This is the Trace Id: d52ce2074194975a7d3ab4ced417c60a
Pular para o conteúdo principal
Segurança da Microsoft

O que é phishing?

Saiba mais sobre phishing, o que observar em um ataque e como se proteger com ferramentas e dicas para se manter seguro online.
Defenda-se contra phishing

Definição de phishing

Os ataques de phishing têm como objetivo roubar ou danificar dados confidenciais, enganando as pessoas para que revelem informações pessoais, como senhas e números de cartão de crédito.

Principais conclusões

  • Phishing é um tipo de ataque cibernético em que os invasores se passam por fontes confiáveis para roubar informações confidenciais.
  • Esses ataques funcionam enganando indivíduos para que forneçam informações por meio de mensagens falsas projetadas para parecer autênticas.
  • Os ataques de phishing podem ser identificados por seus endereços de email suspeitos, saudações genéricas, linguagem urgente ou ameaçadora e solicitações para clicar em links desconhecidos. 
  • A melhor maneira de evitar ataques de phishing é usar autenticação multifator resistente a phishing (PR-MFA), ter cuidado com links e anexos de mensagens e manter-se informado sobre as táticas de phishing mais recentes.

Tipos comuns de ataques de phishing

Os ataques de phishing vêm de golpistas disfarçados de fontes confiáveis que tentam facilitar o acesso a todos os tipos de dados confidenciais. Embora esse tipo disseminado de ataque cibernético continue a evoluir junto com as novas tecnologias, as táticas permanecem consistentes:

Comunicação astuta
Os invasores são habilidosos em manipular suas vítimas para que forneçam dados confidenciais, ocultando mensagens e anexos mal-intencionados em locais onde as pessoas não são muito criteriosas, como em suas caixas de entrada de email. É fácil presumir que as mensagens que chegam à sua caixa de entrada são legítimas, mas tenha cuidado: emails de phishing geralmente parecem seguros e discretos. Para evitar ser enganado, desacelere e examine os hiperlinks e os endereços de email dos remetentes antes de clicar.

Percepção de necessidade
As pessoas caem em golpes de phishing porque acham que precisam agir. Por exemplo, as vítimas podem baixar malware disfarçado de currículo porque estão contratando com urgência ou inserir as credenciais bancárias em um site suspeito para salvar uma conta que, segundo foram informadas, expiraria em breve. Criar uma falsa percepção de necessidade é um truque comum porque funciona. Para proteger seus dados, opere com atenção redobrada ou instale uma tecnologia de proteção de email que fará o trabalho pesado por você.

Confiança falsa
Agentes mal-intencionados enganam as pessoas criando uma falsa sensação de confiança, e até pessoas mais perceptivas podem cair em seus golpes. Ao se passar por fontes confiáveis, como Google, Wells Fargo ou UPS, os golpistas podem enganar você para que tome uma atitude antes de perceber que foi enganado. Muitas mensagens de phishing passam despercebidas sem medidas avançadas de cibersegurança configuradas corretamente. Proteja suas informações particulares com tecnologia de segurança de email projetada para identificar conteúdo suspeito e eliminá-lo antes que ele chegue à sua caixa de entrada.

Manipulação emocional
Agentes mal-intencionados usam táticas psicológicas para convencer os alvos a agir antes de pensar. Depois de gerar confiança ao se passar por uma fonte conhecida e criar uma falsa sensação de urgência, os invasores exploram emoções, como medo e ansiedade, para conseguir o que desejam. As pessoas tendem a tomar decisões precipitadas quando estão sendo informadas de que perderão dinheiro, terão problemas legais ou não terão mais acesso a um recurso muito necessário. Cuidado com qualquer mensagem que exija uma "ação imediata" — ela pode ser fraudulenta.

Os tipos mais comuns de ataques de phishing incluem:

Phishing por email
A forma mais comum de phishing, esse tipo de ataque usa táticas de envio de hiperlinks falsos para induzir os destinatários a compartilhar informações pessoais. Os invasores costumam se passar por grandes provedores de contas, como Microsoft ou Google, ou até mesmo por um colega de trabalho.

Phishing de malware
Outra abordagem de phishing predominante, esse tipo de ataque envolve a implantação de malware disfarçado de anexo confiável (como um currículo ou extrato bancário) em um email. Em alguns casos, abrir um anexo de malware pode paralisar sistemas de TI inteiros.

Spear phishing
Enquanto a maioria dos ataques de phishing lança uma rede ampla, o spear phishing tem como alvo indivíduos específicos, explorando informações coletadas por meio de pesquisas sobre seus trabalhos e vidas sociais. Esses ataques são altamente personalizados, o que os torna particularmente eficazes para contornar a cibersegurança básica.

Whaling
Quando agentes mal-intencionados têm como alvo um "peixe grande" como um executivo de negócios ou uma celebridade, isso é chamado de whaling (ou pesca de baleias). Esses golpistas geralmente realizam pesquisas consideráveis sobre os alvos para encontrar um momento oportuno de roubar credenciais de login ou outras informações confidenciais. Se você tem muito a perder, os invasores de whaling têm muito a ganhar.

Smishing
Uma combinação das palavras "SMS" e "phishing", o smishing envolve o envio de mensagens de texto disfarçadas de comunicações confiáveis de empresas como Amazon ou FedEx. As pessoas são particularmente vulneráveis a golpes por SMS, pois as mensagens de texto são entregues em texto sem formatação e parecem mais pessoais.

Vishing
Nas campanhas de vishing, agentes mal-intencionados em centrais de atendimento fraudulentas tentam enganar as pessoas para que forneçam informações confidenciais por telefone. Em muitos casos, esses golpes usam engenharia social para enganar as vítimas e instalar malware em seus dispositivos na forma de um aplicativo.

Os perigos do phishing

Um ataque de phishing bem-sucedido pode ter consequências graves. Isso pode parecer dinheiro roubado, cobranças fraudulentas em cartões de crédito, perda de acesso a fotos, vídeos e arquivos — até mesmo cibercriminosos se passando por você e colocando outras pessoas em risco.

Os riscos para um empregador podem incluir perda de fundos corporativos, exposição de informações pessoais de clientes e colegas de trabalho ou roubo de arquivos confidenciais ou sua indisponibilidade. Uma violação de dados também pode ter um impacto negativo duradouro na reputação de uma empresa. Em alguns casos, o dano pode ser irreparável.

Alguns exemplos do mundo real monitorados pelas Informações sobre Ameaças da Microsoft incluem:
 
  • O ator da ameaça russo Star Blizzard foi observado ao implantar mensagens de spear phishing para jornalistas, think tanks e organizações não governamentais, em um esforço para roubar informações confidenciais.
  • O Sapphire Sleet, com sede na Coreia do Norte, foi relatado como tendo roubado mais de USD$ 10 milhões em criptomoedas, principalmente se passando por capitalista de risco e, secundariamente, por recrutadores profissionais.
  • Descobriu-se que o ator da ameaça conhecido como Storm-2372 conduziu uma campanha de phishing de código de dispositivo, na qual explorou experiências de aplicativos de mensagens para capturar tokens de autenticação.

Como reconhecer ataques de phishing

Os atores da ameaça podem segmentar uma ampla gama de indivíduos, especialmente aqueles com acesso a informações confidenciais. Muitos desses funcionários estão em funções estratégicas, como TI, finanças e no nível executivo. No entanto, os atores da ameaça também podem fingir ser um supervisor "solicitando" credenciais de seus funcionários — por isso, todos devem estar atentos a mensagens suspeitas.

O objetivo principal de qualquer golpe de phishing é roubar informações e credenciais confidenciais. Desconfie de qualquer mensagem (por telefone, email ou texto) que solicite dados confidenciais ou peça para você provar sua identidade.

Os invasores trabalham duro para imitar entidades familiares e usarão os mesmos logotipos, designs e interfaces de marcas ou indivíduos com os quais você já está familiarizado. Esteja sempre alerta e não clique em um link nem abra um anexo, a menos que tenha certeza de que a mensagem é legítima.

Aqui estão algumas dicas para reconhecer um email de phishing:
 
  • Ameaças urgentes ou chamadas para ação, como abrir imediatamente.
  • Remetentes novos ou pouco frequentes — qualquer pessoa enviando email para você pela primeira vez.
  • Ortografia e gramática deficientes, muitas vezes devido a traduções estrangeiras inadequadas.
  • Links ou anexos suspeitos — texto com hiperlink que revela links de um endereço IP ou domínio diferente.
  • Erros de ortografia sutis, como micros0ft.com ou rnicrosoft.com.

Prevenção de ataques de phishing

Aqui estão algumas etapas práticas que você pode seguir para se proteger contra ataques de phishing:
 
  1. Reconheça os sinais. Os exemplos incluem saudações desconhecidas, mensagens não solicitadas, erros de gramática e ortografia, senso de urgência, links ou anexos suspeitos e solicitações de informações pessoais.
  2. Relate qualquer coisa suspeita. Relate mensagens suspeitas ao departamento de TI da sua organização ou sinalize-as por meio das ferramentas de relatórios designadas.
  3. Instalar software de segurança. Implante softwares projetados para detectar e bloquear tentativas de phishing, como programas antivírus ou firewalls.
  4. Exigir autenticação multifator (MFA). Essa etapa adiciona uma camada extra de segurança. Vá ainda mais longe com MFA resistente a phishing (PR-MFA), que protege contra engenharia social.
  5. Mantenha-se informado por meio de educação e treinamento. Sessões de treinamento regulares podem ajudar você e seus colegas a identificar e relatar tentativas de phishing pelos canais adequados. Os métodos de ataque estão em constante evolução. Portanto, é melhor ficar por dentro das tendências atuais em cibersegurança e das atualizações de inteligência contra ameaças.

Como responder a um ataque de phishing

Quando você encontrar uma tentativa de phishing, é fundamental agir rapidamente para minimizar os danos potenciais:
 
  1. Não responda. Mesmo uma resposta simples pode confirmar para um invasor que seu email está ativo, o que pode encorajá-lo a continuar tentando.
  2. Altere suas senhas. Se você suspeitar que suas credenciais foram comprometidas, altere suas senhas imediatamente. Implemente a MFA se ainda não estiver usando.
  3. Avise sua equipe de TI. Informá-los sobre a tentativa de phishing pode acionar uma resposta a incidentes para ajudar a mitigar danos na rede da sua organização.
  4. Relate a tentativa de phishing. Use as ferramentas de relatórios designadas ou siga as instruções fornecidas pela sua equipe de TI.
  5. Monitore suas contas. Verifique regularmente qualquer conta com dados confidenciais, como uma conta financeira, em busca de atividades suspeitas.
  6. Eduque seus colegas. Informe sua equipe sobre a tentativa de phishing e o que observar. Esta etapa simples pode fortalecer coletivamente as defesas.
Aplicando essas etapas e tomando medidas imediatas, você pode reduzir significativamente o risco de danos adicionais e proteger dados pessoais e organizacionais.  

Tendências de phishing

Os atores de ameaça usam uma variedade de malwares para realizar seus esquemas de phishing. Os mais comuns incluem:
 
  • Ransomware é um dos tipos mais comuns de malware. Ele restringe o acesso a dados criptografando arquivos ou bloqueando telas de computador e tenta extorquir dinheiro das vítimas pedindo um resgate em troca do acesso aos dados.
  • Spyware infecta um dispositivo e, em seguida, monitora a atividade no dispositivo e online, coletando quaisquer informações confidenciais usadas, como credenciais de logon e dados pessoais.
  • Bots permitem que invasores infectem e assumam o controle de dispositivos. Botnets são redes de bots que usam servidores de comando e controle (C&C) para ampliar ainda mais a rede e realizar atividades maliciosas.
  • Vírus são uma das formas mais antigas de malware. Eles se anexam a arquivos limpos e se espalham para outros arquivos e programas. 
  • Trojans se disfarçam de software comum. Depois de instalados, eles espalham código malicioso que pode assumir o controle de um dispositivo e criar uma backdoor para outros malwares.
Os ataques também adotaram malwares gerados por IA, que são mais sofisticados e difíceis de detectar, pois podem imitar o comportamento de software legítimo e regenerar código para escapar da segurança.

Essa rápida evolução dos malwares levou os profissionais de segurança a desenvolver técnicas semelhantes para usufruir da IA para segurança cibernética:  
  • As soluções de detecção e resposta estendida (XDR) unem ferramentas como detecção e resposta de ponto de extremidade (EDR), IA e aprendizado de máquina (ML) e outras ferramentas em uma única plataforma baseada em nuvem.
  • A detecção e resposta gerenciadas (MDR) combinam tecnologia com a experiência humana para fortalecer a segurança cibernética.
  • As soluções de gerenciamento de eventos e informações de segurança (SIEM) aprimoram a detecção de ameaças e a resposta a incidentes ao analisar dados de várias fontes.
Ao combinar essas soluções, as organizações obtêm uma busca de ameaças cibernéticas abrangente, detecção e análise da plataforma IA e funcionalidades de resposta automatizada em toda a sua infraestrutura digital.

Proteja-se contra ataques de phishing

Proteger você e sua empresa contra ataques de phishing exige uma combinação de vigilância, educação e medidas de segurança robustas. Programas regulares de treinamento e conscientização podem ajudar você e seus colegas a reconhecer e responder a tentativas de phishing. Certifique-se de usar senhas fortes e exclusivas, implementar MFA e relatar mensagens suspeitas ao departamento de TI.

As organizações podem proteger seus aplicativos e dispositivos contra phishing e outras ameaças cibernéticas com o Microsoft Defender para Office 365. Ele ajuda a proteger email e ferramentas de colaboração, oferecendo proteção avançada e melhorando a postura geral de segurança da empresa. O Defender para Office 365 também oferece funcionalidades de detecção e resposta a ameaças da plataforma IA, correção automática e treinamento de simulação de ataque cibernético para ajudar as organizações a se anteciparem às ameaças em evolução.
Precauções

Dicas rápidas para evitar phishing

Não confie em nomes de exibição
Verifique o email do remetente antes de abrir a mensagem — o nome de exibição pode ser falso.
Verifique se há erros de digitação
Erros de ortografia e gramática são comuns em emails de phishing. Se algo parecer estranho, sinalize.
Olhe antes de clicar
Focalize os hiperlinks em conteúdos que pareçam genuínos para inspecionar o endereço do link.
Leia a saudação
Se o email estiver endereçado a "Cliente Valioso" em vez de a você, fique atento. Provavelmente é fraudulento.
Examine a assinatura
Verifique se há informações de contato no rodapé do email. Remetentes legítimos sempre as incluem.
Cuidado com ameaças
Frases que provocam medo, como "Sua conta foi suspensa", são comuns em emails de phishing.
RECURSOS

Saiba como a Segurança da Microsoft pode proteger contra phishing

Uma mulher trabalhando com guias
Solução

Soluções de proteção e prevenção contra phishing

Ajude a detectar e corrigir ataques de phishing com forte segurança de email e autenticação.
Saiba mais
Um homem trabalhando com guia
Solução

Operações de segurança unificadas

Supere as ameaças cibernéticas com uma poderosa plataforma de operações de segurança.
Saiba mais
Uma mulher sentada à mesa trabalhando no laptop
Portal de Proteção contra Ameaças

Notícias sobre segurança cibernética e IA

Descubra as últimas tendências e práticas recomendadas em proteção contra phishing e IA para segurança cibernética.
Obtenha os recursos mais recentes

Perguntas frequentes

  • Phishing é um tipo de ataque cibernético em que invasores tentam enganar indivíduos para que forneçam informações confidenciais, como nomes de usuário, senhas, números de cartão de crédito ou outros dados pessoais. Isso geralmente é feito por meio da falsificação de uma entidade confiável em comunicações eletrônicas, como emails, mensagens de texto ou sites.
  • Na maioria dos casos, o invasor envia uma mensagem ao destinatário por email, SMS (mensagem de texto), telefone ou site. A mensagem é personalizada e parece ser de uma fonte legítima, solicitando urgentemente que o destinatário envie informações confidenciais ou clique em um link que o levará a um site falso projetado para roubar credenciais.
  • A melhor forma de se proteger contra ataques de phishing é garantir que seus dispositivos estejam configurados para autenticação multifator resistente a phishing (PR-MFA). Você também deve relatar qualquer conteúdo suspeito à equipe de segurança da sua organização. Você também pode se manter informado participando de programas de treinamento e conscientização para saber como reconhecer e responder a tentativas de phishing.

  • Os ataques de phishing mais comuns incluem:  

    • Phishing por email (mais comum): os invasores enviam emails que parecem ser legítimos, instando os destinatários a agir rapidamente para evitar perder o acesso aos recursos da empresa.
     
    • Smishing: phishing por SMS, instando os destinatários a clicar em um link ou fornecer informações.
     
    • Spear phishing: um método direcionado em que os invasores usurpam a identidade de uma fonte confiável, como o chefe, para roubar informações. 
     
    • Vishing: phishing por meio de chamadas telefônicas para recolher informações confidenciais.
  • O phishing é uma das formas mais eficazes de roubo de informações e pode ter consequências graves para indivíduos e organizações. Ataques de phishing bem-sucedidos podem expor informações pessoais e profissionais, além de resultar em acesso não autorizado a dados confidenciais, perdas financeiras e danos à reputação.

Siga a Segurança da Microsoft