secure-os.org
ENFRESDEITPT
Todos os guiasQubes OSTailsWhonixLinux reforçadoEncriptação de discoModelo de ameaça
phishing

Como identificar um email de phishing: 7 sinais a verificar (2026)

secure-os· Atualizado 20 de junho de 2026· 7 min de leitura #phishing#security#email#social-engineering#passwords
Um cadeado aberto pousado sobre um teclado de portátil iluminado a vermelho e verde — uma palavra-passe obtida por phishing deixa uma conta desbloqueada

Um email de phishing é uma mensagem falsa construída para parecer vir de alguém em quem confia, para que clique numa ligação, abra um anexo ou escreva uma palavra-passe onde o atacante a consegue ler. A boa notícia: a maioria denuncia-se a si própria se souber exatamente para o que olhar. Esta é uma lista de verificação prática, sinal a sinal, para identificar um email de phishing antes que lhe custe alguma coisa. (Para o panorama mais alargado, veja o que é o phishing.)

A mentalidade: abrande antes de clicar

O phishing funciona sobre a atenção, não sobre a inteligência. As mensagens são concebidas para o fazer agir no meio segundo antes de pensar — um prazo, uma ameaça, uma recompensa boa demais. O hábito mais útil de todos é simplesmente fazer uma pausa em qualquer email que queira que aja de imediato e depois percorrer os sinais abaixo. Nenhum deles é prova por si só, mas dois ou três juntos são um sinal forte para parar.

1. O endereço do remetente não corresponde à marca

O nome apresentado é trivial de falsificar. O que é mais difícil de falsificar é o endereço real por trás dele. Verifique a parte após o @: uma mensagem real de um banco ou serviço vem do domínio próprio (por exemplo @oseubanco.com), não de uma caixa gratuita como @gmail.com, não de um imitador (@oseubanco-secure.com, @oseubanco.support) e não de uma sequência de caracteres aleatórios. No telemóvel, toque no nome do remetente para expandir o endereço completo — muitos emails de phishing contam que nunca o faça.

2. A saudação e o tom soam estranhos

O phishing em massa é enviado para listas enormes, por isso começa muitas vezes com uma saudação genérica — “Caro Cliente”, “Caro utilizador” ou o seu endereço de email em vez do seu nome. Uma empresa com a qual tem realmente uma conta costuma saber o seu nome. (O spear phishing dirigido pode acertar nisto, por isso uma saudação pessoal não é um atestado de saúde — apenas remove um sinal de alerta.)

3. Fabrica urgência ou medo

É o motor de quase todos os emails de phishing: um motivo pelo qual tem de agir agora mesmo. “A sua conta será suspensa em 24 horas.” “Início de sessão suspeito — verifique imediatamente.” “O seu pagamento falhou, atualize os seus dados para evitar o cancelamento.” Organizações legítimas raramente ameaçam o encerramento de contas por email com uma contagem decrescente. Trate a pressão de tempo artificial como um sinal de alerta em si mesmo.

Uma pessoa num café a usar um portátil que mostra uma caixa de entrada de mensagens enquanto segura um smartphone na outra mão — a verificar quem enviou realmente uma mensagem, em ambos os ecrãs, antes de agir.

4. As ligações não vão para onde afirmam

É a pista que apanha mais phishing. Passe o cursor sobre uma ligação (no computador) ou prima e mantenha premido (no telemóvel) para ver o destino real antes de clicar. Esteja atento a:

  • Um texto visível que diz uma coisa enquanto o URL real aponta para um lugar totalmente diferente.
  • Um domínio imitador — palavras extra antes do verdadeiro (paypal.com.secure-login.net), caracteres trocados (paypa1.com, rnicrosoft.com) ou um sufixo de país pouco familiar.
  • Encurtadores de ligações que escondem o endereço final.

Na dúvida, não clique de todo na ligação. Abra um novo separador e escreva você mesmo o endereço do site, ou use o seu próprio marcador, e depois inicie sessão aí.

5. Empurra um anexo inesperado

Uma fatura real, um aviso de encomenda ou uma “mensagem de voz” que não esperava é um método clássico de entrega de phishing. Desconfie especialmente de anexos que lhe pedem para “ativar o conteúdo”, “ativar as macros” ou “ativar a edição” — esse pedido existe para executar código na sua máquina. Documentos Office, ficheiros .html e arquivos .zip de um remetente desconhecido são de alto risco. Se não o pediu, não o abra. (Os anexos são também a forma como entra muito malware.)

6. Pede credenciais, códigos ou dados de pagamento

Nenhum serviço legítimo lhe enviará um email a pedir a sua palavra-passe, o número completo do cartão ou o código de dois fatores. O seu banco nunca precisará dos seus dados de início de sessão por resposta. Uma mensagem que lhe pede para “confirmar” estes dados — ou para mover dinheiro “para o manter seguro” — é phishing até prova em contrário. O mesmo se aplica aos códigos de utilização única: um atacante que já tem a sua palavra-passe só precisa que lhe leia o código em voz alta.

7. A escrita tem pequenas pistas

O phishing moderno pode ser sofisticado, por isso este é o sinal mais fraco — mas ainda ajuda. Esteja atento a frases ligeiramente estranhas, branding inconsistente, logótipos que parecem esticados ou de baixa resolução, rodapés incompatíveis ou um email que mistura linguagem formal e desajeitada. Qualquer um destes, a par de outro sinal de alerta, faz pender a balança para “eliminar”.

Uma lista de verificação rápida

Antes de clicar em qualquer coisa num email que queira uma ação, pergunte:

  1. O endereço real do remetente é o domínio próprio da marca?
  2. É uma saudação genérica em vez do meu nome?
  3. Está a empurrar urgência ou uma ameaça?
  4. Para onde apontam realmente as ligações quando passo o cursor?
  5. Há um anexo inesperado a pedir-me para ativar algo?
  6. Está a pedir uma palavra-passe, código ou dado de pagamento?
  7. frases, logótipos ou rodapés estranhos?

Duas ou mais respostas “sim” significam parar e verificar através de um canal em que confia.

O que fazer quando deteta um

  • Não clique, não responda, não abra anexos. Responder confirma que o seu endereço está ativo.
  • Verifique fora do canal. Se afirma ser o seu banco, ligue para o número que está no seu cartão — nunca um número da mensagem.
  • Denuncie-o e depois elimine-o. A maioria das aplicações de correio tem um botão “Denunciar phishing”; denunciar ajuda o fornecedor a bloquear a campanha também para os outros.
  • Se já clicou ou introduziu uma palavra-passe, mude essa palavra-passe imediatamente no site real e em qualquer outra conta que a reutilize.

Um gestor de palavras-passe apanha a ligação que lhe escapou

Mesmo um leitor atento pode ser enganado por uma página imitadora perfeita. É aqui que um gestor de palavras-passe ganha discretamente o seu lugar. Liga cada início de sessão guardado ao domínio real exato a que pertence — por isso, numa página de phishing alojada num endereço diferente, simplesmente não se oferecerá para preencher automaticamente as suas credenciais. Esse silencioso não-preenchimento é muitas vezes o sinal mais claro de que uma “página de início de sessão” é falsa, e impede-o de escrever a sua palavra-passe no sítio errado.

E um segundo fator detém a palavra-passe roubada

Identificar phishing é a sua primeira linha de defesa, mas nunca será perfeito — por isso construa uma salvaguarda. Com a autenticação de dois fatores ativada, uma palavra-passe que um atacante lhe extraia por phishing não basta, por si só, para entrar; precisaria também do seu segundo fator. Códigos baseados em aplicação ou uma chave de hardware são mais fortes do que SMS, que pode ele próprio ser intercetado.

A lição honesta

Não deteta o phishing com uma única pista mágica — deteta-o abrandando e seguindo uma breve lista de verificação: quem o enviou realmente, para o que o está a pressionar, para onde vão as suas ligações e o que está a pedir. Acerte nestes hábitos, depois coloque por trás um gestor de palavras-passe e a autenticação de dois fatores, e um email de phishing convincente transforma-se num quase-acidente em vez de uma conta roubada.