Phishing: como funciona esse golpe e como se proteger

Publicado em 23 de janeiro de 2024 | Tempo de leitura: 8 minutos

O **Phishing** é uma das táticas de ataque cibernético mais antigas e, surpreendentemente, ainda uma das mais eficazes. Seu sucesso reside na exploração da **engenharia social**, manipulando a vítima para que ela forneça voluntariamente informações confidenciais, como senhas, números de cartão de crédito ou dados bancários. Entender a mecânica desse golpe é o primeiro passo para se proteger e evitar ser mais uma vítima dessa fraude digital.

O que é Phishing?

O termo "Phishing" (uma variação de "fishing", pescaria em inglês) descreve a tentativa de "pescar" informações sensíveis de usuários. O golpista se disfarça de uma entidade confiável (banco, empresa de tecnologia, órgão governamental) em uma comunicação eletrônica, como e-mail, SMS, ou mensagem em redes sociais, para induzir a vítima a realizar uma ação que comprometa sua segurança.

O objetivo final é sempre o roubo de dados, que podem ser usados para cometer **fraudes eletrônicas**, **roubo de identidade** ou acesso a sistemas restritos. A legislação brasileira enquadra o Phishing, dependendo da finalidade, como **Estelionato por meio eletrônico** (Art. 171, § 4º do Código Penal) ou **Invasão de Dispositivo Informático** (Art. 154-A do Código Penal).

Como o Golpe de Phishing é Aplicado

O Phishing geralmente segue um roteiro bem definido, que explora a confiança e a urgência da vítima:

1. O Isca (A Mensagem)

O criminoso envia uma mensagem (e-mail, SMS, WhatsApp) que parece ser de uma fonte legítima. O conteúdo é projetado para gerar uma reação imediata, geralmente medo ou curiosidade. Exemplos comuns incluem:

  • **Alerta de Segurança:** "Sua conta foi bloqueada. Clique aqui para desbloquear."
  • **Cobrança Urgente:** "Sua fatura está vencida. Clique para ver o boleto."
  • **Oportunidade:** "Você ganhou um prêmio! Preencha seus dados para resgatar."

2. O Engano (O Link Falso)

A mensagem contém um link que, ao ser clicado, direciona a vítima para um site falso. Este site é uma cópia quase perfeita do site original (do banco, da rede social, etc.). O objetivo é fazer com que a vítima insira suas credenciais de login ou dados pessoais.

3. A Captura (O Roubo de Dados)

Ao inserir as informações no site falso, a vítima, sem saber, as envia diretamente para o criminoso. Em questão de segundos, o golpista pode usar esses dados para acessar a conta real da vítima, realizar transações financeiras ou roubar sua identidade.

Variações do Phishing

O Phishing evoluiu e ganhou novas formas, adaptando-se a diferentes plataformas:

Variação Descrição Meio de Ataque
**Spear Phishing** Ataque direcionado a um indivíduo ou empresa específica, com informações personalizadas para aumentar a credibilidade. E-mail, WhatsApp, LinkedIn
**Whaling** Phishing direcionado a "grandes peixes" (executivos de alto escalão, CEOs), buscando acesso a informações corporativas valiosas. E-mail corporativo
**Smishing** Phishing realizado através de mensagens de texto (SMS). SMS
**Vishing** Phishing realizado através de chamadas de voz (Voice Phishing), geralmente combinado com a falsa central de atendimento. Telefone

Como se Proteger Efetivamente Contra o Phishing

A proteção contra o Phishing depende de uma combinação de atenção e medidas técnicas:

1. Verificação Criteriosa

  • **Endereço do Remetente:** Verifique o endereço de e-mail completo. Golpistas usam endereços parecidos com o original (ex: `banco@bradesco-seguro.com` em vez de `banco@bradesco.com.br`).
  • **URL do Link:** Antes de clicar, passe o mouse sobre o link (sem clicar) para ver o endereço real que aparece na barra de status do navegador. Se a URL for estranha ou não for a oficial, não clique.
  • **Erros de Português:** Mensagens de Phishing frequentemente contêm erros de ortografia ou gramática. Instituições sérias revisam suas comunicações.

2. Medidas Técnicas Essenciais

  • **Autenticação em Dois Fatores (2FA):** Ative o 2FA em todas as suas contas (e-mail, redes sociais, bancos). Mesmo que o criminoso roube sua senha, ele não conseguirá acessar a conta sem o segundo fator (código enviado ao seu celular).
  • **Senhas Fortes e Únicas:** Use senhas complexas e diferentes para cada serviço.
  • **Antivírus e Firewall:** Mantenha softwares de segurança atualizados em seu computador e celular.
  • **Atualização de Software:** Mantenha o sistema operacional e navegadores sempre atualizados para corrigir vulnerabilidades de segurança.

3. O Princípio da Desconfiança

Lembre-se: **Nenhuma instituição financeira ou empresa de tecnologia legítima solicitará sua senha, token ou código de segurança por e-mail, SMS ou telefone.** Se a mensagem pede urgência ou ameaça com bloqueio, é quase certo que se trata de um golpe. Em caso de dúvida, entre em contato com a instituição por um canal oficial (o telefone que está no verso do seu cartão, por exemplo).

Consequências Legais do Phishing

A vítima de Phishing deve buscar imediatamente orientação jurídica. O advogado especializado poderá:

  • **Auxiliar no B.O.:** Garantir que o Boletim de Ocorrência seja registrado corretamente, enquadrando o crime.
  • **Ação de Reparação:** Ajuizar ações cíveis contra bancos e instituições financeiras, buscando o ressarcimento de valores perdidos, especialmente se houver falha na segurança do sistema (Súmula 479 do STJ).
  • **Remoção de Conteúdo:** Solicitar judicialmente a remoção de sites de Phishing e o bloqueio de contas de criminosos.

Aviso Legal: Este conteúdo tem finalidade informativa e educativa. Não substitui uma consulta jurídica personalizada. Se você foi vítima de Phishing, busque orientação jurídica especializada para avaliar as medidas adequadas ao seu caso.

Perguntas Frequentes

Sim, é possível. A jurisprudência tem responsabilizado os bancos quando a fraude ocorre devido a uma falha na segurança do sistema (falha na detecção de transações atípicas, por exemplo). O banco tem o dever de garantir a segurança das operações.
É um site falso, criado pelo golpista, que imita perfeitamente o layout e o design do site original de uma instituição (banco, e-commerce). O objetivo é enganar a vítima para que ela insira seus dados de login, acreditando estar no site verdadeiro.
Não clique em links nem baixe anexos. Marque o e-mail como spam e, se possível, encaminhe-o para o canal de denúncia da instituição que está sendo falsificada. Em seguida, apague o e-mail.
A VPN (Rede Virtual Privada) protege sua privacidade e oculta seu endereço IP, mas não impede que você caia em um golpe de Phishing. A proteção contra Phishing depende da sua atenção e do uso de autenticação em dois fatores.
Engenharia Social é a arte de manipular pessoas para que elas realizem ações ou forneçam informações confidenciais. É o componente humano do Phishing, onde o golpista usa táticas psicológicas (urgência, medo, confiança) para contornar as defesas tecnológicas.

Artigos relacionados: Fraudes eletrônicas | Segurança de dados pessoais | Nossos serviços

Seus Dados Foram Roubados por Phishing?

Entre em contato conosco para orientação jurídica especializada e recuperação de valores.

Falar com Especialista