Phishing é uma técnica de golpe digital em que criminosos se passam por empresas, bancos ou pessoas conhecidas para enganar a vítima e roubar dados como senhas, números de cartão e informações pessoais. A mensagem geralmente chega por e-mail, SMS ou redes sociais, com um link falso que imita um site legítimo.
Denunciar tentativas de phishing é simples e faz diferença real. Quando você reporta uma mensagem suspeita no Gmail, no Outlook, no WhatsApp ou em qualquer outra plataforma, ajuda os sistemas de segurança a identificar e bloquear esses golpes para outros usuários. A maioria dos serviços tem um botão de denúncia com apenas alguns cliques.
Este guia explica como o phishing funciona, quais os sinais que entregam uma mensagem falsa e o passo a passo para denunciar em cada plataforma. Se você já clicou em algum link suspeito, também vai encontrar aqui o que fazer para se proteger agora.
O que é phishing e como esse golpe digital funciona?
Phishing é uma forma de engenharia social em que o atacante cria uma isca digital para fisgar a vítima. O nome vem do inglês fishing, pescar, e a analogia é precisa: o golpista lança uma mensagem atraente esperando que alguém morda.
O funcionamento segue um padrão bem definido. O criminoso cria um e-mail, página ou mensagem que imita uma fonte confiável, como o Bradesco, a Receita Federal, o Mercado Livre ou até o seu banco. A vítima recebe a mensagem, clica no link e é redirecionada para um site falso que parece idêntico ao original. Ao preencher qualquer formulário nesse site, os dados vão direto para o atacante.
Existem variações do golpe com alvos diferentes. O spear phishing é uma versão direcionada, onde o criminoso pesquisa informações sobre a vítima antes de atacar, tornando a mensagem muito mais convincente. Já o smishing usa SMS e o vishing usa ligações telefônicas.
O objetivo final quase sempre é o mesmo: roubar credenciais de acesso, dados bancários ou informações que permitam aplicar outros golpes. Em alguns casos, o link leva ao download de um arquivo malicioso em vez de um formulário falso.
Para entender melhor como esses ataques são estruturados, vale conferir este conteúdo sobre o que é um ataque phishing com mais detalhes técnicos.
Como identificar se uma mensagem ou e-mail é phishing?
Identificar uma tentativa de phishing fica mais fácil quando você sabe exatamente o que observar. A maioria dos golpes tem características em comum que aparecem assim que você presta atenção nos detalhes.
O primeiro passo é desacelerar. Mensagens de phishing costumam criar urgência artificial: “Sua conta será bloqueada em 24 horas”, “Ação necessária agora” ou “Você tem uma pendência fiscal”. Esse senso de pressa é intencional para que você aja sem pensar.
Além do tom urgente, observe os elementos visuais e técnicos da mensagem. Um e-mail legítimo de um banco raramente pede que você clique em um link para atualizar seus dados. Instituições sérias orientam os clientes a acessar o site diretamente pelo navegador, nunca por links em e-mail.
Se quiser aprofundar o tema, este artigo sobre como identificar fraudes de phishing traz uma análise mais detalhada dos padrões usados pelos golpistas.
Quais são os principais sinais de um e-mail falso?
Alguns indicadores quase sempre estão presentes em mensagens fraudulentas. Confira os mais comuns:
- Endereço de remetente estranho: O nome pode ser “Banco Itaú”, mas o e-mail real é algo como suporte@itau-seguranca.net ou noreply@bancoseguro123.com. Sempre expanda o campo “De” para ver o endereço completo.
- URL diferente do site oficial: Passe o cursor sobre o link sem clicar. O endereço que aparece na barra inferior do navegador ou no tooltip revela o destino real. Um domínio como “bradesco-atualiza.com” não é o site do banco.
- Erros de português ou formatação estranha: Textos com erros gramaticais, palavras em caixa alta sem motivo ou layout quebrado são sinais de alerta frequentes.
- Saudação genérica: Mensagens que começam com “Prezado cliente” ou “Usuário” em vez do seu nome podem indicar um disparo em massa sem personalização.
- Anexos inesperados: Arquivos .exe, .zip ou mesmo .pdf enviados sem contexto podem conter malware embutido.
- Pedido de dados sensíveis: Nenhuma empresa legítima pede senha, número completo do cartão ou código de segurança por e-mail.
Se a mensagem que você recebeu apresenta dois ou mais desses sinais ao mesmo tempo, trate-a como suspeita até que prove o contrário. A dúvida deve ser o padrão, não a exceção.
Qual a diferença entre phishing, malware e spam?
Os três termos aparecem juntos com frequência, mas descrevem ameaças com naturezas distintas.
Phishing é uma técnica de engano. O objetivo é manipular a vítima para que ela entregue informações voluntariamente, sem perceber que está sendo enganada. O dano vem da ação da própria vítima.
Malware é um software malicioso que infecta o dispositivo. Pode ser um vírus, ransomware, spyware ou trojan. Ao contrário do phishing, o malware age de forma técnica no sistema, sem necessariamente precisar que o usuário forneça dados. Um e-mail de phishing, porém, pode ser o veículo que entrega o malware por meio de um anexo ou link. Se precisar lidar com esse cenário, veja como remover malware do Chrome.
Spam é simplesmente um e-mail não solicitado, geralmente publicitário. A maioria do spam é irritante, mas inofensiva. O problema é que golpes de phishing frequentemente usam o formato e a distribuição em massa do spam para alcançar mais vítimas.
Em resumo: spam é volume, malware é código, phishing é manipulação. Uma mesma mensagem pode combinar os três ao mesmo tempo, o que a torna especialmente perigosa.
Por que você deve denunciar tentativas de phishing?
Denunciar não é só uma questão de proteção pessoal. Quando você reporta uma mensagem falsa, contribui diretamente para que as plataformas identifiquem e bloqueiem aquela campanha antes que outras pessoas sejam afetadas.
Os sistemas de filtragem de e-mail e as redes sociais usam dados coletivos para treinar seus algoritmos de segurança. Cada denúncia funciona como um sinal que alimenta esses modelos, tornando-os mais precisos ao longo do tempo.
Além disso, no Brasil, tentativas de golpe digital podem ser comunicadas a órgãos como o SaferNet Brasil, o Cert.br e, em casos de prejuízo financeiro, diretamente à delegacia de crimes cibernéticos do seu estado. Registrar um boletim de ocorrência também pode ser necessário para acionar seguros ou contestar transações fraudulentas junto ao banco.
Do ponto de vista prático, a denúncia dentro da plataforma leva menos de um minuto. O remetente fica bloqueado, a mensagem é sinalizada e as equipes de segurança da empresa recebem o relatório para análise. É a ação mais simples e mais eficaz que qualquer usuário pode tomar.
Como denunciar phishing nos principais serviços de e-mail?
A grande maioria dos provedores de e-mail oferece um mecanismo nativo de denúncia. Você não precisa encaminhar a mensagem para nenhum endereço específico nem instalar nada. O processo é feito diretamente pela interface do serviço.
O ponto de partida é sempre o mesmo: não clique em nenhum link da mensagem suspeita antes de denunciá-la. Abra apenas o e-mail em si para verificar os detalhes, identifique as características suspeitas e use o menu de opções para reportar.
Após a denúncia, a mensagem geralmente é movida para a lixeira ou para a pasta de spam automaticamente. O servidor de e-mail registra o reporte e pode usar essa informação para bloquear o remetente globalmente em outros usuários da plataforma.
Se você quiser entender o que caracteriza um e-mail de phishing em detalhes técnicos antes de denunciar, essa leitura ajuda a ter mais certeza sobre o que está vendo.
Passo a passo para denunciar no Gmail e Outlook
No Gmail:
- Abra o e-mail suspeito sem clicar em nenhum link.
- Clique nos três pontos verticais no canto superior direito da mensagem.
- Selecione a opção “Denunciar phishing”.
- Confirme na janela que aparecer. O Gmail move o e-mail para spam e registra o reporte.
Também é possível usar a opção “Denunciar spam” se a mensagem não for claramente uma tentativa de roubo de dados, mas ainda assim for indesejada.
No Outlook (web e desktop):
- Selecione o e-mail suspeito na caixa de entrada.
- Clique em “Lixo” na barra superior, depois em “Phishing”.
- Confirme a ação. O Outlook encaminha automaticamente o e-mail para a equipe de segurança da Microsoft.
Na versão desktop do Outlook com o suplemento Report Message instalado, o botão aparece diretamente na faixa de opções, facilitando ainda mais o processo.
Independentemente da plataforma, nunca responda ao e-mail suspeito e não encaminhe para outras pessoas sem avisar que se trata de um possível golpe.
Como denunciar phishing em redes sociais e no WhatsApp?
Golpes de phishing não ficam restritos ao e-mail. Links falsos se espalham com rapidez pelo WhatsApp, Instagram, Facebook e outras plataformas. O procedimento de denúncia varia um pouco entre elas, mas segue a mesma lógica.
No WhatsApp: Abra a conversa com o contato ou número desconhecido que enviou o link suspeito. Role a tela para cima, pressione e segure a mensagem específica e selecione “Denunciar”. Você também pode denunciar o contato inteiro abrindo as informações do chat e tocando em “Denunciar” no final da página. O WhatsApp envia as últimas mensagens trocadas com aquele número para análise.
Ativar a autenticação de dois fatores no WhatsApp também é uma medida essencial para proteger sua conta depois de qualquer exposição a golpes.
No Instagram e Facebook: Clique nos três pontos ao lado da publicação, mensagem ou perfil suspeito e escolha “Denunciar”. As opções incluem “É um spam”, “É uma fraude ou golpe” e “Está fingindo ser outra pessoa”. Escolha a que melhor descreve o caso.
No Telegram: Pressione e segure a mensagem, selecione “Denunciar” e indique o motivo. Para canais ou grupos suspeitos, acesse o perfil e use a opção de denúncia disponível no menu.
Em todos os casos, bloqueie o contato após denunciar para interromper qualquer tentativa de contato futuro.
O que fazer após clicar em um link suspeito de phishing?
Clicar em um link antes de perceber que é falso acontece com frequência. O importante é agir com calma e rapidez para limitar os danos.
Primeiro: desconecte o dispositivo da internet se você suspeitar que um arquivo malicioso foi baixado. Isso impede que um possível malware se comunique com servidores externos.
Segundo: não preencha nenhum formulário no site que abriu. Se você apenas clicou no link mas não inseriu nenhum dado, o risco é menor. Se preencheu alguma informação, passe para os próximos passos com urgência.
Terceiro: troque as senhas das contas que podem ter sido comprometidas. Comece pelas mais críticas: e-mail principal, banco, redes sociais. Use senhas únicas e fortes para cada uma.
Quarto: ative a autenticação multifator em todas as contas importantes. Entenda como funciona a autenticação multifator e por que ela é uma das proteções mais eficazes disponíveis.
Quinto: verifique seu dispositivo em busca de arquivos maliciosos. Se precisar, consulte este guia sobre como remover phishing do PC para entender os passos de limpeza.
Se dados bancários foram inseridos, entre em contato com o banco imediatamente para bloquear o cartão ou a conta e registre o caso em uma delegacia de crimes cibernéticos.
Quais as melhores ferramentas para evitar ataques de phishing?
A melhor defesa contra phishing combina comportamento consciente com ferramentas técnicas. Nenhuma ferramenta substitui a atenção do usuário, mas elas criam camadas de proteção que reduzem significativamente o risco.
Gerenciadores de senha como Bitwarden, 1Password e outros têm um efeito colateral poderoso contra phishing: eles só preenchem automaticamente as credenciais no domínio exato onde a senha foi cadastrada. Se você está em um site falso, o gerenciador não reconhece o endereço e não preenche nada, sinalizando que algo está errado.
Autenticação de dois fatores em todas as contas sensíveis. Mesmo que uma senha seja roubada por phishing, o segundo fator impede o acesso. Saiba como configurar a autenticação de dois fatores nas principais plataformas.
Extensões de segurança para o navegador como o Google Safe Browsing (já embutido no Chrome e Firefox) e extensões como uBlock Origin ajudam a bloquear sites maliciosos antes mesmo de carregarem.
Antivírus atualizado com proteção em tempo real detecta downloads maliciosos e bloqueia conexões com servidores de phishing conhecidos.
DNS seguro é uma solução menos conhecida pelo público geral, mas muito eficaz. Serviços como o Cloudflare 1.1.1.1 com filtragem de malware bloqueiam domínios fraudulentos na camada de resolução de endereços, antes de qualquer conexão ser estabelecida.
Para quem quer desenvolver uma compreensão mais sólida sobre cibersegurança e não apenas usar ferramentas no piloto automático, entender o que fazer na área de cibersegurança pode abrir caminhos tanto para a proteção pessoal quanto para uma carreira técnica na área.
