O que é Phishing? Como detetá-lo e travá-lo (2026)

Recebe um SMS: „A sua encomenda está retida — confirme aqui os seus dados.“ Ou um e-mail exatamente igual ao do seu banco, a avisar que a sua conta será bloqueada. Isso é phishing — e é a forma mais comum de pessoas comuns terem as contas e o dinheiro roubados em 2026. Não quebra a encriptação nem adivinha palavras-passe; engana-o a si para as entregar. Este guia explica o que é o phishing, os tipos a reconhecer, como o detetar e as defesas que realmente funcionam.

O que é o phishing

O phishing é um ataque de engenharia social: um burlão faz-se passar por alguém em quem confia para o induzir a revelar credenciais ou dados, ou a instalar malware. Costuma chegar como mensagem que fabrica urgência („aja agora ou perca o acesso“) e o empurra para uma página de login falsa ou para uma resposta com dados pessoais.

O ataque visa o discernimento humano, não a tecnologia. É por isso que funciona mesmo contra palavras-passe fortes — é persuadido a digitá-las você mesmo na página do atacante.

Os principais tipos

• Phishing por e-mail — a clássica campanha em massa.
• Spear phishing — personalizado para um alvo específico, muito mais convincente.
• Whaling — dirigido a executivos.
• Smishing — por SMS/mensagem; vishing — por chamada de voz (falso „suporte“ ou „banco“).
• Clone phishing — copia uma mensagem real mas troca-lhe um link malicioso.

Todos partilham um objetivo: levá-lo a agir antes de verificar.

Como o detetar

• Urgência ou ameaças — „a sua conta será encerrada.“
• Um endereço de remetente subtilmente errado — olhe com atenção para o domínio.
• Links que não correspondem — passe o rato por cima para ver o destino real; não corresponderá ao site alegado.
• Pedidos de palavras-passe ou códigos — os serviços legítimos nunca os fazem.
• Saudações genéricas e anexos inesperados.

No telemóvel os links são mais difíceis de inspecionar — seja especialmente cuidadoso. Na dúvida, não clique: digite você mesmo o endereço ou use a app oficial.

Uma mensagem de phishing, dissecada

Imagine um SMS: „NETFLIX: O seu pagamento falhou. Atualize o seu cartão dentro de 24h ou a sua conta será suspensa: netflix-billing-secure.com/verify“. Quatro sinais de alerta empilhados numa só linha:

• Urgência fabricada — „dentro de 24h… suspensa“ empurra-o a agir antes de pensar.
• Um domínio sósia — netflix-billing-secure.com não é netflix.com; a marca real é apenas um prefixo. Os atacantes adoram subdomínios e hífens (paypal.account-verify.io) porque a palavra de confiança ainda aparece.
• Um canal inesperado — um problema de faturação real surge na app, não num SMS aleatório com link.
• Um pedido para „atualizar“ o pagamento pelo link — os serviços legítimos dizem-lhe para iniciar sessão normalmente, nunca através de um URL enviado por SMS.

Treine-se para ler o domínio da direita para a esquerda: o site verdadeiro é a parte mesmo antes da primeira barra única (aqui netflix-billing-secure.com), não o nome de marca que aparece mais cedo no URL.

Como travá-lo

• Nunca clique em links de mensagens inesperadas. Navegue diretamente para os sites.
• Ative a autenticação de dois fatores para que uma palavra-passe roubada por si só não chegue — e prefira fatores resistentes a phishing.
• Use um gestor de palavras-passe. Só preenche automaticamente no domínio genuíno; se se recusar a preencher, o site é provavelmente falso — um aviso integrado. (Veja porque os gestores de palavras-passe são seguros.)
• Verifique os pedidos „urgentes“ através de um canal separado e de confiança.

O que fazer se já clicou

Cair num phishing não é o fim — a rapidez limita os danos. Se introduziu credenciais numa página falsa:

1. Mude essa palavra-passe de imediato, no site real e em todo o lado onde a reutilizou. A reutilização é o que transforma um phishing em muitas contas comprometidas.
2. Verifique a 2FA da conta afetada: confirme que não foi adicionado nenhum segundo fator ou e-mail de recuperação desconhecidos, e termine todas as sessões ativas.
3. Esteja atento ao seguimento. Os atacantes costumam encadear um phishing com uma falsa chamada de „suporte“ (vishing) para extrair o seu código 2FA — nunca leia um código em voz alta a ninguém.
4. Se era uma conta de trabalho, avise já a TI. Reportar cedo limita uma violação muito mais do que esconder o erro.
5. Se introduziu dados do cartão, contacte o banco para o congelar ou reemitir e vigie os extratos.

Quanto mais depressa rodar a palavra-passe e revogar as sessões, mais pequena é a janela de que o atacante dispõe — veja o que fazer se uma conta for pirateada para a checklist completa.

Porque é que passkeys e gestores são resistentes a phishing

Ambos se ligam ao domínio real. Um gestor de palavras-passe preenche automaticamente apenas no site legítimo exato, por isso uma página sósia não obtém nada. As passkeys e as chaves de hardware (FIDO2/WebAuthn) vão mais longe: o login está ligado criptograficamente à origem do site real, por isso mesmo que aterre numa página falsa, não se autenticará. Essa ligação à origem é a verdadeira defesa — veja o nosso guia das melhores apps autenticadoras, e se acha que já foi apanhado, o que fazer se uma conta for pirateada.

Conclusão

O phishing induz-no a ceder credenciais através de mensagens e páginas de login falsas — vence palavras-passe fortes porque o visa a si, não à sua encriptação. Detete-o pela urgência, pelo remetente errado e pelos links que não correspondem; trave-o nunca clicando em links inesperados, ativando 2FA resistente a phishing e deixando um gestor de palavras-passe recusar-se a preencher em falsificações. O hábito de verificar antes de agir é toda a defesa.

Guia editorial baseado em técnicas de phishing documentadas (e-mail/spear/smishing/vishing) e defesas padrão (2FA, passkeys, ligação ao domínio do gestor de palavras-passe). As ligações comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliado sem custo adicional para si.