O que é um e-mail de phishing?

Saiba o que é um e-mail de phishing e como se pode proteger deste tipo de fraude online.

Definição de e-mails de phishing

Phishing é um tipo de fraude online em que os criminosos tentam enganar as pessoas a fornecerem informações confidenciais, como palavras-passe, números de cartões de crédito e detalhes pessoais. Para tal, um criminoso finge ser uma pessoa ou empresa de confiança, como um banco, uma agência governamental ou um site popular.

Um e-mail de phishing é uma mensagem fraudulenta concebida para parecer autêntica. Normalmente, pede-lhe para clicar numa ligação, transferir um anexo ou fornecer detalhes pessoais, numa tentativa de roubar informações valiosas. Estes e-mails criam frequentemente um sentido de urgência, por exemplo, ao avisarem que a sua conta está em risco ou ao oferecerem uma recompensa com prazo limitado, para exercer pressão para que atue rapidamente.

Principais conclusões

Os e-mails de phishing foram concebidos para roubar informações pessoais, ao fingirem ser de origens legítimas.
Os sinais comuns de e-mails de phishing incluem remetentes suspeitos, pedidos urgentes, saudações genéricas, anexos inesperados e pedidos de informações confidenciais.
Se receber um e-mail de phishing, atue rapidamente através da alteração de palavras-passe, da notificação das partes relevantes e da comunicação do e-mail.
Previna ataques de phishing mantendo-se alerta, utilizando práticas de segurança robustas e mantendo o software atualizado com proteção antivírus e filtros de e-mail.
Ajude a detetar e impedir o phishing através de filtragem com tecnologia de IA, deteção de ameaças em tempo real e ferramentas de autenticação multifator do Microsoft Security.

Por que motivo é importante compreender os e-mails de phishing

O mundo é mais digital do que nunca, e os e-mails de phishing são uma das maiores ameaças online. Os cibercriminosos enviam milhões de e-mails de phishing todos os dias que visam indivíduos, empresas e até mesmo agências governamentais. Ser vítima de um ciberataque, como um e-mail de phishing, pode levar a identidades roubadas, perdas financeiras e contas pirateadas. Nos locais de trabalho, um clique errado pode comprometer redes inteiras, conduzindo a falhas de segurança de dados e a danos dispendiosos.

Reconhecer e-mails de phishing é uma competência fundamental para se proteger a si e às suas informações. Os atacantes estão a melhorar a sua capacidade de fazer com que os seus esquemas fraudulentos pareçam reais, mas conhecer os sinais de alerta pode ajudar a evitá-los.

Compreender o phishing não é apenas útil para si, também ajuda a manter o seu local de trabalho, família e amigos seguros. Quanto mais pessoas conseguirem detetar estes esquemas fraudulentos, mais difícil será o êxito dos cibercriminosos.

A evolução dos e-mails de phishing

O phishing começou na década de 1990, quando os autores de esquemas fraudulentos enganaram as pessoas e as levaram a revelar as suas palavras-passe do AOL. À medida que a internet cresceu, os ataques de phishing tornaram-se mais sofisticados. Os criminosos começaram a copiar o aspeto e funcionalidade de sites reais para roubar informações de início de sessão. Com o tempo, o phishing expandiu-se para além do e-mail, passando a incluir mensagens de texto (smishing) e chamadas telefónicas (vishing). Atualmente, os atacantes utilizam mensagens geradas por IA e táticas de engenharia social para tornar os seus esquemas ainda mais convincentes.

Apesar dos avanços na cibersegurança, o phishing continua a ser uma das ameaças online mais comuns. Reconhecer e-mails de phishing é uma competência importante para se manter em segurança online.

Como funcionam os e-mails de phishing

Os e-mails de phishing foram concebidos para se parecerem com mensagens de empresas e pessoas em quem confia. O objetivo é induzir o utilizador a tomar uma determinada ação, utilizando truques psicológicos e de deceção.

Os cibercriminosos concebem cuidadosamente os e-mails de phishing para parecerem reais ao:

Imitarem marcas legítimas. Poderá ver logótipos oficiais, endereços de e-mail similares e designs de aspeto profissional.
Utilizarem detalhes pessoais. Alguns esquemas fraudulentos incluem o seu nome, e-mail ou outras informações para fazer com que a mensagem pareça mais autêntica.
Incorporarem ligações falsas. O e-mail pode conter ligações que parecem reais, mas que, na verdade, levam a sites falsos criados para roubar as suas informações.
Adicionarem anexos maliciosos. Alguns e-mails de phishing incluem ficheiros que instalam ransomware ou outros tipos de software malicioso se forem abertos.

Truques psicológicos utilizados nos e-mails de phishing

Os e-mails de phishing tiram partido das emoções das pessoas para aumentarem as hipóteses de um esquema bem-sucedido. As táticas comuns incluem:

Urgência. Por exemplo, ao ameaçarem bloquear a sua conta se não tomar uma determinada ação.
Medo. Por exemplo, ao comunicarem que a sua conta foi comprometida.
Curiosidade. Por exemplo, ao enviarem um recibo ou fatura por algo que não comprou.
Incentivo financeiro. Por exemplo, ao dizerem que ganhou um sorteio ou um cartão de oferta.
Autoridade. Por exemplo, ao fazerem-se passar por alguém do departamento de TI do seu trabalho.

Como identificar um e-mail de phishing

Os e-mails de phishing podem ser convincentes, mas têm frequentemente sinais reveladores. Eis o que deve ter em atenção:

Ligações suspeitas. Paire sobre as ligações (sem clicar) para ver onde realmente conduzem. Por vezes, as ligações de phishing contêm erros ortográficos, carateres adicionais ou domínios desconhecidos, por exemplo, "micros0ft-support.com" em vez de "microsoft.com." Se uma ligação parecer estranha, não clique nela.
Anexos inesperados. Tenha sempre cuidado com os anexos de e-mail, especialmente se lhe pedirem para ativar macros ou instalar software. As empresas legítimas raramente enviam anexos que não solicitou.
Linguagem urgente ou ameaçadora. Um texto que diga que tem de agir imediatamente ou irá enfrentar uma suspensão da conta exerce pressão para que aja por medo. Os autores de esquemas fraudulentos recorrem ao pânico para obter respostas rápidas.
Pedidos de informações pessoais ou financeiras. Nenhuma empresa legítima irá pedir-lhe para fornecer palavras-passe, números de cartão de crédito ou números de Segurança Social por e-mail. Em caso de dúvida, contacte a empresa diretamente através de canais oficiais e não clique em nada no e-mail.
Saudações genéricas e falta de personalização. Por vezes, os e-mails de phishing utilizam aberturas genéricas, como "Caro cliente" ou "Caro utilizador", em vez de utilizarem o seu nome. Normalmente, as empresas reais personalizam os seus e-mails.
Erros de gramática e ortografia. Muitos e-mails de phishing contêm frases estranhas, erros ortográficos ou palavras invulgares. As organizações profissionais reveem os seus e-mails, pelo que este tipo de erros pode ser um sinal de alerta.
Endereços de remetente não coincidentes. Verifique atentamente o endereço de e-mail do remetente. Os autores de esquemas fraudulentos utilizam endereços semelhantes aos verdadeiros, mas com pequenas diferenças, como "support@micr0soft.com" em vez de "support@microsoft.com."

Cinco exemplos de e-mails de phishing

Veja estes exemplos de esquemas comuns de phishing por e-mail para compreender melhor o seu aspeto.

1. Alerta de segurança falso

Linha de assunto: Tentativa Invulgar de Início de Sessão Detetada - Ação Necessária!

Um e-mail de phishing que finge ser de um serviço conhecido, como o seu banco ou fornecedor de e-mail, avisa que alguém tentou aceder à sua conta. Inclui uma ligação para "proteger" a sua conta, mas a ligação conduz a uma página de início de sessão falsa concebida para roubar as suas credenciais.

Sinais de alerta:

O e-mail não menciona onde ocorreu a tentativa de início de sessão (sem detalhes de localização ou dispositivo).
A ligação "proteja a sua conta" conduz a um domínio que é ligeiramente diferente do verdadeiro site da empresa.
O endereço do remetente é algo como "security-alerts@accounts-support.com" em vez do domínio oficial da empresa.

2. Fatura ou pedido de pagamento falso

Assunto: Fatura #38491 Anexada—Pagamento Devido Imediatamente

Este tipo de e-mail de phishing afirma que deve dinheiro por um serviço que nunca utilizou. Exerce pressão para abrir uma fatura anexada ou clicar numa ligação para rever o custo. O anexo pode conter software malicioso ou a ligação pode levar a uma página de pagamento falsa.

Sinais de alerta:

O email é inesperado. As empresas legítimas não enviam faturas surpresa.
A fatura está num formato suspeito, como um ficheiro .ZIP ou um documento que lhe pede para ativar macros.
Não existem informações claras sobre quem enviou a fatura, não consta o nome da empresa ou os detalhes de contacto.

3. "Ganhou um prémio!" esquema fraudulento

Assunto: Parabéns! Foi Selecionado para Ganhar um Cartão de Oferta de 500 USD

Este e-mail de phishing diz que ganhou um concurso e que só precisa de "verificar os seus detalhes" para receber o prémio. Pede informações pessoais ou encaminha o utilizador para um formulário que rouba os seus dados.

Sinais de alerta:

Nunca participou num concurso, o que torna a vitória suspeita.
O e-mail pede detalhes pessoais, como o seu endereço, número de telefone ou informações do cartão de crédito.
O endereço de e-mail do remetente é uma conta genérica do Gmail ou Yahoo em vez de um domínio da empresa.

4. Fraude de CEO (compromisso de e-mail empresarial)

Assunto: Pedido Rápido—Preciso da Sua Ajuda o Mais Rápido Possível

Esta tentativa de phishing no local de trabalho tem como alvo os empregados de uma empresa, ao fingir ser do seu chefe, de um executivo sénior ou dos recursos humanos. O e-mail pede ao destinatário para comprar cartões de oferta, transferir dinheiro ou fornecer dados confidenciais da empresa. Os atacantes normalmente fazem spoof do endereço de e-mail de um gestor ou utilizam um endereço semelhante com uma pequena diferença.

Sinais de alerta:

O e-mail é urgente e vago, sem contexto prévio.
O endereço do remetente é ligeiramente diferente do endereço do verdadeiro executivo (por exemplo, "ceo@companyname.co" em vez de "ceo@companyname.com)."
O pedido é invulgar, a maioria das empresas tem processos formais para transações financeiras.

5. Reposição de palavra-passe do departamento de TI falsa

Assunto: Aviso de TI: A sua Palavra-passe de E-mail Expira Hoje

Este e-mail é supostamente da equipa de TI da sua empresa, pedindo-lhe para repor a sua palavra-passe imediatamente. A ligação fornecida leva a uma página de início de sessão falsa que rouba as suas credenciais.

Sinais de alerta:

O e-mail não segue o estilo de comunicação de TI habitual da sua empresa.
O e-mail do remetente não é do domínio oficial da empresa.
O suporte de TI geralmente não pede aos colaboradores que reponham palavras-passe através de ligações de e-mail. Em vez disso, as empresas tendem a utilizar portais internos.

O que fazer se receber um e-mail de phishing

Se receber um e-mail de phishing, não entre em pânico, mas também não interaja com o mesmo. Siga estes passos para se proteger a si e aos outros.

1. Não clique em ligações nem abra anexos

Evite clicar em ligações, transferir anexos ou responder ao e-mail.
Mesmo que o e-mail pareça convincente, interagir com o mesmo pode levar a software malicioso ou a informações roubadas.

2. Verifique o remetente

Verifique atentamente o endereço de e-mail do remetente. Se algo parecer estranho, como um ligeiro erro ortográfico ou um domínio desconhecido, é provável que se trate de um esquema fraudulento.
Se o e-mail alegar ser de uma empresa, vá diretamente ao site oficial da empresa em vez de utilizar as ligações fornecidas.

3. Comunique o e-mail de phishing

Se recebeu o e-mail no trabalho, reencaminhe-o para a sua equipa de TI ou de segurança.
Nos Estados Unidos, comunique o phishing à Federal Trade Commission (FTC) ou reencaminhe o e-mail para phishing-report@us-cert.gov.

4. Marque o e-mail como spam e elimine-o

Muitos serviços de e-mail têm uma opção "Comunicar phishing" que ajuda a melhorar os filtros de spam. Se não vir essa opção, comunique o e-mail como spam.
Se o seu fornecedor de e-mail não mover automaticamente o e-mail para o lixo depois de o ter sinalizado, elimine-o para não o abrir acidentalmente mais tarde.

Passos a seguir se tiver interagido com um e-mail de phishing

Depois de interagir com um e-mail de phishing, seja ao clicar numa ligação, ao transferir um anexo ou ao fornecer informações pessoais, deve agir rapidamente para limitar os danos. Eis o que deve fazer.

1. Tome nota do que partilhou

Se introduziu a sua palavra-passe, dados bancários ou informações pessoais, anote o que partilhou.
Isto ajudará a determinar o que precisa de ser protegido e a quem notificar.

2. Altere as palavras-passe imediatamente

Atualize quaisquer palavras-passe que possa ter partilhado, especialmente para contas bancárias, de e-mail ou profissionais.
Se utilizar a mesma palavra-passe noutros sites, altere-a também nesses sites.
Utilize palavras-passe fortes e únicas e ative a autenticação multifator para uma segurança adicional.

3. Informe as pessoas que precisam de saber

Se o e-mail de phishing visou a sua conta profissional, alerte a sua equipa de TI ou de segurança.
Se forneceu detalhes financeiros, contacte o seu banco ou empresa de cartão de crédito para monitorizar as transações e congelar a sua conta, se necessário.
Informe amigos, familiares e colegas sobre o que aconteceu se o esquema fraudulento puder afetá-los (por exemplo, se os atacantes puderem utilizar a sua conta comprometida para enviar e-mails de phishing aos mesmos).

4. Comunique o ataque de phishing

Se perdeu dinheiro ou se lhe foram roubados dados confidenciais, comunique o ataque à FTC.
Se ocorreu fraude financeira, entre em contacto com as autoridades locais.
Marque a mensagem como uma tentativa de phishing ou spam através do seu fornecedor de e-mail para ajudar a bloquear ataques semelhantes.

5. Prepare-se para tentativas de phishing subsequentes

Os autores de esquemas fraudulentos voltam frequentemente a visar as vítimas, utilizando os dados roubados para enviar novos e-mails, mensagens de texto ou chamadas de phishing.
Tenha cuidado redobrado com mensagens que afirmam ajudar a recuperar a sua conta ou que solicitam mais informações pessoais.

O que acontece se for vítima de phishing?

Ser vítima de um ataque de phishing pode ter consequências graves que afetam tanto indivíduos como organizações. Aqui estão alguns efeitos potenciais.

Roubo de identidade

Os phishers roubam informações pessoais, como números de Segurança Social, endereços e datas de nascimento, para usurpar a identidade das vítimas. Isto pode levar à abertura de contas de crédito ou à prática de crimes em nome da vítima.

Perdas financeiras

O acesso a dados financeiros privados, como detalhes de contas bancárias ou números de cartões de crédito, pode resultar em transações não autorizadas e perdas monetárias significativas. Por exemplo, um sofisticado esquema fraudulento de phishing relacionado a faturas que visou o Google e o Facebook entre 2013 e 2015 resultou em perdas de 100 milhões de USD.

Informações confidenciais comprometidas

Os ataques de phishing podem expor dados confidenciais, incluindo segredos comerciais e comunicações pessoais. Em 2021, um e-mail de phishing levou ao ataque ao Gasoduto Colonial, que causou uma grande interrupção no fornecimento de combustível nos Estados Unidos.

Danos à reputação

As organizações atingidas por ataques de phishing podem sofrer danos a longo prazo à sua reputação. Clientes e parceiros podem perder a confiança, especialmente se os seus dados foram comprometidos. Esta perda de confiança pode ter efeitos duradouros nas relações comerciais, nas finanças e na perceção pública.

Prevenir um ataque de e-mail de phishing

Mesmo que os e-mails de phishing possam ser convincentes, ainda existem formas de se proteger, mantendo-se alerta e seguindo as melhores práticas de segurança de e-mail.

Tenha cuidado com todos os emails que pedem interação

Analise sempre os e-mails cuidadosamente antes de clicar em ligações ou transferir anexos.
Faça a si mesmo estas perguntas antes de interagir:
- Este e-mail faz sentido? Estou à espera dele?
- O endereço de e-mail do remetente está correto?
- Existem pedidos urgentes ou ameaças que me pressionam a agir rapidamente?
- A gramática e o tom parecem profissionais?
Se algo parecer estranho, verifique o e-mail com o remetente através de um método de contacto fidedigno.

Aumente a segurança de e-mail

Utilize filtros de e-mail para bloquear mensagens de phishing conhecidas.
Marque e-mails suspeitos como spam para melhorar a filtragem.
Nunca clique em ligações ou transfira anexos de origens desconhecidas ou inesperadas.

Mantenha o seu software e ferramentas de segurança atualizadas

Instale software antivírus e certifique-se de que está atualizado para ajudar a detetar ameaças de phishing.
Ative atualizações automáticas para o seu sistema operativo, browsers e aplicações de e-mail para corrigir vulnerabilidades de segurança.

Utilize a autenticação multifator

Ativar a autenticação multifator para as suas contas online adiciona uma camada extra de segurança ao exigir um segundo passo (como um código enviado para o seu telemóvel) antes de iniciar sessão.
Mesmo que os atacantes roubem a sua palavra-passe, não poderão aceder à sua conta sem o segundo fator.

Mantenha-se um passo à frente do phishing com o Microsoft Security

À medida que os e-mails de phishing se tornam mais sofisticados, ao utilizarem e-mails gerados por IA, engenharia social e até tecnologia de deepfake, felizmente, o mesmo acontece com as soluções do Microsoft Security que os detetam e previnem.

Ao combinar a sensibilização com ferramentas de segurança robustas, estará a ajudar a evitar os e-mails de phishing e a proteger os seus dados pessoais e empresariais.

RECURSOS

Saiba mais sobre o Microsoft Security

Uma mulher e um homem a trabalhar com um tablet

Solução

SecOps unificadas, com tecnologia de IA

Combine as suas operações de segurança (SecOps) na prevenção, deteção e resposta com uma plataforma com tecnologia de IA.

Saiba mais

Obtenha acesso ao portal de proteção contra ameaças

Compreenda como as organizações estão a utilizar a deteção e resposta alargada (XDR) integrada e a Gestão de Informações e Eventos de Segurança (SIEM) para se tornarem mais resistentes a ataques.