Glossário

#phishing #MFA #segurança de e-mail #engenharia social

O que é phishing? Os tipos de ataque e defesas mais seguras que 'identificar a olho'

Phishing se passa por alguém de confiança para atraí-lo a um site falso e roubar senhas ou dados. Os tipos (spear phishing, BEC, smishing, AiTM) e defesas mais seguras que 'tomar cuidado': MFA resistente a phishing e autenticação de e-mail.

Publicado 2026-06-13 Atualizado 2026-06-13 7 min de leitura

"Fingir ser alguém em quem você confia, para atraí-lo a um site falso" — isso é phishing. Veja os tipos e as defesas mais seguras (sem passos de ataque).

Como funciona: mira nas pessoas, não em "um buraco no software"

Onde o XSS ou a injeção de SQL exploram um defeito no software, o phishing explora o julgamento humano. Mensagens como "sua conta está suspensa" ou "urgente — confirme agora" usam urgência, autoridade e medo para roubar o momento em que você pararia para pensar, e então o atraem a um site falso pixel a pixel para digitar sua senha. Um site com zero vulnerabilidades técnicas ainda vaza credenciais se seus usuários forem enganados.

Rota de entrada nº 1

Muito ransomware e muitos vazamentos começam com phishing. É a primeira porta mais fácil

Urgência / autoridade / medo

'Agora mesmo', 'do CEO', 'você pode impedir' — pressão que remove a pausa para pensar

AiTM

Invasor no meio: o site falso retransmite até códigos de uso único e pode derrotar o MFA comum

Os tipos (nomes diferentes, mesmo núcleo)

Phishing em massa

disparado para muitas pessoas

Spear phishing

voltado a uma pessoa/organização específica

BEC

passa-se por fornecedor/executivo para ordenar pagamento

Smishing

por SMS

Vishing

por telefone

AiTM

retransmite o login ao site real, derrota o MFA

Tipos comuns de phishing. O canal e o alvo diferem, mas o núcleo — passar-se por outro e atrair — é o mesmo.

Os nomes diferem, mas o núcleo é o mesmo: atrair você falsificando confiança. Em particular, o BEC (comprometimento de e-mail corporativo) causa grandes perdas financeiras sem nenhum malware — apenas "uma solicitação de pagamento que parece vir de um fornecedor". É um tipo que você detém com uma checagem de processo de negócio, não com tecnologia.

Defesa: detenha com um mecanismo, não com vigilância

Use MFA resistente a phishing (o mais importante)

Um mecanismo que não responde a sites falsos é a resposta real. Passkeys / chaves de segurança de hardware (FIDO2) são vinculadas ao domínio, então em um domínio falso a autenticação simplesmente não se completa — nem mesmo o invasor no meio (AiTM) consegue retransmiti-la. Códigos de SMS/autenticador podem ser retransmitidos, então mova primeiro suas chaves do reino (e-mail, domínio, pagamentos) para um MFA resistente (→ escolhendo MFA).

Não clique no link — vá ao site oficial você mesmo

Não toque em links em e-mail ou SMS; acesse o site oficial diretamente por um favorito ou digitando o endereço. Quanto mais uma mensagem se apresenta como "checagem de conta", "cobrança" ou "entrega", mais você deve abri-la do seu jeito, e não pelo link dela.

Corte o spoofing de e-mail com tecnologia

Configure o SPF/DKIM/DMARC do seu domínio corretamente para que e-mails forjados passando-se pelo seu domínio possam ser rejeitados na ponta de recebimento (→ o que são SPF/DKIM/DMARC). Um gerenciador de senhas não preenche automaticamente em um domínio falso, então "não preencheu" já é em si um sinal de que o site é falso.

Pause sob urgência/autoridade; verifique pagamentos por outro canal

"Agora mesmo", "do executivo", "você pode impedir" — essa pressão é o sinal de uma armadilha. Quando estiver sendo apressado, pause. Para qualquer solicitação envolvendo um pagamento ou credenciais, verifique a pessoa por um canal separado, como uma ligação telefônica, antes de agir (o coração da defesa contra BEC).

Fácil de derrotar

Senha mais apenas um código de SMS/autenticador. Com um site falso pixel a pixel retransmitindo o código (AiTM), até uma pessoa cuidadosa tem suas credenciais levadas. Uma defesa que assume "eu consigo identificar".

Realmente detém

Uma passkey/chave de hardware vinculada ao domínio. Em um domínio falso a autenticação não se completa, então mesmo um usuário enganado não é comprometido. Um mecanismo "seguro mesmo que você não consiga identificar".

A visão deste site: 'tome cuidado' não é uma estratégia de defesa

Achamos frágil apoiar-se apenas em "treinamento de equipe" e "conscientização" contra phishing. Agora que o invasor no meio (AiTM) é rotina, por mais cuidadosa que alguém seja, não dá para vencer um site falso pixel a pixel mais a retransmissão do código. A conscientização pode ajudar, mas não pode ser a última linha. A resposta real é um mecanismo — implante MFA resistente a phishing vinculado ao domínio, chaves do reino primeiro. Investir em um design "inquebrável mesmo que você não consiga identificar" supera tentar "treinar pessoas que consigam identificar". Essa é a resposta moderna.

Ponto cego: "eu não vou ser enganado" é a crença mais perigosa

A maior armadilha na defesa contra phishing é o excesso de confiança de "eu consigo identificar". O invasor no meio (AiTM) mostra uma tela pixel a pixel e retransmite a senha e o código de uso único que você digita para o site real na hora. Em outras palavras, mesmo que você seja cuidadoso e digite o código correto, esse código correto também é roubado. Então basear sua defesa em "vigilância para identificar" é em si o erro; o movimento certo é mudar para um mecanismo — autenticação que não se completa em um domínio falso (MFA resistente a phishing). Recusar-se a parar em "tome cuidado" é o ponto de partida da defesa moderna contra phishing.

Leia a seguir

Aprenda: escolhendo o MFA do jeito certo (o que é MFA resistente a phishing)
Glossário: o que são SPF/DKIM/DMARC (corte e-mails forjados com tecnologia)
Glossário: o que é ransomware (phishing é sua principal rota de entrada)
Aprenda: armazenando senhas com segurança (impeça que credenciais roubadas sejam abusadas)
Glossário: o que é um open redirect (abusa de um domínio legítimo para desviar usuários a um site falso)

FAQ

QEu consigo identificar phishing se tomar cuidado?

Acreditar que 'eu consigo identificar' é um excesso de confiança perigoso. O phishing moderno usa sites falsos pixel a pixel e retransmissões de 'invasor no meio (AiTM)' que passam a senha e o código de uso único que você digita direto para o site real em tempo real — então até pessoas cuidadosas têm seus códigos de SMS ou autenticador roubados junto com a senha. Por isso a defesa real não é vigilância, mas um mecanismo que não responde a sites falsos: MFA resistente a phishing vinculado ao domínio (passkeys/chaves de segurança).

QQue tipos de phishing existem?

Os comuns: phishing em massa disparado para muitas pessoas; spear phishing voltado a uma pessoa ou organização específica; BEC (comprometimento de e-mail corporativo), passando-se por um executivo ou fornecedor para ordenar um pagamento; smishing por SMS; e vishing por telefone. Além desses, o phishing com invasor no meio (AiTM) retransmite seu login para o site real e é especialmente perigoso porque consegue derrotar o MFA comum.

QAtivar o MFA detém o phishing?

O MFA é fortemente recomendado, mas depende do tipo. Códigos de uso único por SMS e autenticador podem ser derrotados quando um invasor no meio retransmite o código em tempo real. O que não pode ser retransmitido é o MFA resistente a phishing vinculado ao domínio, como passkeys ou chaves de segurança de hardware (FIDO2): em um domínio falso a autenticação simplesmente não se completa. Veja o guia sobre escolher MFA para detalhes.