O e-mail chega com aparência impecável. Logotipo do banco, linguagem profissional, um tom urgente: “Sua conta será bloqueada em 24 horas se você não confirmar seus dados.” O usuário, tomado pelo medo, clica no link, preenche suas informações e, em poucos minutos, tem seu dinheiro transferido para uma conta desconhecida. O cenário é familiar — e continua acontecendo em escala global.

Esse é o phishing, um dos golpes mais antigos e eficazes da internet, que segue em evolução mesmo após décadas de campanhas de conscientização e avanços em segurança digital.

A técnica, cujo nome vem da palavra fishing (pescar em inglês), consiste em “pescar” vítimas por meio de mensagens falsas que imitam comunicações legítimas — de bancos, serviços de streaming, companhias aéreas ou até órgãos públicos. O objetivo é um só: induzir o usuário a entregar voluntariamente informações confidenciais, como senhas, dados bancários ou códigos de autenticação.

Leia também: Investidor perde R$ 33 milhões em Ethereum após cair em golpe de phishing

No caso do mundo das criptomoedas, esse golpe também segue forte diante da possibilidade de criminosos terem acesso a carteiras contendo milhares, até milhões, de dólares em ativos. Ao roubar dados e terem esses acessos, a vítima pode perder tudo em questão de segundos.

De acordo com o último relatório global da Kaspersky, mais de 893 milhões de tentativas de phishing foram bloqueadas em 2024, um aumento de 26% em relação ao ano anterior. Só no Brasil, entre outubro de 2024 e setembro de 2025, foram registradas 553 milhões de tentativas de fraude.

“Esse tipo de ataque é simples, não requer muito conhecimento. Um criminoso inexperiente consegue implementar vários ataques desse tipo e agora com uma linguagem mais legítima e em escala, porque a IA permite isso”, diz Fábio Assolini, Diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

A Cloudflare reforça esse diagnóstico ao afirmar que “os ataques de phishing envolvem persuadir a vítima a realizar alguma ação que beneficie o invasor”, o que inclui clicar em links falsos, fornecer senhas ou até autorizar transações digitais fraudulentas.

Mesmo com filtros e antivírus modernos, muitas dessas mensagens ainda chegam à caixa de entrada — e é nesse momento que a pressa e o medo abrem brechas. “Os sistemas automáticos ajudam, mas não substituem o olhar humano. O cibercrime explora justamente as emoções”, ressalta Assolini.

O problema é de escala bilionária. Segundo estimativas do CSO Online, fraudes digitais ligadas a phishing custam globalmente cerca de US$ 17 mil por minuto, o que significa dezenas de bilhões de dólares por ano em prejuízos.

Tipos de phishing: o golpe muda de forma, mas não de intenção

Nem todo phishing é igual. A primeira imagem que vem à cabeça costuma ser a de um e-mail suspeito pedindo para “confirmar seus dados bancários”, mas o golpe já se espalhou para praticamente todos os canais digitais.

O mais comum ainda é o phishing por e-mail, em que mensagens cuidadosamente elaboradas imitam comunicações legítimas de empresas, solicitando que o usuário clique em um link, baixe um anexo ou insira informações pessoais em uma página falsa. Para dar mais credibilidade, os golpistas utilizam spoofing de domínio, criando endereços muito parecidos com os reais — como “@aneria.com” no lugar de “@america.com” — o suficiente para enganar olhos desatentos.

Outro formato que cresce é o vishing, o phishing por voz. Nesse caso, criminosos ligam fingindo ser representantes de bancos ou empresas de tecnologia, pedindo “confirmação de dados” ou “atualização de cadastro”. Muitas vezes, usam gravações automatizadas e mascaram o número de telefone para parecer oficial. A Kaspersky alerta que esses ataques “exploram o senso de autoridade e urgência, mantendo o usuário ao telefone o máximo possível até que ele cometa um erro”.

Versões semelhantes também acontecem por mensagem: o smishing, por SMS, e o phishing via apps de mensagem como WhatsApp e Telegram, usam textos curtos e convincentes com links maliciosos. Já nas redes sociais, o golpe assume outra roupagem — perfis falsos de empresas ou até de amigos enviam mensagens diretas oferecendo promoções, sorteios ou pedindo ajuda financeira. Em alguns casos, os criminosos passam semanas construindo um relacionamento para conquistar a confiança da vítima antes de atacar.

Há ainda variantes mais técnicas, que não dependem do engajamento direto da vítima. É o caso do pharming, em que o invasor manipula o sistema DNS para redirecionar o usuário para uma cópia falsa de um site legítimo, mesmo que o endereço seja digitado corretamente.

Outras táticas incluem o typosquatting, que cria sites com erros de digitação sutis (como “wallmart.com” em vez de “walmart.com”), e o phishing por HTTPS, que abusa do cadeado de segurança na barra de endereço — antes um sinal de confiabilidade, agora facilmente obtido por criminosos.

Nos ambientes corporativos, uma forma particularmente perigosa é o Business Email Compromise (BEC), em que o golpista se faz passar por executivos ou fornecedores da empresa para solicitar transferências financeiras ou informações sigilosas. Esse tipo de ataque tem causado prejuízos milionários em companhias de todos os portes.

Por fim, o universo cripto também se tornou um terreno fértil para esse tipo de golpe. No chamado phishing de criptomoedas, criminosos criam sites falsos de carteiras digitais ou interfaces de assinatura Web3, enganando usuários a autorizar transações que drenam todos os seus fundos. É o mesmo velho truque — apenas adaptado à nova fronteira digital.

Grandes casos de phishing

Embora o phishing costume evocar imagens de e-mails mal escritos e promessas absurdas de heranças milionárias, os golpes mais devastadores da história cibernética têm sido justamente os mais sofisticados — disfarçados de comunicações legítimas e amparados por engenharia social meticulosa.

Em 2015, a Ubiquiti Networks, empresa de tecnologia dos Estados Unidos, perdeu US$ 46,7 milhões após funcionários receberem e-mails falsos supostamente enviados por executivos da própria companhia. A mensagem pedia transferências urgentes para contas “corporativas” — que, na verdade, pertenciam aos criminosos. O caso ficou conhecido como um dos maiores exemplos de Business Email Compromise (BEC), uma modalidade de phishing corporativo que cresceu 200% nos últimos cinco anos, segundo dados da Check Point Research.

Outro episódio marcante envolveu a Sony Pictures, em 2014. Hackers conseguiram invadir os servidores da empresa após uma série de e-mails falsos direcionados a funcionários-chave, o que culminou no vazamento de roteiros, e-mails internos e dados pessoais de executivos. O prejuízo estimado ultrapassou US$ 100 milhões entre danos diretos e custos de remediação.

Casos recentes mostram que o phishing também se modernizou. Em 2023, investigadores da Group-IB identificaram uma rede internacional chamada Darcula, que operava um “phishing como serviço” (PhaaS). O grupo usava mensagens RCS e iMessage para enganar vítimas em dispositivos Android e iPhone, conseguindo roubar cerca de 884 mil cartões de crédito em sete meses. Já em 2025, a Microsoft anunciou ter desmantelado mais de 340 sites de phishing ligados ao serviço Raccoon0365, que simulava páginas do Microsoft 365 para roubar credenciais corporativas.

Além de empresas, o ecossistema de criptomoedas também se tornou um campo fértil para esse tipo de golpe. Usuários de plataformas Web3 e carteiras digitais são constantemente alvos de transaction phishing, no qual são induzidos a assinar transações fraudulentas que esvaziam seus fundos.

Esses exemplos mostram que o phishing não é apenas um problema de usuários desatentos, mas uma ameaça corporativa e global, que explora a confiança e a psicologia humana tanto quanto as falhas tecnológicas.

8 dicas para não cair em phishing

Apesar da sofisticação crescente dos golpes, a prevenção ainda é possível — e depende mais de atenção e hábito do que de conhecimento técnico. A seguir, estão algumas práticas essenciais para reconhecer e evitar armadilhas digitais:

1. Desconfie de mensagens urgentes ou alarmantes
Golpistas exploram o senso de urgência. Bancos e empresas raramente exigem ações imediatas. Se o tom for ameaçador, desconfie.

2. Verifique o remetente e o domínio
Antes de clicar, olhe com calma o endereço do e-mail. Um simples “banc0.com” no lugar de “banco.com” pode ser suficiente para enganar.

3. Evite clicar diretamente em links suspeitos
Prefira digitar o endereço oficial no navegador em vez de clicar no link da mensagem.

4. Use autenticação de dois fatores (2FA)
Mesmo que sua senha seja comprometida, o uso de 2FA pode impedir o acesso não autorizado.

5. Mantenha antivírus e sistemas atualizados
Ferramentas da Kaspersky, McAfee e outras empresas bloqueiam links maliciosos e alertam sobre ameaças conhecidas.

6. Desconfie de anexos inesperados
Golpes sofisticados chegam com arquivos ZIP ou PDFs que, ao serem abertos, instalam programas espiões.

7. Confirme sempre por outro canal
Recebeu uma mensagem pedindo atualização de dados? Ligue para o banco ou acesse o site oficial — nunca responda diretamente ao e-mail.

8. Eduque-se e compartilhe informações
A conscientização é a melhor defesa. Como reforça a Cloudflare, “a maior proteção contra phishing ainda é a desconfiança saudável”.

No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!

O post O que é phishing e como se proteger de uma das maiores ameaças digitais da atualidade apareceu primeiro em Portal do Bitcoin.