Pular para o conteúdo
Ameaças e Ataques

O que é phishing?

Phishing é uma mensagem fraudulenta, quase sempre por e-mail, desenhada para parecer que vem de uma fonte legítima, como um banco, um fornecedor conhecido ou o próprio chefe, com o objetivo de enganar a pessoa e obter senhas e dados sensíveis ou instalar um programa malicioso. É a porta de entrada mais comum dos ataques cibernéticos.

Zamak TechnologiesAtualizado em 9 de julho de 2026

Como funciona um ataque de phishing

O phishing não invade sistemas, ele convence uma pessoa. O golpe costuma seguir quatro passos.

1

Isca

O criminoso monta uma mensagem que imita uma fonte confiável, com logotipo, endereço e tom parecidos com os reais.

2

Gatilho

Um motivo para agir sem pensar: urgência, medo, uma cobrança, um prêmio ou uma ordem que parece vir de um superior.

3

Ação

A vítima clica no link, abre o anexo ou digita a senha em uma página falsa que copia a verdadeira.

4

Colheita

A credencial ou o dado vai direto para o criminoso, que usa o acesso para roubar dinheiro, dados ou instalar ransomware.

Fonte: Cyber Encyclopedia da N-able.

Como reconhecer um phishing

  • O nome do remetente não bate com o domínio real do e-mail
  • Links que, ao passar o mouse, apontam para um endereço diferente do texto
  • Saudação genérica (“Prezado cliente”) em vez do seu nome
  • Urgência ou ameaça: “sua conta será bloqueada em 24 horas”
  • Anexo inesperado que você não solicitou
  • Pedido de senha, código ou dado sensível por mensagem
  • Erros de gramática, formatação estranha ou algo simplesmente “fora do tom”

Tipos de phishing

  • Phishing tradicional E-mails em massa, genéricos, disparados para milhares de pessoas.
  • Spear phishing Direcionado a uma pessoa específica, com detalhes reais para parecer legítimo.
  • Whaling Foco em executivos que autorizam pagamentos ou acessam dados críticos.
  • Vishing, smishing e quishing As mesmas táticas por telefone (voz), SMS ou QR Code.

Por que o phishing é tão perigoso

193.407
denúncias de phishing ao FBI em 2024, o crime cibernético mais reportado (IC3 2024)
21 s
é o tempo mediano até alguém clicar em um phishing após a entrega (Verizon DBIR 2025)
Nº 1
o phishing é a porta de entrada mais comum dos ataques cibernéticos

O phishing é a porta de entrada da maioria dos ataques, do ransomware à fraude do e-mail corporativo. No relatório de crimes na internet do FBI (IC3 2024), phishing e falsificação foram o crime cibernético mais denunciado, com 193.407 registros, mais do que o dobro do segundo colocado. E a janela de reação é curtíssima: a Verizon (DBIR 2025) mediu que o tempo mediano até alguém clicar em um e-mail de phishing é de apenas 21 segundos após a entrega. Por isso a defesa não pode depender só da atenção humana: quando uma pessoa erra, a empresa inteira fica exposta.

Como se proteger de phishing

A defesa eficaz é em camadas, porque nenhuma pessoa acerta 100% das vezes:

  1. Segunda verificação de identidade (MFA)Se a senha for roubada, o segundo fator ainda impede o acesso.
  2. Segurança de e-mail gerenciadaFiltra a maioria das mensagens maliciosas antes de chegarem à caixa de entrada.
  3. Treinamento e simulação de phishingTransforma a equipe em uma camada de defesa que reconhece o golpe.
  4. Verificar por um canal independenteDiante de um pedido de dinheiro ou dados, confirme por telefone, não pelo e-mail recebido.
  5. Defesa avançada de endpointSe alguém clicar, contém o programa malicioso antes que ele se espalhe.

Na prática

Na dúvida, verifique por outro canal. Um telefonema confirma o que um e-mail não prova.

Como a Zamak trata o phishing

A Zamak Technologies combina segurança de e-mail gerenciada, segunda verificação de identidade e treinamento com simulação de phishing, para que a defesa não dependa de a pessoa nunca errar. Um bom ponto de partida é a simulação de phishing, que mostra como a sua equipe reagiria a um golpe real.

Perguntas frequentes sobre phishing

Como saber se um e-mail é phishing?
Desconfie de urgência, de pedidos de senha, de links cujo destino não bate com o texto e de remetentes cujo endereço não corresponde à empresa. Na dúvida, não clique e confirme por outro canal.
Qual a diferença entre phishing e spam?
Spam é mensagem indesejada, geralmente propaganda. Phishing é uma fraude que tenta roubar dados ou dinheiro se passando por alguém confiável.
O que é spear phishing?
É o phishing direcionado a uma pessoa específica, usando detalhes reais (nome, cargo, projetos) para parecer legítimo e aumentar a chance de sucesso.
Cliquei em um link de phishing, e agora?
Não digite nada, desconecte o dispositivo da rede e avise a equipe de TI ou segurança imediatamente. Troque a senha do serviço afetado a partir de outro dispositivo confiável.
Antivírus protege contra phishing?
Ajuda, mas não basta. O phishing engana a pessoa, não o sistema. A proteção real combina segurança de e-mail, segunda verificação de identidade e treinamento.
Treinar a equipe resolve?
Reduz muito o risco, mas nenhuma pessoa acerta sempre. O treinamento é uma camada; ele funciona junto com a tecnologia, não no lugar dela.

Termos relacionados

RansomwareBEC (fraude do e-mail)Engenharia socialMFADark web

Continue explorando

Ver o índice completo →
Ameaças e Ataques
RansomwarePhishingBEC (fraude do e-mail)Engenharia socialDupla extorsãoDark webDeep web
Endpoint e Identidade
MFA
Detecção e Resposta
EDRMDRXDRMITRE ATT&CK
Rede e Acesso
ZTNA
Continuidade e Recuperação
BackupBackup imutávelRPO (ponto de recuperação)RTO (tempo de recuperação)DRaaS (recuperação de desastres como serviço)
Governança e Compliance
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernética