciais foram roubadas, notifique outros usuários que alguém pode ter acesso
- 6. Edu não punição: Treine colaborador sobre o que viu, mas não puna (cria cultura de medo, não reporte)
Perguntas Frequentes sobre Phishing
Como saber se um link é seguro antes de clicar?
Passe mouse sobre link sem clicar. Canto inferior do navegador mostra URL real. Se URL é diferente do que link promete, ou é domínio estranho, é phishing. Exemplo: “Clique para atualizar Google” mas URL real é “malicioussite.com/fake” = phishing. Quando em dúvida, não clique.
E se já dei minha senha em um phishing?
Mude a senha IMEDIATAMENTE de outro computador (não use o computador que clicou no phishing). Ative MFA se não tiver. Revise logs de login para ver se alguém entrou com sua senha. Se é email corporativo, notifique seu chefe e TI para eles monitorem. Não se desespere – mudando senha rápido você bloqueia acesso.
Sites oficiais (Google, Banco) podem fazer phishing?
Não. Mas criminoso pode hackers site legítimo e servir phishing de lá. Raro, mas acontece. Se site legítimo pede para instalar plugin estranho ou ativar “editar” em documento, é suspeito mesmo que domínio seja real. Principais empresas nunca pedem credenciais por email – irão pedir que você acesse site/app direto.
MFA pode ser hackeado?
MFA por SMS pode ser interceptado (SIM swapping: criminoso convence operadora a transferir seu número para celular dele). MFA por app (Google Authenticator) é muito mais seguro. MFA por push notification é ainda mais seguro. Chave de segurança física é impossível hackear remotamente. Em ordem de segurança: SMS < App < Push < Chave Física.
Como criar cultura onde colaboradores reportem phishing?
Três coisas: (1) Não puna quem caiu em phishing – puna quem NÃO reportou. Crie ambiente seguro; (2) Faça fácil reportar – botão “Report as Phishing” em client de email; (3) Feedback: quando alguém reporta phishing, agradeça e informe ação tomada. Reconhecimento público (newsletter, reunião) de quem identificou phishing corretamente cria dinâmica positiva.
Qual é o custo de um ataque phishing bem-sucedido?
Se phishing roubou credenciais e criminoso entra em sistema: R$ 50 mil a R$ 500 mil dependendo do que consegue acessar (dados cliente, transferência bancária, etc.). Se phishing distribuiu ransomware: R$ 300 mil a R$ 2 milhões em recuperação. Por isso treinamento (R$ 500-1000) vale investimento.
Simulação de phishing é legal?
Sim, é legal quando: (1) chefe da empresa autoriza; (2) você documenta e comunica que é teste; (3) você não usa dados reais sensíveis (não coleta senha real); (4) você não é punitivo com quem cai. Diferente de teste real onde objetivo é danificar. Teste é educacional, não malicioso.
Conclusão
Phishing é responsável por 69% dos ataques cibernéticos bem-sucedidos, mas é um dos mais evitáveis. Tecnicamente, é simples de bloquear com filtros e MFA. Humano é desafio: pessoas com pressa clicam em links suspeitos, ou caem em spearphishing bem feito.
Sua estratégia de defesa contra phishing deve ser multicamadas:
- Educação (Camada 1): Treinamento mensal, simulações práticas com GoPhish, feedback construtivo
- MFA (Camada 2): Mesmo se senha for roubada, segunda autenticação bloqueia ataque
- Filtros (Camada 3): Ferramentas como Proofpoint bloqueiam emails phishing antes de chegar (80-95% detecção)
- Monitoramento (Camada 4): Se alguém entra com credenciais roubadas, detecção anômala (acesso de IP novo, hora inusual) alerta você
Implementar esse framework leva investimento inicial (R$ 2-5 mil) mas reduz risco de incidente que custaria R$ 300 mil a R$ 2 milhões. ROI é óbvio.
Comece agora: (1) leia este artigo com sua equipe; (2) ative MFA em email corporativo; (3) mês que vem, faça primeira simulação com GoPhish. Em 3 meses você terá transformado cultura de segurança. Colaborador bem educado é sua melhor defesa contra phishing.
Leia também: Cibersegurança para PMEs: Guia Completo, Zero Trust: Como Implementar, LGPD para PMEs.
