secure-os.org
ENFRESDEITPT
Todos os guiasQubes OSTailsWhonixLinux reforçadoEncriptação de discoModelo de ameaça
phishing

O que é phishing? Como detetá-lo e travá-lo (2026)

secure-os· Atualizado 19 de junho de 2026· 5 min de leitura #phishing#security#email#social-engineering#passwords
Um símbolo pintado de um peixe e um anzol num sinal circular embutido na calçada

O phishing é a forma mais comum como as pessoas comuns são hackeadas — e não ataca o teu software, ataca-te a ti. Em vez de quebrar a encriptação, um atacante simplesmente engana-te para que entregues uma palavra-passe ou cliques num link malicioso. Este guia explica o que é o phishing, os principais tipos, os sinais de alerta e as defesas que realmente reduzem o risco.

A definição curta

O phishing é um ataque de engenharia social que se faz passar por uma pessoa ou organização em quem confias para te enganar a revelar informação sensível — palavras-passe, números de cartão, códigos — ou a instalar malware. Costuma chegar como um email, SMS ou mensagem falsa que parece legítimo e te pressiona a agir depressa. O nome é um trocadilho com „fishing” (pescar): o atacante lança o isco e espera que alguém morda.

Como funciona um ataque de phishing

O padrão é quase sempre o mesmo:

  1. O isco. Uma mensagem que se faz passar pelo teu banco, por um empregador, por um serviço de entregas ou por uma aplicação popular, muitas vezes com um gancho urgente ou assustador („a tua conta será suspensa”, „confirma este pagamento”).
  2. O anzol. Um link para um site sósia, ou um anexo. O site é uma cópia quase perfeita da verdadeira página de login.
  3. A apanha. Introduzes o teu nome de utilizador e a tua palavra-passe — diretamente nas mãos do atacante. Muitas vezes a página falsa reencaminha-te depois para o site real, para que nada pareça suspeito.

Como assenta na confiança e na urgência, o phishing funciona também com pessoas cuidadosas — não só com as descuidadas.

Um portátil a mostrar um ecrã de login de banca online com os campos de nome de utilizador e palavra-passe, ao lado um telemóvel sobre uma mesa de madeira — as páginas de phishing imitam logins reais como este para capturar as tuas credenciais.

Os principais tipos

  • Phishing por email — emails em massa que se fazem passar por uma marca, enviados para listas enormes na esperança de que uma fração morda.
  • Spear phishing — dirigido a uma pessoa específica, usando detalhes reais sobre ti para parecer credível. Muito mais convincente.
  • Whaling — spear phishing dirigido a executivos ou alvos de alto valor.
  • Smishing — phishing por SMS (falsas mensagens de entrega ou do banco).
  • Vishing — phishing por chamada telefónica, muitas vezes fazendo-se passar pelo suporte ou pelo teu banco.
  • Clone phishing — uma cópia de um email real que recebeste, com os links trocados por outros maliciosos.

Os sinais de alerta

A maioria do phishing denuncia-se se abrandares e olhares:

  • Urgência ou ameaças — „age já ou a tua conta será bloqueada”. A pressão é o objetivo.
  • Links que não correspondem ou sósias — passa o rato por cima antes de clicar; o texto visível e o URL real diferem, ou o domínio está subtilmente errado (paypaI com um i maiúsculo, palavras extra antes do domínio real).
  • Saudações genéricas — „Caro cliente” em vez do teu nome (menos fiável para o spear phishing).
  • Pedidos de credenciais ou códigos — os serviços reais não pedem a tua palavra-passe ou o teu código 2FA por email.
  • Anexos inesperados — sobretudo documentos que te pedem para „ativar o conteúdo”.
  • Um endereço de remetente que não corresponde à organização, mesmo que o nome apresentado pareça correto.

Como te proteger

Nenhum truque isolado chega; o que funciona são as camadas:

  • Não cliques em links de mensagens não solicitadas. Vai ao site diretamente, escrevendo o endereço ou usando um marcador, e faz login aí.
  • Ativa a autenticação de dois fatores (2FA). Se a tua palavra-passe for capturada por phishing, um segundo fator pode ainda bloquear o login. As chaves baseadas em app ou em hardware são mais fortes do que o SMS.
  • Usa um gestor de palavras-passe. Para além de palavras-passe fortes e únicas, acrescenta uma camada silenciosa anti-phishing — vê abaixo.
  • Verifica por outro canal. Se o teu „banco” te enviar mensagem, liga para o número que está no teu cartão, não para um que esteja na mensagem.
  • Mantém o software atualizado para que os anexos maliciosos tenham menos falhas para explorar, e denuncia o phishing ao teu fornecedor.

Um gestor de palavras-passe é um anti-phishing silencioso

Esta é a defesa subestimada. Um gestor de palavras-passe associa cada login guardado ao domínio real a que pertence. Numa página de phishing sósia, o gestor simplesmente não se oferece para preencher automaticamente as tuas credenciais — porque o domínio não corresponde. Essa recusa silenciosa é muitas vezes o primeiro sinal claro de que uma „página de login” é falsa, e impede-te de colar a tua palavra-passe no sítio errado.

A conclusão honesta

O phishing visa a confiança humana, não as falhas de software, e é por isso que até os especialistas ocasionalmente caem numa mensagem de spear phishing bem elaborada. Não podes confiar em nunca cometer um erro — confias na defesa em profundidade: abranda perante mensagens urgentes, vai aos sites diretamente, e coloca a 2FA e um gestor de palavras-passe entre um único deslize e uma conta roubada. Essas camadas transformam um phishing bem-sucedido num quase-acidente evitado.