O que é phishing?
Phishing é uma mensagem fraudulenta, quase sempre por e-mail, desenhada para parecer que vem de uma fonte legítima, como um banco, um fornecedor conhecido ou o próprio chefe, com o objetivo de enganar a pessoa e obter senhas e dados sensíveis ou instalar um programa malicioso. É a porta de entrada mais comum dos ataques cibernéticos.
Como funciona um ataque de phishing
O phishing não invade sistemas, ele convence uma pessoa. O golpe costuma seguir quatro passos.
Isca
O criminoso monta uma mensagem que imita uma fonte confiável, com logotipo, endereço e tom parecidos com os reais.
Gatilho
Um motivo para agir sem pensar: urgência, medo, uma cobrança, um prêmio ou uma ordem que parece vir de um superior.
Ação
A vítima clica no link, abre o anexo ou digita a senha em uma página falsa que copia a verdadeira.
Colheita
A credencial ou o dado vai direto para o criminoso, que usa o acesso para roubar dinheiro, dados ou instalar ransomware.
Fonte: Cyber Encyclopedia da N-able.
Como reconhecer um phishing
- O nome do remetente não bate com o domínio real do e-mail
- Links que, ao passar o mouse, apontam para um endereço diferente do texto
- Saudação genérica (“Prezado cliente”) em vez do seu nome
- Urgência ou ameaça: “sua conta será bloqueada em 24 horas”
- Anexo inesperado que você não solicitou
- Pedido de senha, código ou dado sensível por mensagem
- Erros de gramática, formatação estranha ou algo simplesmente “fora do tom”
Tipos de phishing
- Phishing tradicional E-mails em massa, genéricos, disparados para milhares de pessoas.
- Spear phishing Direcionado a uma pessoa específica, com detalhes reais para parecer legítimo.
- Whaling Foco em executivos que autorizam pagamentos ou acessam dados críticos.
- Vishing, smishing e quishing As mesmas táticas por telefone (voz), SMS ou QR Code.
Por que o phishing é tão perigoso
O phishing é a porta de entrada da maioria dos ataques, do ransomware à fraude do e-mail corporativo. No relatório de crimes na internet do FBI (IC3 2024), phishing e falsificação foram o crime cibernético mais denunciado, com 193.407 registros, mais do que o dobro do segundo colocado. E a janela de reação é curtíssima: a Verizon (DBIR 2025) mediu que o tempo mediano até alguém clicar em um e-mail de phishing é de apenas 21 segundos após a entrega. Por isso a defesa não pode depender só da atenção humana: quando uma pessoa erra, a empresa inteira fica exposta.
Como se proteger de phishing
A defesa eficaz é em camadas, porque nenhuma pessoa acerta 100% das vezes:
- Segunda verificação de identidade (MFA)Se a senha for roubada, o segundo fator ainda impede o acesso.
- Segurança de e-mail gerenciadaFiltra a maioria das mensagens maliciosas antes de chegarem à caixa de entrada.
- Treinamento e simulação de phishingTransforma a equipe em uma camada de defesa que reconhece o golpe.
- Verificar por um canal independenteDiante de um pedido de dinheiro ou dados, confirme por telefone, não pelo e-mail recebido.
- Defesa avançada de endpointSe alguém clicar, contém o programa malicioso antes que ele se espalhe.
Na prática
Na dúvida, verifique por outro canal. Um telefonema confirma o que um e-mail não prova.
Como a Zamak trata o phishing
A Zamak Technologies combina segurança de e-mail gerenciada, segunda verificação de identidade e treinamento com simulação de phishing, para que a defesa não dependa de a pessoa nunca errar. Um bom ponto de partida é a simulação de phishing, que mostra como a sua equipe reagiria a um golpe real.