O e-mail chega com aparência impecável. Logotipo do banco, linguagem profissional, um tom urgente: “Sua conta será bloqueada em 24 horas se você não confirmar seus dados.” O usuário, tomado pelo medo, clicou no link, preenche suas informações e, em poucos minutos, tem seu dinheiro transferido para uma conta desconhecida. O cenário é familiar — e continua acontecendo em escala global.
Esse é o phishingum dos golpes mais antigos e eficazes da internet, que segue em evolução mesmo após décadas de campanhas de conscientização e avanços em segurança digital.
A técnica, cujo nome vem da palavra pescar (pescar em inglês), consiste em “pescar” vítimas por meio de mensagens falsas que imitam comunicações legítimas — de bancos, serviços de streaming, companhias aéreas ou até órgãos públicos. O objetivo é apenas: induzir o usuário a fornecer informações voluntárias, como senhas, dados bancários ou códigos de autenticação.
Leia também: Investidor perde R$ 33 milhões em Ethereum após cair em golpe de phishing
No caso do mundo das criptomoedas, esse golpe também segue forte diante da possibilidade de crimes terem acesso a carteiras contendo milhares, até milhões, de dólares em ativos. Ao roubar dados e ter esses acessos, a vítima pode perder tudo em questão de segundos.
De acordo com o último relatório global da Kasperskymais de 893 milhões de tentativas de phishing foram bloqueadas em 2024, um aumento de 26% em relação ao ano anterior. Só no Brasil, entre outubro de 2024 e setembro de 2025, foram registradas 553 milhões de tentativas de fraude.
“Esse tipo de ataque é simples, não requer muito conhecimento. Um crime inexperiente consegue implementar vários ataques desse tipo e agora com uma linguagem mais legítima e em escala, porque a IA permite isso”, diz Fábio Assolini, Diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
A Cloudflare reforça esse diagnóstico ao afirmar que “os ataques de phishing envolvem persuadir a vítima a realizar alguma ação que beneficie o invasor”, o que inclui clicar em links falsos, fornecer senhas ou até autorizar transações digitais fraudulentas.
Mesmo com filtros e antivírus modernos, muitas dessas mensagens ainda chegam à caixa de entrada — e é nesse momento que a pressa e o medo abrem brechas. “Os sistemas automáticos ajudam, mas não substituem o olhar humano. O cibercrime explora justamente as emoções”, ressalta Assolini.
O problema é de escala bilionária. Segundo estimativas do CSO Online, fraudes digitais ligadas ao phishing custam globalmente cerca de US$ 17 mil por minuto, o que significa descontos de bilhões de dólares por ano em prejuízos.
Tipos de phishing: o golpe muda de forma, mas não de intenção
Nem todo phishing é igual. A primeira imagem que vem à cabeça costuma ser de um e-mail suspeito pedindo para “confirmar seus dados bancários”, mas o golpe já se envolveu para praticamente todos os canais digitais.
O mais comum ainda é o phishing por e-mailem que mensagens cuidadosamente elaboradas imitam comunicações legítimas de empresas, solicitando que o usuário clique em um link, baixe um anexo ou insira informações pessoais em uma página falsa. Para dar mais substituição, os golpistas utilizam spoofing de domínio, criando endereços muito parecidos com os reais — como “@aneria.com” no lugar de “@america.com” — o suficiente para enganar olhos desatentos.
Outro formato que cresce é o vislumbrandoou phishing por voz. Nesse caso, os criminosos ligam fingindo ser representantes de bancos ou empresas de tecnologia, solicitando “confirmação de dados” ou “atualização de cadastro”. Muitas vezes, usamos horários automatizados e mascaramos o número de telefone para parecer oficial. A Kaspersky alerta que esses ataques “exploram o senso de autoridade e urgência, mantendo o usuário ao telefone o máximo possível até que ele cometa um erro”.
Versões semelhantes também acontecem por mensagem: o sorrindopor SMS, e o phishing via aplicativos de mensagem como WhatsApp e Telegram, usam textos curtos e convincentes com links maliciosos. Já nas redes sociais, o golpe assume outra roupagem — perfis falsos de empresas ou até de amigos enviam mensagens diretas oferecendo promoções, sorteios ou pedindo ajuda financeira. Em alguns casos, os criminosos passam semanas construindo um relacionamento para conquistar a confiança da vítima antes de atacar.
Há ainda variantes mais técnicas, que não dependem do engajamento direto da vítima. É o caso do farmacêuticoem que o invasor manipula o sistema DNS para redirecionar o usuário para uma cópia falsa de um site legítimo, mesmo que o endereço seja digitado corretamente.
Outras táticas incluem o erro de digitaçãoque cria sites com erros de digitação sutis (como “wallmart.com” em vez de “walmart.com”), e o phishing por HTTPSque abusou do cadeado de segurança na barra de endereço — antes de um sinal de confiabilidade, agora facilmente obtido por criminosos.
Nos ambientes corporativos, uma forma particularmente perigosa é o Compromisso de e-mail comercial (BEC)em que o golpista faz passar por executivos ou fornecedores da empresa para solicitar transferências financeiras ou informações sigilosas. Esse tipo de ataque tem causado prejuízos milionários em companhias de todos os portes.
Por fim, o universo criptográfico também se tornou um terreno fértil para esse tipo de golpe. Não chamado phishing de criptomoedasos criminosos criam sites falsos de carteiras digitais ou interfaces de assinatura Web3, enganando os usuários a autorizar transações que drenam todos os seus fundos. É o mesmo velho truque — apenas adaptado à nova fronteira digital.
Grandes casos de phishing
Embora o traje de phishing evoque imagens de e-mails mal escritos e promessas absurdas de heranças milionárias, os golpes mais devastadores da história cibernética foram justamente os mais sofisticados — disfarçados de comunicações legítimas e amparados por engenharia social meticulosa.
Em 2015, um Redes Ubiquitiempresa de tecnologia dos Estados Unidos, perdeu US$ 46,7 milhões após funcionários receberem e-mails falsos enviados por executivos da própria companhia. A mensagem pedia transferências urgentes para contas “corporativas” — que, na verdade, transmitiram aos criminosos. O caso ficou conhecido como um dos maiores exemplos de Business Email Compromise (BEC), uma modalidade de phishing corporativo que cresceu 200% nos últimos cinco anos, segundo dados da Check Point Research.
Outro episódio marcante envolveu a Imagens da Sonyem 2014. Hackers conseguiram invadir os servidores da empresa após uma série de e-mails falsos direcionados a funcionários-chave, o que culminou no vazamento de roteiros, e-mails internos e dados pessoais de executivos. O prejuízo estimado ultrapassou US$ 100 milhões entre danos diretos e custos de remediação.
Casos recentes mostram que o phishing também se modernizou. Em 2023, pesquisador do Grupo-IB identificaram uma rede internacional de chamadas Dárculaque operava um “phishing como serviço” (PhaaS). O grupo carregava mensagens RCS e iMessage para enganar vítimas em dispositivos Android e iPhone, conseguindo roubar cerca de 884 mil cartões de crédito em sete meses. Já em 2025, a Microsoft anunciou ter desmantelado mais de 340 sites de phishing ligados ao serviço Raccoon0365, que simulava páginas do Microsoft 365 para roubar credenciais corporativas.
Além das empresas, o ecossistema de criptomoedas também se tornou um campo fértil para esse tipo de golpe. Usuários de plataformas Web3 e carteiras digitais são frequentemente alvos de phishing de transações, mas não são induzidos a transferir transações fraudulentas que esvaziam seus fundos.
Esses exemplos mostram que o phishing não é apenas um problema de usuários desatentos, mas uma ameaça corporativa e global, que explora a confiança e a psicologia humana tanto quanto as falhas tecnológicas.
8 dicas para não cair em phishing
Apesar da sofisticação crescente dos golpes, a prevenção ainda é possível — e depende mais de atenção e hábito do que de conhecimento técnico. A seguir, estão algumas práticas essenciais para refletir e evitar armadilhas digitais:
1. Desconfie de mensagens urgentes ou alarmantes
Golpistas exploram o senso de urgência. Bancos e empresas cancelam ações imediatas. Se o tom for ameaçador, desconfie.
2. Verifique o envio e o domínio
Antes de clicar, olhe com calma o endereço do e-mail. Um simples “banc0.com” no lugar de “banco.com” pode ser suficiente para enganar.
3. Evite clicar diretamente em links suspeitos
Prefira digitar o endereço oficial no navegador em vez de clicar no link da mensagem.
4. Use autenticação de dois fatores (2FA)
Mesmo que sua senha esteja comprometida, o uso de 2FA pode impedir o acesso não autorizado.
5. Mantenha antivírus e sistemas atualizados
Ferramentas da Kaspersky, McAfee e outras empresas bloqueiam links maliciosos e alertam sobre ameaças desconhecidas.
6. Desconfie de anexos inesperados
Golpes sofisticados chegam com arquivos ZIP ou PDFs que, ao serem abertos, instalam programas espiões.
7. Confirme sempre por outro canal
Recebeu uma mensagem solicitando atualização de dados? Ligue para o banco ou acesse o site oficial — nunca responda diretamente ao e-mail.
8. Eduque-se e compartilhe informações
A conscientização é a melhor defesa. Como reforça a Cloudflare, “a maior proteção contra phishing ainda é a desconfiança saudável”.
No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, você ganhará recompensas exclusivas. Saiba mais!
Fonteportaldobitcoin
