Conheça a nova epidemia virtual brasileira: links de internet fraudados

A cibersegurança pode não ser uma ciência, mas certamente é uma arte que precisa ser constantemente aprimorada. No Brasil, os golpes de phishing ainda parecem apresentar um desafio gigante à melhora dessa arte. É o que sugere a exposição feita na 15ª Semana de Cibersegurança de 2025, em Manaus. 

O levantamento apresentado no evento de setembro contabilizava 533 milhões de ataques virtuais desse tipo nos últimos 12 meses entre cidadãos brasileiros. Totalizando 1,5 milhão de ataques diários, quase três por habitante do país, o phishing se consolida assim como o cibercrime mais comum em território nacional.

Apesar das iniciativas relevantes para conter esse tipo de fraude, como o projeto de lei para criar um cadastro nacional de cibercriminosos, que tramita na Câmara dos Deputados, a educação digital da população ainda é incipiente.

Por isso nós nos aprofundamos agora num guia informativo intensivo com tudo o que alguém precisa saber sobre phishing: do que se trata, como se proteger desse tipo de ataque e o que fazer ao se ver vítima dele.

Como funcionam os ataques phishing?

O phishing é um golpe no mundo virtual em que um criminoso envia um link malicioso a uma vítima e a convence a clicar nele para roubar dados sensíveis ou infiltrar um vírus em seu dispositivo. O nome deriva do nome inglês da pescaria (“fishing”), pois os links são “lançados” na internet em grandes quantidades e aguarda-se que vítimas cliquem neles, sendo “fisgadas”.

Embora sejam principalmente comuns por mensagens de e-mail, seus vetores atualmente são mais variados. Os links para destinos manipulados por criminosos podem ser enviados por SMS, WhatsApp, Telegram e demais redes sociais.

Um aspecto bastante desafiador desse tipo de cibercrime é a eficiência dos bandidos em replicar sites de serviços e marcas legítimas, usadas de fachada para atrair a vítima. Podem ser réplicas quase iguais nos mínimos detalhes ao site do Banco do Brasil ou da Amazon, por exemplo. Isso facilita que uma vítima informe dados pessoais e até informações bancárias em formulários online, caindo nos golpes.

Como se proteger de ataques phishing?

Primeiro, identifique a estrutura básica de um ataque phishing:

1. A isca: geralmente, é um e-mail ou mensagem de texto que imita o estilo de comunicação e de identidade visual de uma marca ou autoridade confiança da vítima;
2. O anzol: depois de ganhar a confiança da vítima com a aparência, vem o conteúdo em si. A mensagem pode explorar os sentimentos mais primais de alguém, como a ganância (a promessa de uma grande oferta, de uma soma em dinheiro ou até de uma oportunidade de trabalho) ou o medo (a urgência em clicar no link para desbloquear o CPF ou evitar que a conta de um serviço bancário seja desativada);
3. A fisgada: quando a vítima se convence e clica num link e/ou visita um site comprometido, inserindo informações sensíveis ou baixando um vírus, o ataque foi bem-sucedido.

Para se prevenir diante desse modelo geral:

• Use ferramentas de cibersegurança. Pesquise por antivírus com capacidade de proteção contra esse tipo de phishing e uma VPN com os melhores servidores e certificação anti-phishing. São boas barreiras virtuais.
• Evite baixar anexos ou clicar em links de mensagens. Prefira pesquisar no Google pela promoção ou outro evento recebido por mensagem;
• Atenção às saudações genéricas. E-mails que não sejam direcionados a seu nome, mas que comecem com enunciados genéricos como “Querido cliente” ou “Cara correntista” merecem suspeita;
• Verifique erros de ortografia. Muitas vezes, o tom geral da comunicação é muito convincente, mas a mensagem do phishing traz erros crassos.

Como remediar um ataque phishing?

1. Se você clicou num link, isso pode ser ruim. Mas fornecer informações depois disso é ainda pior. Caso não tenha feito isso, feche a página imediatamente e não baixe nada dela.
2. Desconecte-se da internet. Isso vai interromper downloads ou coletas de informações que possam estar em curso. Desconecte do Wi-Fi ou ative o Modo Avião, se estiver no celular/tablet.
3. Rode o antívírus no dispositivo em busca de vírus. Elimine-o, se encontrar.
4. Faça uma cópia de segurança (back-up) de seus arquivos e dados a um disco rígido físico, se possível.
5. Mude as senhas de todos os seus serviços digitais. Faça isso em outro dispositivo que não o atingido pelo phishing.
6. Depois de se certificar que o dispositivo está seguro, reporte o link de phishing. Você pode fazer isso clicando em “Reportar spam” (caso a mensagem venha de e-mail) ou denunciar às autoridades competentes. No caso brasileiro, as polícias civil (fisicamente, na delegacia, ou por B.O. eletrônico) e federal (online, se o phishing usar a identidade de órgãos federais, como a Caixa ou o Banco do Brasil) são o canal correto. Notificar canais técnicos como o CERT.br, por e-mail, também é relevante.