Como Identificar E-mails de Phishing: Guia Completo
O phishing continua sendo um dos ataques mais comuns e eficazes do mundo digital. De acordo com o CERT.br, incidentes de phishing representam uma parcela significativa das fraudes digitais reportadas anualmente no Brasil. A boa notícia é que você pode aprender a identificar esses golpes com algumas dicas práticas.
O que é phishing?
Phishing é um tipo de ataque em que criminosos se passam por entidades confiáveis (bancos, Correios, Receita Federal, empresas conhecidas) para roubar suas informações pessoais, senhas ou dados bancários. O nome vem do inglês fishing (pescar) — os golpistas “lançam uma isca” esperando que você “morda o anzol”.
Os ataques chegam principalmente por:
- E-mail (forma mais comum)
- SMS (chamado de smishing)
- WhatsApp e redes sociais
- Ligações telefônicas (vishing)
Os 8 sinais de alerta mais comuns
1. Remetente com domínio suspeito
O primeiro lugar a verificar é o endereço de e-mail do remetente — não o nome exibido, mas o e-mail real.
Um e-mail legítimo do Banco do Brasil virá de um domínio como @bb.com.br. Se você receber uma mensagem de @bb-online-seguranca.com ou @bradesco-atendimento.info, é phishing.
Como verificar: No Gmail, clique na seta ao lado do nome do remetente. No Outlook, passe o mouse sobre o nome. Sempre cheque o domínio completo.
2. Urgência excessiva e ameaças
“Sua conta será bloqueada em 24 horas!”, “Ação imediata necessária!”, “Você tem uma pendência com a Receita Federal.”
Esses gatilhos de urgência são propositais: eles querem que você aja sem pensar. Empresas legítimas raramente enviam e-mails com ameaças urgentes dessa natureza.
Regra de ouro: Quanto maior a urgência do e-mail, mais cético você deve ser.
3. Links que não batem com a empresa
Antes de clicar em qualquer link, passe o mouse sobre ele (sem clicar!) e olhe para o endereço que aparece na barra de status do seu navegador ou no rodapé do e-mail.
Exemplos de URLs falsas comuns no Brasil:
bradesco-seguranca.net(domínio diferente do oficialbradesco.com.br)correios.entrega-rastreio.com(a Correios usacorreios.com.br)receita.federal-consulta.org(o domínio oficial égov.br)
4. Erros de ortografia e gramática
E-mails fraudulentos frequentemente contêm erros de português, formatação estranha, acentos errados ou frases que parecem traduzidas automaticamente. Grandes empresas têm equipes de revisão — erros básicos são raros em comunicações oficiais.
5. Anexos não solicitados
Nunca abra anexos que você não esperava receber, especialmente arquivos .exe, .zip, .rar, .doc com macros habilitadas ou .pdf solicitando senhas. Esses arquivos frequentemente contêm malware.
6. Solicitação de informações sensíveis
Bancos, Receita Federal e empresas sérias nunca pedem sua senha, número completo do cartão ou código CVV por e-mail. Se um e-mail pede isso, é fraude.
7. Design inconsistente
Logos pixelados, cores levemente diferentes das originais, layout quebrado ou ausência de rodapé com CNPJ e endereço da empresa são sinais de e-mail falsificado.
8. E-mail genérico sem seu nome
“Prezado cliente” em vez de “Prezado João Silva” pode indicar que o e-mail foi enviado em massa para uma lista comprada, e não por uma empresa que realmente tem você como cliente.
Como verificar se um e-mail é phishing passo a passo
- Não clique em nada — Leia o e-mail com cuidado antes de qualquer ação.
- Verifique o remetente — Confira o endereço de e-mail completo, não apenas o nome.
- Passe o mouse nos links — Veja o URL real antes de clicar.
- Acesse o site diretamente — Em vez de clicar no link, abra seu navegador e acesse o site oficial digitando o endereço você mesmo.
- Use o VirusTotal — Cole o link suspeito em virustotal.com para verificar se é malicioso.
- Confirme pelo canal oficial — Se recebeu um e-mail do seu banco, ligue para o número no verso do seu cartão ou acesse o app oficial.
Ferramentas gratuitas para se proteger
| Ferramenta | Para que serve | Acesso |
|---|---|---|
| VirusTotal | Analisa links e arquivos suspeitos | virustotal.com |
| URLVoid | Verifica reputação de URLs | urlvoid.com |
| Have I Been Pwned | Checa se seu e-mail foi vazado | haveibeenpwned.com |
| Google Safe Browsing | Verificador de sites maliciosos | transparencyreport.google.com |
O que fazer se você caiu em um phishing
Se você clicou em um link suspeito ou forneceu suas informações:
- Troque imediatamente a senha do serviço afetado e de qualquer outro onde use a mesma senha.
- Entre em contato com seu banco se dados financeiros foram envolvidos — solicite bloqueio do cartão se necessário.
- Ative a autenticação em dois fatores (2FA) em todas as contas importantes.
- Reporte o golpe ao CERT.br pelo endereço
cert@cert.bre ao banco ou empresa que foi falsificada. - Execute um antivírus no seu dispositivo para verificar se algum malware foi instalado.
Perguntas frequentes sobre phishing
O antivírus me protege de phishing? Antivírus e navegadores modernos bloqueiam muitos sites de phishing conhecidos, mas não são infalíveis. A melhor proteção ainda é o ceticismo saudável.
Posso ser infectado só de abrir um e-mail? Na maioria dos clientes de e-mail modernos, abrir um e-mail sem clicar em links ou baixar anexos não é suficiente para infectar seu dispositivo. O risco está nos links e anexos.
Phishing por WhatsApp é diferente? A mecânica é a mesma — criar urgência e levar você a clicar em links maliciosos — mas no WhatsApp os golpes costumam vir de contatos conhecidos que já foram hackeados, o que aumenta a credibilidade da mensagem.
Como denunciar um e-mail de phishing?
No Gmail, clique nos três pontos ao lado do e-mail e selecione “Denunciar phishing”. No Outlook, use o botão “Reportar phishing” da aba “Página Inicial”. Você também pode encaminhar o e-mail para phishing@cert.br.
Com atenção aos sinais descritos neste artigo, você reduz drasticamente o risco de cair em um golpe de phishing. Lembre-se: na dúvida, não clique. É sempre melhor acessar o site oficial diretamente do que arriscar seus dados.
Alertas de Segurança
Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.
Equipe Saferinfo
Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.
Leia também
Engenharia Social: Táticas dos Hackers e Como se Proteger
Entenda as principais técnicas de engenharia social usadas por criminosos digitais no Brasil — do pretexting ao vishing — e aprenda como identificar e resistir a essas manipulações.
FortiBleed: Vazamento Expõe Credenciais de 73.932 Firewalls Fortinet em 194 Países
O pesquisador Volodymyr Diachenko descobriu em 12 de junho de 2026 um servidor com credenciais válidas de 73.932 firewalls FortiGate em todo o mundo. Entenda o ataque e o que fazer agora.