secure-os.org
ENFRESDEITPT
Todos os guiasQubes OSTailsWhonixLinux reforçadoEncriptação de discoModelo de ameaça
phishing

Como Prevenir o Phishing em 2026 — Agora Que a IA o Tornou Muito Pior

secure-os· Atualizado 21 de junho de 2026· 5 min de leitura #phishing#ai#security#scams#passwords
Ilustração de um burlão mascarado a enganar um utilizador para que introduza a sua palavra-passe num site falso

O phishing — enganá-lo para que entregue uma palavra-passe, um código ou um pagamento numa página que só parece legítima — sempre foi a forma mais comum de comprometer contas. Em 2026 piorou drasticamente, porque a IA generativa escreve agora iscos impecáveis e personalizados em grande escala. Os investigadores de segurança relataram que o phishing gerado por IA disparou cerca de 14× em 2026, e o Internet Crime Complaint Center do FBI registou 191 561 queixas de phishing e spoofing em 2025 — mais do que em qualquer outra categoria de crime, com as perdas comunicadas a saltarem 208% num ano.

A boa notícia: as defesas não mudaram tanto como os ataques. Um punhado de hábitos continua a travar a esmagadora maioria do phishing — só tem de os aplicar de forma consistente, porque os emails são agora muito mais difíceis de detetar a olho.

Porque é que o phishing piorou de repente

Durante anos, o indício mais fácil de um email de phishing era a má escrita: gramática desajeitada, frases estranhas, saudações genéricas. A IA generativa apagou esse indício. Os atacantes produzem agora mensagens fluentes e corretamente formatadas em qualquer língua, personalizadas com dados recolhidos de fugas de informação e das redes sociais. Um relatório acompanhou a subida do phishing assistido por IA de cerca de 4% do phishing comunicado no final de 2025 para um pico de mais de metade em poucas semanas.

Isto significa que o velho conselho — «procure erros tipográficos» — já não chega. Os sinais fiáveis hoje têm que ver com contexto e comportamento, não com a qualidade da língua.

Um aviso de alerta de segurança vermelho sobre linhas de código
A IA não inventou novos ataques — tornou os mesmos iscos de phishing de sempre fluentes, personalizados e muito mais difíceis de reconhecer a olho.

Como reconhecer uma tentativa de phishing moderna

Avalie a situação, não a ortografia:

  • Urgência inesperada. «A sua conta será encerrada dentro de 24 horas», «confirme já este pagamento». A pressão temporal fabricada é a manipulação mais comum de todas.
  • Uma ligação que quer as suas credenciais. Qualquer mensagem que o encaminhe para uma página de início de sessão é suspeita. Passe o cursor (ou faça uma pressão prolongada) sobre a ligação e leia o domínio real — paypa1.com ou secure-paypal.account-verify.com não é paypal.com.
  • Um pedido que contorna os canais normais. Um «CEO» a pedir cartões-presente, um «fornecedor» a alterar dados bancários por email, um «colega» a precisar de um código de 2FA — confirme através de um canal separado e conhecido.
  • Anexos que não pediu, sobretudo documentos que lhe pedem para «ativar o conteúdo» ou visitar uma ligação para os ver.
  • Remetente incoerente. O nome apresentado diz que é o seu banco; o endereço real é um Gmail qualquer. No telemóvel, toque para expandir o remetente verdadeiro.

Como prevenir o phishing — os passos que funcionam

  • Nunca introduza credenciais a partir da ligação de um email ou mensagem. Vá ao site por si próprio, escrevendo o endereço ou usando um favorito. Só este hábito derrota a maioria do phishing.
  • Ative a autenticação de dois fatores em todo o lado e prefira uma aplicação de autenticação ou uma chave de acesso por hardware ao SMS. Mesmo que uma palavra-passe seja capturada por phishing, o atacante continua sem conseguir entrar.
  • Use palavras-passe únicas para cada conta, para que uma credencial capturada não desbloqueie o resto da sua vida.
  • Abrande perante a urgência. As organizações legítimas não perdem a sua conta por ter demorado dez minutos a verificar.
  • Verifique por uma via alternativa. Quando uma mensagem pede dinheiro, credenciais ou um código, confirme através de um número ou aplicação em que já confia — nunca pelos contactos indicados na própria mensagem.
  • Mantenha o software e os navegadores atualizados, para que as páginas de phishing conhecidas e os anexos maliciosos sejam apanhados pelas proteções incorporadas.

Porque é que um gestor de palavras-passe é a sua ferramenta antiphishing mais forte

Um bom gestor de palavras-passe faz algo que os seus olhos não conseguem fazer de forma fiável: verifica o domínio. O seu preenchimento automático só oferece a palavra-passe guardada no site exato a que pertence, por isso, numa página de phishing parecida — onde uma pessoa pode não reparar em app1e.com — o gestor simplesmente fica em silêncio. Esse silêncio é um aviso. Também gera e guarda uma palavra-passe única para cada conta, de modo que um único phishing bem-sucedido não se propaga a tudo o resto.

Em resumo

A IA tornou o phishing fluente, personalizado e constante — mas não mudou aquilo que o derrota. Nunca introduza as suas credenciais a partir de uma ligação, ative a autenticação de dois fatores, dê a cada conta uma palavra-passe única e abrande sempre que uma mensagem fabrica urgência. Os ataques são mais inteligentes; os hábitos que os travam continuam simples — e continuam a funcionar.