Pular para o conteúdo principal

Como Se Proteger de Ataques de Phishing

O phishing é a principal causa de roubo de contas. Como funciona o phishing moderno, sinais de alerta e defesas que realmente bloqueiam ataques.

Última atualização: 14 de abril de 2026

Resumo

  • O phishing é a principal causa de roubo de contas — os atacantes enganam você para que forneça credenciais em um site falso.
  • Os kits modernos de phishing clonam páginas de login com perfeição pixel a pixel e interceptam os seus códigos 2FA em tempo real.
  • As chaves de segurança por hardware (YubiKey, FIDO2) são a única defesa resistente a phishing por design.
  • Os gestores de senhas protegem você ao recusar o preenchimento automático em domínios incorretos.
  • Verifique o domínio exato antes de digitar as credenciais e nunca faça login a partir de um link recebido por e-mail.

O que é phishing?

O phishing é um ataque de engenharia social no qual um atacante cria uma cópia convincente de um site legítimo — muitas vezes com perfeição pixel a pixel — e engana a vítima para que introduza as suas credenciais nesse site. No momento em que a vítima submete o formulário, o atacante captura o nome de utilizador, a senha e qualquer segundo fator, usando-os para tomar conta do perfil real em questão de segundos.

A palavra deriva da metáfora de "pescar" vítimas com isco (normalmente um e-mail). A grafia foi alterada para realçar que os atacantes utilizam frequentemente números de phone (phishing por SMS, ou "smishing") e infraestruturas com aparência profissional.

Por que o phishing continua a ser a principal ameaça

A maioria das violações de contas em grande escala hoje em dia não envolve hacking, quebra de senhas ou contorno de encriptação. Envolve um ser humano a digitar uma senha num site falso. O phishing é:

  • Barato — um atacante pode enviar milhões de e-mails pelo custo de um VPS e de um domínio falsificado
  • Difícil de filtrar — os kits modernos rotacionam domínios, utilizam alojamento legítimo e adaptam-se aos filtros em tempo real
  • Eficaz — mesmo utilizadores com consciência de segurança caem em tentativas direcionadas bem elaboradas (spear phishing)
  • Escalável — um único phishing bem-sucedido frequentemente concede acesso a dezenas de serviços ligados através da reutilização de senhas

O Relatório de Investigações de Violação de Dados da Verizon de 2024 concluiu que o phishing foi o vetor de acesso inicial em mais de 36% de todas as violações — mais do que qualquer outra causa isolada.

Como funciona o phishing moderno

O phishing evoluiu muito além dos e-mails do "príncipe nigeriano" dos anos 2000. Um ataque de phishing moderno inclui tipicamente:

1. Um isco convincente

Normalmente um e-mail, mensagem de texto ou mensagem de chat que cria urgência ("A sua conta será suspensa"), autoridade ("Equipa de segurança da Microsoft") ou curiosidade ("Alguém marcou-o numa foto"). O spear-phishing vai mais longe com detalhes pessoais retirados do LinkedIn, bases de dados de violações ou correspondência anterior.

2. Um site falso com perfeição pixel a pixel

Os atacantes utilizam kits de phishing prontos a usar que clonam o HTML, CSS e JavaScript do site-alvo. Muitos kits são vendidos como serviço (phishing-as-a-service), com dashboards funcionais e apoio ao cliente.

3. Um proxy em tempo real para o 2FA

A parte perigosa: os kits modernos não se limitam a capturar a sua senha. Atuam como um proxy man-in-the-middle que encaminha tudo o que você digita — incluindo o seu código TOTP — para o site real em questão de segundos, contornando a maioria dos métodos de 2FA. Esta técnica chama-se adversary-in-the-middle (AiTM) e é utilizada em ferramentas como o Evilginx2 e o Modlishka.

4. Roubo de token de sessão

Após autenticar através do proxy, o atacante captura o seu cookie de sessão e pode utilizá-lo para permanecer autenticado mesmo depois de mudar a sua senha. É por isso que a resposta ao phishing inclui sempre a revogação de sessões ativas, e não apenas a rotação da senha.

O que realmente detém o phishing

Chaves de segurança por hardware (FIDO2 / WebAuthn)

Esta é a única categoria de defesa que é resistente a phishing por design. Quando inicia sessão com uma chave FIDO2, a chave verifica criptograficamente o domínio exato do site que solicita a autenticação. Um site falso — por mais visualmente perfeito que seja — tem um domínio diferente, pelo que a chave recusa responder. O aperto de mão criptográfico simplesmente não é concluído.

A Google ficou famosa por ter tornado obrigatório o uso de YubiKeys para todos os mais de 85.000 funcionários em 2017 e relatou zero ataques de phishing bem-sucedidos nas contas da empresa nos anos seguintes.

Passkeys

As passkeys são a evolução orientada ao consumidor do FIDO2. Utilizam a mesma criptografia vinculada ao domínio e estão integradas no iOS, Android, macOS e Windows. Se um site que utiliza suporta passkeys, ativá-las torna essa conta resistente a phishing.

Gestores de senhas

Um gestor de senhas é a sua segunda linha de defesa, pois só preenche automaticamente as credenciais no domínio exato onde foram guardadas. Se aterrar em paypaI.com (com "I" maiúsculo) em vez de paypal.com, o seu gestor recusa silenciosamente preencher o formulário. Essa recusa é um aviso claro de que algo está errado.

Filtragem de e-mail e DNS

Os fornecedores de e-mail utilizam DMARC, SPF e DKIM para detetar endereços de remetentes falsificados. A maioria dos fornecedores modernos interceta as tentativas mais óbvias, mas os ataques direcionados ainda passam. Ative os botões de "Denunciar phishing" no seu cliente de e-mail para ajudar a melhorar os filtros.

Sinais de alerta a ter em conta

Quando receber uma mensagem a pedir-lhe que inicie sessão, verifique algo ou aja com urgência:

  • Urgência e ameaças — "A sua conta será encerrada em 24 horas"
  • Saudações genéricas — "Prezado cliente" em vez do seu nome
  • Domínios semelhantespaypaI.com, app1e.com, secure-microsoft-login.net
  • Anexos inesperados — especialmente ficheiros .zip, .html ou .pdf que pedem início de sessão para visualizar
  • Erros gramaticais ou de formatação — as grandes empresas reveem os seus e-mails
  • Discrepância no link — passe o cursor sobre o link e verifique se o destino corresponde ao texto

Se algo não parecer certo, feche o e-mail. Navegue até ao site manualmente. Se existir um problema real, irá vê-lo quando iniciar sessão através do seu fluxo de trabalho habitual.

O que fazer se foi vítima de phishing

Aja rapidamente — a velocidade é importante porque os atacantes começam a usar as credenciais em minutos.

  1. Mude a senha imediatamente num dispositivo diferente (o seu telemóvel, por exemplo, se caiu na armadilha no seu computador portátil)
  2. Revogue todas as sessões ativas nas definições da conta — isto encerra a sessão de qualquer pessoa que esteja a utilizar tokens de sessão roubados
  3. Ative o 2FA caso ainda não estivesse ativo, e utilize uma chave de hardware ou passkey se possível
  4. Verifique se há atividade não autorizada — e-mails enviados, logins recentes, alterações de faturação, novas regras de reencaminhamento
  5. Notifique a instituição afetada caso se trate de uma conta financeira ou profissional
  6. Verifique outras contas que utilizavam a mesma senha — mesmo que tenha a certeza de que não reutiliza senhas, verifique

Conclusão

O phishing prospera porque contorna a tecnologia e tem como alvo os seres humanos. As melhores defesas combinam três camadas: gestores de senhas (recusam o preenchimento automático em domínios errados), 2FA resistente a phishing (chaves de hardware ou passkeys vinculadas ao domínio real) e ceticismo saudável (nunca faça login a partir de um link de e-mail).

Ative as três camadas na sua conta mais importante — o seu e-mail — primeiro. A partir daí, o resto da sua vida digital ficará significativamente mais seguro.

Como Se Proteger de Phishing

Uma lista de verificação prática e ordenada para proteger as suas contas contra ataques de phishing.

  1. Use um gestor de senhas:Instale um gestor de senhas de confiança (1Password, Bitwarden, Proton Pass) e permita que ele preencha automaticamente as credenciais. Ele recusará o preenchimento automático em domínios semelhantes mas falsos, funcionando como um detetor de phishing integrado.
  2. Ative o 2FA resistente a phishing:Adicione uma chave de hardware FIDO2 (YubiKey, Google Titan) ou passkey às suas contas mais importantes — primeiro o e-mail, depois a banca, o armazenamento em nuvem e o gestor de senhas. Estes são os únicos métodos de 2FA que realmente detêm o phishing moderno.
  3. Nunca faça login a partir de links recebidos por e-mail:Quando receber um e-mail a pedir que inicie sessão, feche o e-mail e navegue até ao site manualmente através de um marcador ou digitando o URL. O link no e-mail pode ser uma cópia perfeita; o marcador no seu browser não é.
  4. Verifique o domínio exato antes de digitar:Antes de introduzir qualquer senha, observe o URL completo na barra de endereços. Procure o HTTPS, a ortografia correta e a ausência de subdomínios extra como paypal.com.secure-login.net.
  5. Denuncie e siga em frente:Denuncie a tentativa de phishing ao seu fornecedor de e-mail (a maioria tem um botão "Denunciar phishing"). Depois, continue o seu dia — o phishing só é perigoso se você cair na armadilha, e a consciencialização é a maior parte da batalha.

Perguntas Frequentes

Artigos relacionados

O que é 2FA?

Checklist de Privacidade Online

O que é E-mail Criptografado?