Links Maliciosos

Phishing: O Que É e Como Identificar E-mails e Sites Falsos

O que é phishing e como identificar e-mails, SMS e sites falsos. Guia prático para reconhecer tentativas de roubo de dados e senhas.

Vortex CheckEquipe Vortex Check 6 de março de 2026 5 min

O Que é Phishing — e Por Que Ainda Funciona em 2026

Phishing é uma técnica de engenharia social em que criminosos se passam por entidades confiáveis — bancos, empresas, órgãos do governo — para enganar você e roubar informações sensíveis: senhas, dados bancários, números de cartão de crédito, CPF. O nome vem de “fishing” (pescar, em inglês): o criminoso lança a isca e espera que alguém morda.

Apesar de ser uma das formas mais antigas de golpe digital, o phishing continua sendo a ameaça cibernética número um no Brasil. Dados da Federação Brasileira de Bancos (Febraban) indicam que as tentativas de phishing cresceram 45% entre 2024 e 2025. E a razão é simples: ele funciona. Não importa quão avançada seja a tecnologia de segurança — o phishing explora o elo mais fraco de qualquer sistema:o ser humano.

Com a popularização da inteligência artificial generativa, os ataques de phishing atingiram um novo patamar de sofisticação. E-mails com erros grosseiros de português deram lugar a mensagens impecáveis, personalizadas com seu nome, CPF parcial e até histórico de compras. Identificar phishing em 2026 exige mais do que bom senso — exige método.

Os 7 Sinais Clássicos de um E-mail de Phishing

Mesmo com a evolução dos golpes, a maioria dos e-mails de phishing ainda compartilha padrões identificáveis. Estes são os 7 sinais mais confiáveis para reconhecer uma tentativa:

  1. Remetente suspeito — Verifique o endereço de e-mail completo, não apenas o nome exibido. Um e-mail pode mostrar “Nubank” como remetente, mas o endereço real ser algo como “atendimento@nubank-segurança.xyz”. Empresas legítimas usam domínios oficiais (ex: @nubank.com.br). Sempre clique para expandir os detalhes do remetente.
  2. Urgência artificial — “Sua conta será encerrada em 24 horas”, “Último aviso antes do bloqueio”, “Ação imediata necessária”. Criminosos criam pânico para que você aja antes de pensar. Empresas reais raramente ameaçam encerrar contas por e-mail com prazos de horas.
  3. Links disfarçados — O texto do link diz “Acesse sua conta”, mas o URL real aponta para um domínio completamente diferente. Passe o mouse sobre o link (sem clicar) para ver o destino real. Saiba mais sobre como verificar links com segurança no nosso guia sobre como verificar se links são seguros.
  4. Solicitação de dados sensíveis — Bancos, operadoras e órgãos do governo nunca pedem senhas, números de cartão ou códigos de verificação por e-mail. Se o e-mail solicita qualquer tipo de credencial, é phishing — sem exceção.
  5. Anexos inesperados — Arquivos .zip, .exe, .pdf ou .docx que você não solicitou podem conter malware. Especial atenção para “notas fiscais”, “comprovantes de pagamento” ou “boletos” de serviços que você não contratou.
  6. Erros sutis de design — Logotipos com resolução baixa, cores ligeiramente diferentes, tipografia inconsistente. Embora os golpes modernos repliquem layouts com alta fidelidade, pequenas imperfeições ainda denunciam muitos ataques. Compare com um e-mail legítimo anterior da mesma empresa.
  7. Saudação genérica — “Prezado cliente” ou “Caro usuário” em vez do seu nome. Empresas com as quais você tem cadastro geralmente personalizam a comunicação. Porém, atenção: golpes avançados já usam seu nome real (obtido de vazamentos de dados), então a presença do seu nome não garante que o e-mail é legítimo.

Sites Falsos: Como Reconhecer uma Página de Phishing

O e-mail de phishing é apenas a isca. O objetivo real é levar você a uma página falsa que imita o site legítimo de um banco, loja ou serviço. Essas páginas são projetadas para ser visualmente idênticas ao original — e muitas vezes são indistinguíveis a olho nu. Veja como identificá-las:

Análise o URL com Atenção

O URL é a prova mais confiável. Sites falsos usam domínios que se parecem com os legítimos, mas têm diferenças sutis: “itau-segurança.com” em vez de “itau.com.br”, “login-bradesco.net” em vez de “bradesco.com.br”. Verifique o domínio principal — aquele imediatamente antes da extensão (.com, .com.br) — e desconsidere subdomínios que possam parecer legítimos.

Teste a Interatividade da Página

Páginas de phishing geralmente replicam apenas a funcionalidade mínima necessária para coletar suas credenciais. Tente clicar em links secundários do site — “Esqueci minha senha”, “Termos de uso”, “Contato”. Se esses links não funcionam, levam a páginas de erro ou redirecionam para o formulário de login, é quase certamente uma página falsa.

Observe o Comportamento Após o Login

Se você inserir credenciais em uma página de phishing, um comportamento comum é: a página exibe uma mensagem de erro (“senha incorreta”) e redireciona para o site real. Assim, você pensa que errou a senha, faz login normalmente no site legítimo e não percebe que suas credenciais já foram capturadas.

Phishing Além do E-mail: SMS, WhatsApp e Redes Sociais

Em 2026, o phishing não se limita mais à caixa de entrada. Os ataques se espalharam para todos os canais de comunicação:

  • Smishing (SMS phishing) — Mensagens de texto que fingem ser do banco, dos Correios ou da operadora de celular. “Seu pacote foi retido na alfândega. Acesse o link para liberar.” O SMS é especialmente perigoso porque muitas pessoas confiam mais nele do que em e-mails.
  • WhatsApp — Links maliciosos disfarçados de promoções, alertas bancários ou ofertas de emprego. A confiança no remetente (amigos, familiares) amplifica o perigo. Para saber como se proteger, leia nosso artigo sobre golpes com links no WhatsApp.
  • Redes sociais — Perfis falsos de empresas que respondem a reclamações públicas e direcionam para “canais de atendimento” falsos. Também ocorre via mensagens diretas com ofertas irresistíveis.
  • Ligações telefônicas (vishing) — Criminosos ligam fingindo ser do banco, pedem confirmação de dados ou solicitam a instalação de aplicativos “de segurança” que na verdade são ferramentas de acesso remoto.

O Que Fazer Se Você Caiu em um Golpe de Phishing

Se você inseriu dados em um site falso ou clicou em um link malicioso, o tempo é seu maior aliado. Quanto mais rápido agir, menor o dano:

  1. Altere imediatamente suas senhas — Comece pela conta comprometida, depois pelo e-mail principal (que geralmente é usado para recuperação de outras contas). Use senhas fortes e únicas para cada serviço.
  2. Ative a autenticação em dois fatores (2FA) — Se ainda não tem, ative agora em todas as contas críticas. Prefira autenticadores de app (Google Authenticator, Authy) a SMS, que pode ser interceptado via SIM swap.
  3. Contate seu banco — Se forneceu dados bancários ou de cartão, ligue imediatamente para a central do banco e solicite o bloqueio preventivo. A maioria dos bancos tem canais 24 horas para emergências de segurança.
  4. Verifique seus dispositivos — Se clicou em um link que baixou algum arquivo, execute uma varredura completa com antivírus atualizado. Em casos graves, considere formatar o dispositivo.
  5. Registre um boletim de ocorrência — Especialmente se houve prejuízo financeiro. Muitas delegacias permitem registro online. Guarde capturas de tela do e-mail, link e páginas acessadas.
  6. Monitore suas contas — Nos 30 dias seguintes, acompanhe extratos bancários, faturas de cartão e atividades suspeitas em contas online. Considere ativar alertas de transação em tempo real no app do banco.

Como Se Proteger de Forma Proativa

A melhor defesa contra phishing é a prevenção sistemática. Não dependa apenas do seu instinto — crie hábitos e use ferramentas que automatizem a proteção:

  • Nunca clique em links de e-mails ou mensagens — Se receber uma comunicação supostamente do seu banco, abra o aplicativo oficial ou digite o endereço do site manualmente no navegador. Essa única regra previne a maioria dos ataques.
  • Verifique links suspeitos com ferramentas especializadas — O Vortex Check permite que você cole qualquer URL e receba uma análise de segurança completa em segundos, verificando o link contra dezenas de bases de dados de ameaças simultaneamente. É a forma mais rápida de saber se um link é seguro antes de clicar. Para mais técnicas de verificação, consulte nosso guia sobre como verificar links seguros.
  • Use um gerenciador de senhas — Gerenciadores de senhas não preenchem automaticamente credenciais em sites falsos, pois reconhecem o domínio real. Se o preenchimento automático não funcionar, é um sinal de alerta.
  • Mantenha softwares atualizados — Navegadores modernos bloqueiam muitos sites de phishing automaticamente, mas essa proteção só funciona com versões atualizadas.

Phishing é Um Problema de Escala — e a Solução Também Precisa Ser

O volume de ataques de phishing torna impossível verificar cada e-mail, mensagem ou link manualmente. São milhões de tentativas diárias, cada vez mais sofisticadas, personalizadas e difíceis de distinguir de comunicações legítimas. A atenção humana tem limites — mas a verificação automatizada não.

O Vortex Check combina verificação de links, análise de conteúdo e inteligência artificial para oferecer uma camada de proteção que funciona na velocidade em que você recebe ameaças. Não espere cair em um golpe para agir.

Proteja-se agora com o Vortex Check — verifique qualquer link ou e-mail suspeito em segundos. Comece gratuitamente e transforme a dúvida em segurança.

Quer verificar uma notícia agora?

Cole o texto, link ou faça upload de imagem, vídeo, áudio ou arquivo. O Vortex Check faz checagem cruzada com fontes confiáveis e devolve uma análise em segundos.

Começar grátis

Continue lendo

Voltar ao Blog