Phishing é um tipo de golpe digital em que criminosos se passam por empresas ou pessoas confiáveis para enganar a vítima e roubar dados sensíveis — senhas, números de cartão, informações bancárias — geralmente por e-mail, mensagem ou sites falsos.
É a forma mais comum e mais perigosa de spam, e está entre as maiores ameaças digitais da atualidade. Em 2026, o phishing ficou ainda mais difícil de detectar: com o uso de inteligência artificial, os golpistas passaram a criar mensagens sem os antigos erros de português, imitando com precisão o tom, a linguagem e a identidade visual de bancos e empresas. Neste guia você vai entender o que é phishing, de onde vem o nome, como funciona, os principais tipos (incluindo os mais novos, como o golpe do QR code), como identificá-lo e, principalmente, como se proteger.
Conteúdo
O que é phishing?
Phishing é uma técnica de engenharia social — a arte de manipular pessoas para que entreguem informações ou realizem ações que não deveriam. Em vez de “invadir” um sistema por força técnica, o golpista engana o ser humano, que é o elo mais frágil da segurança. Ele se disfarça de uma fonte confiável (seu banco, uma loja conhecida, um órgão do governo, até um colega de trabalho) e induz a vítima a clicar em um link, baixar um anexo ou digitar seus dados em uma página falsa.
O nome vem do inglês fishing (pescar), com a troca do “f” por “ph” — uma referência à antiga cultura hacker. A metáfora é perfeita: o golpista joga uma “isca” (a mensagem falsa) para um grande número de pessoas e espera que algumas “mordam”. Quem morde entrega os dados sem perceber que caiu em uma armadilha.
A prática nasceu nos anos 1990, e um dos primeiros alvos foi o AOL, então o maior provedor de internet dos Estados Unidos. Golpistas se passavam por funcionários da empresa e pediam aos usuários, por mensagem, que “confirmassem” senhas e dados de cobrança. Foi nessa época que o termo “phishing” se popularizou, com a grafia “ph” herdada do phreaking (a manipulação de sistemas telefônicos pelos hackers da época). De lá para cá, a técnica migrou do e-mail para SMS, redes sociais, QR codes e ligações — mas a essência, enganar pela confiança, continua a mesma.
O phishing é um subtipo de spam: todo phishing é uma mensagem não solicitada, mas com uma intenção criminosa específica — roubar. Se quiser entender o conceito mais amplo de mensagens indesejadas, veja nosso guia sobre o que é spam.
Como o phishing funciona
O ataque de phishing costuma seguir um roteiro previsível, em quatro etapas. Primeiro, o golpista se passa por uma entidade confiável, copiando o logo, as cores e o tom de uma empresa real. Segundo, cria um gatilho emocional — normalmente urgência (“sua conta será bloqueada”, “houve uma tentativa de acesso”) ou uma recompensa (“você ganhou um prêmio”) — para fazer a vítima agir sem pensar. Terceiro, direciona a vítima a uma ação: clicar num link, baixar um anexo ou responder com dados. Quarto, colhe o resultado — a senha digitada numa página falsa, o malware instalado pelo anexo, o dinheiro transferido.
O ponto central é que o phishing ataca a emoção e a confiança, não a tecnologia. Por mais protegido que seja o sistema, se a pessoa for convencida a entregar a senha voluntariamente, a defesa técnica é contornada. Por isso a conscientização é a melhor proteção.
Phishing nos dias atuais: o impacto da inteligência artificial
Vale um alerta específico para o cenário atual, porque ele muda a forma de se proteger. Durante anos, a regra de ouro para identificar phishing era procurar erros de português e textos mal escritos. Isso não vale mais. Com a inteligência artificial generativa, os golpistas agora produzem mensagens gramaticalmente perfeitas, personalizadas e convincentes, que imitam com precisão a linguagem de uma empresa real.
Os números confirmam a escalada: segundo o Relatório Anual de Ameaças Digitais da Check Point, os ataques de phishing cresceram cerca de 40% no primeiro trimestre de 2026, impulsionados justamente pelo uso de inteligência artificial generativa — que tornou as mensagens fraudulentas mais convincentes e personalizadas.
A IA também trouxe variações novas e assustadoras: golpistas usam clonagem de voz para se passar por parentes ou chefes em ligações (uma forma de vishing), e geram páginas falsas quase idênticas às verdadeiras em segundos. A lição prática: hoje, identificar um phishing exige menos atenção ao texto e mais atenção ao contexto — quem está pedindo, o que está pedindo, e por qual canal. Uma mensagem perfeita em português pode, sim, ser um golpe.
Os principais tipos de phishing
O phishing tem várias formas, cada uma com seu canal e sua tática. Conhecê-las é o primeiro passo para reconhecê-las.
Phishing por e-mail (em massa)
O mais clássico e comum: e-mails fraudulentos disparados para milhares de endereços, fingindo ser de um banco, uma loja ou um serviço popular. Apostam no volume — basta uma fração das pessoas cair para o golpe valer a pena.
Spear phishing (ataque direcionado)
Em vez do disparo em massa, o spear phishing mira uma pessoa específica. O golpista pesquisa a vítima (nome, cargo, empresa, conexões) e personaliza a mensagem para parecer uma comunicação legítima de um colega, cliente ou parceiro. É muito mais difícil de detectar, justamente por ser sob medida.
Whaling (ataque a “peixes grandes”)
Uma variação do spear phishing voltada a alvos importantes — executivos, diretores, pessoas com poder de decisão ou acesso a recursos financeiros. O nome (“caça à baleia”) reflete o tamanho do alvo. Costuma envolver pedidos de transferências ou dados estratégicos.
BEC (golpe do e-mail corporativo)
No Business Email Compromise, o golpista se passa por um executivo ou fornecedor da empresa e solicita uma transferência urgente ou a mudança de dados bancários de um pagamento. É um dos golpes que mais causam prejuízo financeiro a empresas.
Smishing (phishing por SMS)
O phishing que chega por SMS ou mensagem de texto. Costuma vir com um link curto e uma mensagem urgente (“sua encomenda está retida”, “seu CPF foi bloqueado”). Muito comum no Brasil, inclusive por WhatsApp.
Vishing (phishing por voz)
O golpe por ligação telefônica (voice + phishing). O criminoso liga fingindo ser do banco ou do suporte técnico e tenta extrair dados ou convencer a vítima a fazer uma transação. Com a IA, surgiram ligações com vozes clonadas de pessoas conhecidas.
Quishing (phishing por QR code)
Um dos tipos mais novos: o golpe usa um QR code que leva a um site falso. Aparece em e-mails, cartazes, falsas cobranças e até adesivos colados sobre QR codes legítimos. Como o endereço fica “escondido” no código, a vítima não vê para onde está sendo levada.
Pharming (redirecionamento sem clique)
Mais técnico: o pharming manipula o DNS ou o dispositivo para redirecionar a vítima a um site falso mesmo que ela digite o endereço correto. É perigoso porque dispensa o clique em um link — o redirecionamento acontece nos bastidores.
Clone phishing (clonagem de mensagem)
No clone phishing, o golpista copia um e-mail legítimo que você poderia receber de verdade — mesmo layout, mesmo assunto — e troca apenas os links ou anexos por versões maliciosas. Como a mensagem é quase idêntica a uma comunicação real (às vezes reenviada como “atualização” de um e-mail anterior), é especialmente difícil de perceber.
Evil twin (Wi-Fi falso)
O evil twin (“gêmeo do mal”) é uma rede Wi-Fi falsa criada com um nome idêntico ao de uma rede legítima (de um café, aeroporto ou shopping). Quando a vítima se conecta, todo o tráfego passa pelo equipamento do golpista, que pode capturar senhas e dados. A defesa: evite digitar dados sensíveis em Wi-Fi público e prefira a rede de dados do celular ou uma VPN.
Como identificar um phishing
Mesmo mais sofisticados, os golpes ainda deixam pistas. Como os erros de português ficaram raros, o foco hoje deve estar no contexto e nos detalhes técnicos. Desconfie sempre que uma mensagem tiver:
Exemplos de golpes de phishing comuns no Brasil
Na prática, o phishing no Brasil costuma se disfarçar de algumas situações bem reconhecíveis. Conhecê-las ajuda a desconfiar na hora certa — todas exploram urgência, medo ou a expectativa de algo bom:
Como se proteger do phishing
A proteção combina atenção pessoal e algumas ferramentas. As práticas mais eficazes:
Desconfie e verifique pelo canal oficial. Recebeu uma mensagem do “banco”? Não clique no link: abra o app oficial ou ligue para o número do cartão. A verificação independente derruba a maioria dos golpes.
Ative a autenticação em duas etapas (2FA). Mesmo que o golpista roube sua senha, sem o segundo fator (o código do celular) ele não entra. É a defesa mais eficaz contra o roubo de credenciais.
Nunca digite dados sensíveis a partir de um link recebido. Acesse o site sempre digitando o endereço você mesmo ou pelo favorito.
Confira o endereço do site (a URL) antes de digitar qualquer coisa: procure o domínio correto e o cadeado de HTTPS — embora o cadeado sozinho não garanta que o site é legítimo.
Mantenha tudo atualizado (navegador, sistema, antivírus), o que ajuda a bloquear páginas e arquivos maliciosos conhecidos.
Em caso de dúvida, não aja sob pressão. A urgência é a principal arma do golpista. Parar e pensar por um minuto já evita a maior parte dos prejuízos.
O que fazer se você caiu em um phishing
Se você clicou e digitou seus dados, aja rápido: troque imediatamente a senha da conta comprometida (e de outras onde use a mesma senha), ative a 2FA, avise o banco para bloquear cartões ou contestar transações, e rode uma verificação de antivírus se baixou algum anexo. Por fim, denuncie o golpe — no Brasil, plataformas como o portal da Safernet e os canais do próprio banco ajudam a registrar e conter o ataque.
Phishing para quem tem site ou empresa
Se você tem um domínio ou empresa, o phishing também é um problema do seu lado: golpistas podem falsificar o seu domínio para enviar e-mails em seu nome, enganando seus clientes e destruindo sua reputação. A defesa técnica contra isso são os três protocolos de autenticação de e-mail — SPF, DKIM e DMARC —, que dificultam que terceiros mandem mensagens fingindo ser você.
Configurá-los é hoje praticamente obrigatório, e ainda melhora a entrega dos seus e-mails legítimos. Veja por que isso importa no nosso artigo sobre por que tantos domínios ainda estão desprotegidos, e a parte prática em como configurar SPF e DKIM no cPanel.
A defesa técnica são os três protocolos de autenticação — SPF, DKIM e DMARC —, que dificultam que terceiros mandem mensagens fingindo ser você.
Perguntas frequentes sobre phishing
O que é phishing em palavras simples?
É um golpe em que criminosos se passam por uma empresa ou pessoa confiável para enganar você e roubar dados como senhas, número de cartão e informações bancárias. Costuma chegar por e-mail, SMS, ligação ou sites falsos, sempre com uma “isca” para você clicar ou digitar seus dados.
Qual a diferença entre phishing e spam?
Spam é o termo amplo para qualquer mensagem não solicitada enviada em massa. Phishing é um tipo específico e criminoso de spam, em que o golpista se passa por uma fonte confiável para roubar dados. Todo phishing é spam, mas nem todo spam é phishing — boa parte do spam é só propaganda indesejada.
Quais são os principais tipos de phishing?
Os principais são: phishing por e-mail (em massa), spear phishing (direcionado a uma pessoa), whaling (mira executivos), BEC (golpe do e-mail corporativo), smishing (por SMS), vishing (por ligação), quishing (por QR code) e pharming (redirecionamento via DNS). Cada um usa um canal ou tática diferente, mas o objetivo é o mesmo: roubar dados.
Como identificar um e-mail de phishing?
Procure por senso de urgência ou ameaça, remetente com endereço suspeito, links que não levam aonde dizem (passe o mouse para ver o destino), pedido de dados sensíveis, saudação genérica e anexos inesperados. Em 2026, com a IA, os erros de português ficaram raros — então foque no contexto e nos detalhes técnicos, não só no texto.
O phishing com inteligência artificial é mais perigoso?
Sim. Com a IA, os golpistas criam mensagens sem erros de português, personalizadas e muito convincentes, além de clonarem vozes para golpes por telefone. Isso tornou o phishing mais difícil de detectar pelo texto. A recomendação atual é desconfiar do contexto (quem pede, o que pede, por qual canal) e sempre verificar pelo canal oficial.
O que fazer se eu cliquei em um link de phishing?
Aja rápido: troque a senha da conta comprometida e de outras onde use a mesma senha, ative a autenticação em duas etapas, avise o banco para bloquear cartões ou contestar transações, e rode um antivírus se baixou algum anexo. Depois, denuncie o golpe pelos canais do banco ou de segurança digital.
Como se proteger do phishing?
Desconfie de mensagens com urgência, nunca digite dados a partir de um link recebido (acesse o site você mesmo), ative a autenticação em duas etapas, confira o endereço dos sites, mantenha tudo atualizado e, na dúvida, verifique pelo canal oficial da empresa. A 2FA e o hábito de não agir sob pressão são as defesas mais eficazes.
O cadeado (HTTPS) no site garante que não é phishing?
Não. O cadeado significa apenas que a conexão é criptografada, não que o site é confiável. Hoje muitos sites de phishing também usam HTTPS. Por isso, além do cadeado, é essencial conferir se o endereço (domínio) é exatamente o correto, sem letras trocadas ou variações suspeitas.
Golpistas podem falsificar o seu domínio para aplicar phishing em nome da sua empresa. O e-mail profissional da Homehost inclui filtros anti-spam e suporte à configuração de SPF, DKIM e DMARC, que protegem o seu domínio e a sua reputação.
Conhecer o e-mail profissionalConclusão
O phishing é o golpe que mira a confiança, não a tecnologia — e por isso a melhor defesa é a atenção. Ele se disfarça de fonte confiável para roubar seus dados, e em 2026 ficou ainda mais convincente com a ajuda da inteligência artificial, que eliminou os antigos sinais óbvios como os erros de português. A regra atual é simples: desconfie do contexto, não aja sob pressão e verifique sempre pelo canal oficial antes de clicar ou digitar qualquer dado. Para quem tem site ou empresa, proteger o próprio domínio com SPF, DKIM e DMARC evita que golpistas usem seu nome para enganar outras pessoas. Atenção e bons hábitos resolvem a maior parte do risco — tanto para quem recebe quanto para quem envia.
