26 de março de 2026 • Phishing
O phishing é uma forma de fraude digital em que os cibercriminosos se fazem passar por outra pessoa. Pensa numa autoridade importante ou numa pessoa famosa. Através de e-mails, WhatsApp ou SMS com um tom de urgência, pedem-te para forneceres informações, como dados pessoais ou bancários.
É fundamental que as organizações saibam identificar estes ataques. Na prática, muitas empresas recorrem a simulações de phishing para treinar os funcionários a identificar estas ameaças.
A seguir, explicamos 10 tipos de ataques de phishing, juntamente com dicas sobre como evitá-los.
10 tipos de ataques phishing
1. Pulveriza phishing
Com o spray phishing, os cibercriminosos enviam mensagens para um grande número de pessoas numa campanha de spray phishing por defeito. Por vezes, são dez mil mensagens de correio eletrónico ou de texto ao mesmo tempo. Lançam uma rede larga, por assim dizer, na esperança de que algumas pessoas caiam no e-mail. Normalmente, é um e-mail de uma empresa existente que pede para atualizar uma palavra-passe ou para renovar os dados do cartão de crédito.
2. Correio eletrónico phishing
O envio de mensagens de correio eletrónico é uma das formas mais comuns de phishing. Estas mensagens são concebidas para parecerem vir de uma fonte fidedigna. Normalmente, nestas mensagens de correio eletrónico, é-te pedido que preencha um formulário ou que responda à mensagem. É assim que os cibercriminosos obtêm informações pessoais.
Uma forma de e-mail phishing é o clone phishing, em que um e-mail legítimo é copiado e as ligações e ficheiros são substituídos por outros maliciosos. Pode tratar-se, por exemplo, de um ficheiro de faturação, de uma ligação que contém um vírus ou de uma ligação que te envia para um sítio Web para introduzires os teus dados pessoais.
3. Móvel phishing
O phishing móvel é também conhecido como smishing ou SMS phishing. Receberás uma mensagem do criminoso com um apelo para que tomes medidas. Pensa em ligar para um número de telefone ou clicar numa ligação para um sítio Web. Muitas vezes, são-te pedidas informações pessoais, como palavras-passe ou dados do cartão de crédito.
A outra forma de phishing móvel é o telefone phishing ou vishing. Com esta forma de phishing, não receberás uma mensagem, mas serás contactado. Os atacantes fazem-se passar pelo teu banco, pela polícia ou por outras empresas ou agências. Tentam assustar-te para te obrigar a tomar medidas, muitas vezes transferindo dinheiro.
4. Perseguição de ambulâncias
Com estes tipos de ataques phishing , os cibercriminosos aproveitam os acontecimentos actuais. Pensa em pedir donativos para fundos de ajuda, catástrofes naturais ou guerras. Os criminosos podem recolher dados pessoais e tirar dinheiro das vítimas.
5. Conta expirada/alterar palavra-passe
Receberás uma mensagem por correio eletrónico ou através do teu telemóvel com o pedido de redefinição da tua palavra-passe. Estas mensagens parecem muitas vezes provir de uma fonte fiável e são por vezes difíceis de distinguir das mensagens reais. Por exemplo, considera uma mensagem do teu banco. Se alteraste a palavra-passe através de uma ligação nesse e-mail, o criminoso tem a informação necessária para entrar na tua conta bancária.
6. Caça à baleia phishing
Neste ataque phishing , também conhecido como comprometimento do correio eletrónico empresarial, os cibercriminosos têm como alvo as grandes baleias, ou seja, os empregados com uma posição elevada dentro de uma organização. Muitas vezes, fazem-se passar por um funcionário sénior da organização para tornar credível o acesso a informações financeiras ou a plataformas empresariais.
7. Wifi duplo
Um gémeo WiFi é uma rede WiFi que copia o endereço de outra rede. Qualquer pessoa que se ligue a esta rede fica também exposta aos hackers. Desta forma, obtém acesso a palavras-passe e outras informações. Este tipo de ataque phishing é frequentemente efectuado em áreas públicas, como centros comerciais, cafés e aeroportos. Por isso, nem sempre é boa ideia ligares-te a uma rede Wi-Fi pública.
8. Lança phishing
O spear phishing é um tipo de ataque de phishing bem pessoal. Isso porque o atacante finge ser alguém que conhece bem a vítima. A vítima é bem pesquisada para isso, então o ataque parece bem pessoal. O objetivo é conseguir acesso a informações confidenciais para explorar a vítima.
9. Pretexto
Este tipo de ataque phishing é muito eficaz porque dá uma sensação de legitimidade. Inicialmente, as vítimas recebem uma mensagem através de um canal diferente do correio eletrónico, informando-as de que irão receber um e-mail em breve. Por exemplo, faz-se passar por um fornecedor e indica que a vítima receberá em breve um orçamento por correio eletrónico. Este contacto telefónico é, portanto, referido no último e-mail, o que o torna mais fiável.
10. Homem no meio
Por fim, discutimos uma forma bastante complicada de phishing: man-in-the-middle. O cibercriminoso intercepta as mensagens de correio eletrónico entre duas pessoas. O criminoso envia então esses e-mails de volta para essas duas pessoas, que passam a pensar que os e-mails vieram uma da outra. Assim, aumenta a confiança nos e-mails, o que permite ao criminoso pedir detalhes privados e outras informações.
Dicas para evitar tipos de ataques phishing
1. Formação do pessoal
Ao formar a tua equipa para reconhecer as técnicas de phishing e os gatilhos psicológicos por trás delas, podes evitar um grande número de ataques. Os colaboradores aprendem a verificar os remetentes, a evitar clicar cegamente em links ou descarregar ficheiros e a analisar as mensagens de forma crítica. Os principais sinais de alerta incluem:
- Saudações genéricas: os e-mails de phishing costumam não ser personalizados.
- Links ou anexos inesperados: especialmente quando não solicitados.
- Erros gramaticais e ortográficos: muitas vezes um sinal de intenção maliciosa.
- Urgência ou pressão: os atacantes tentam apressar as decisões.
2. Não cliques em tudo
Nunca cliques em links sem verificar a fonte, mesmo que a mensagem pareça legítima. Em vez disso, acede manualmente ao site oficial ou verifica o link passando o cursor por cima dele. Pequenas diferenças nos nomes de domínio são uma tática comum de phishing.
3. Verifica se há HTTPS
Especialmente quando te pedirem para partilhar informações confidenciais, deves verificar se o URL começa por HTTPS em vez de HTTP. O S extra não garante que seja um site seguro, mas está mais protegido contra hackers do que um site HTTP. (Por isso, não confies apenas no HTTPS)
4. Incentiva a denúncia
Cria uma cultura em que os colaboradores se sintam à vontade para comunicar e-mails suspeitos. Quanto mais cedo for comunicada uma tentativa de phishing, mais rapidamente se poderão tomar medidas para proteger o resto da organização.
4. Utiliza o Guardey
Para proteger eficazmente a tua organização contra ataques de phishing, a sensibilização por si só não é suficiente. Os colaboradores precisam de vivenciar cenários reais e aprender a reagir.
Com a simulação de phishing, podes simular ataques reais de forma segura e treinar os funcionários para reconhecerem e comunicarem ameaças na prática. Isto reduz significativamente o risco de tentativas de phishing bem-sucedidas.
Além disso, a Guardey ajuda as organizações a melhorar continuamente a sua sensibilização para a segurança através de formações interativas e informações em tempo real. Desta forma, não te limitas a formar os colaboradores uma única vez, mas constróis uma cultura de segurança a longo prazo na tua organização.