Como evitar phishing

Ferramentas de prevenção de phishing e práticas recomendadas de segurança de e-mail podem ser usadas para ajudar a bloquear ataques de phishing.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Explicar como o e-mail é usado em ataques de phishing
  • Identificar elementos comuns de um e-mail de phishing
  • Conheça estratégias para prevenção de phishing

Conteúdo relacionado

O que é e-mail?

O que é segurança de e-mail?

O que é SMTP?

Falsificação de e-mail

Como parar e-mails com spam

Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

Como o e-mail é usado para realizar um ataque de phishing?

Phishing é um tipo de ataque cibernético em que o invasor esconde sua verdadeira identidade para induzir a vítima a realizar uma ação desejada. Muitas vezes, um ataque de phishing usa o e-mail para convencer o alvo de que a mensagem é de uma origem confiável, como uma instituição financeira respeitável ou um empregador. Como a mensagem parece ser autêntica, o usuário fica mais propenso a compartilhar dados valiosos da conta ou interagir com malware — normalmente apresentado como anexo ou link - camuflado dentro do e-mail.

Algumas táticas de phishing tentam coletar informações diretamente do destinatário, alegando que uma conta foi violada de alguma forma (por exemplo, solicitações fraudulentas de redefinição de senha) ou oferecendo uma recompensa monetária (por exemplo, vales-presente falsos). Outros e-mails de phishing contêm malware nos anexos ou links que aparecem no corpo do e-mail, que podem infectar outros dispositivos ou redes quando o usuário interage com eles.

Quando uma tentativa de phishing funciona, ela permite que os invasores roubem credenciais do usuário, se infiltrem em uma rede, roubem dados ou tomem medidas mais extremas contra a vítima (por exemplo, realizar um ataque de ransomware).

Para saber mais sobre as técnicas de phishing, consulte o artigo O que é um ataque de phishing?.

Como identificar um ataque de phishing

Como e-mails de phishing são criados para imitar pessoas e empresas reais, pode ser difícil identificar essa ameaça à primeira vista. Portanto, fique de olho nestes sinais:

  • O e-mail não passa por verificações SPF, DKIM ou DMARC. Três registros de DNSSender Policy Framework (SPF), Correio identificado por chaves de domínio (DKIM) e Domain-based Message Authentication Reporting and Conformance (DMARC) — são usados para autenticar a origem de um e-mail. Portanto, quando uma mensagem não passa por pelo menos uma dessas verificações, é marcada como spam ou deixa de ser entregue ao destinatário em questão. Por esse motivo, é incomum encontrar e-mails legítimos em pastas de spam.
  • O endereço de e-mail do remetente não está associado a um nome de domínio legítimo. O domínio precisa ser igual ao nome da empresa que supostamente enviou a mensagem. Por exemplo, se todos os e-mails da Legitimate Internet Company estiverem formatados como "employee@legitinternetcompany.com", uma mensagem falsificada provavelmente será enviada de um endereço parecido, como "employee@legitinternetco.com.".
  • Uma saudação genérica é usada em vez de um nome. Palavras como "cliente", "titular da conta" ou "caro" podem indicar que o e-mail faz parte de uma tentativa de phishing em massa e não é uma mensagem pessoal de um remetente confiável.
  • Há um prazo ou uma sensação de urgência fora do normal. É normal que e-mails de phishing gerem uma falsa sensação de urgência para convencer os usuários a realizar uma ação. Por exemplo, prometer um vale-presente se o usuário responder em 24 horas ou alegar uma violação de dados para fazer o usuário atualizar a senha. É raro essas táticas estarem vinculadas a prazos ou consequências reais, pois o objetivo é impressionar o usuário e levá-lo a realizar uma ação antes que ele suspeite.
  • O corpo da mensagem está cheio de erros. Erros de gramática, ortografia e estrutura das frases podem indicar que um e-mail não é de uma fonte respeitável.
  • Links no corpo da mensagem não correspondem ao domínio do remetente. Grande parte das solicitações legítimas não direcionam os usuários a um site diferente do domínio do remetente. Por outro lado, tentativas de phishing muitas vezes redirecionam os usuários a um site malicioso ou mascaram links maliciosos no corpo do e-mail.
  • O CTA inclui um link para o site do remetente. Mesmo quando um link parece levar a sites legítimos, eles podem redirecionar as vítimas a sites maliciosos ou acionar o download de um malware. Empresas sérias não pedem para os usuários revelarem informações confidenciais (por exemplo, números de cartão de crédito) após o clique em um link.*

Em geral, quanto mais sofisticada a tentativa de phishing, menor a probabilidade de esses elementos aparecerem no e-mail. Por exemplo, alguns e-mails de phishing usam logotipos e gráficos de empresas conhecidas para fazer a mensagem parecer autêntica, enquanto outros invasores podem programar todo o corpo do e-mail como um hiperlink malicioso.

*Há exceções a essa regra, como solicitações de redefinição de senha e verificação de conta. Tentativas de phishing também podem falsificar esses tipos de solicitações; portanto, é bom checar duas vezes o endereço do remetente antes de clicar em alguma coisa.*

Está sob ataque?
Proteção abrangente contra ataques cibernéticos
Fale com um especialista

Como evitar ataques de phishing

Assim como com qualquer tipo de e-mail não solicitado (o chamado "spam"), e-mails de phishing não podem ser completamente eliminados por uma ferramenta de segurança ou um serviço de filtragem. No entanto, os usuários podem adotar diversas ações para diminuir as chances de um ataque bem-sucedido:

  • Verifique se há elementos suspeitos nos e-mails. Cabeçalhos de e-mail podem revelar nomes de remetente ou endereços criados para enganar, já o corpo pode incluir anexos e links que camuflam o código malicioso. Portanto, é preciso ter cautela ao abrir uma mensagem de um remetente desconhecido.
  • Não compartilhe informações pessoais. Até mesmo ao se comunicar com uma pessoa confiável, informações pessoais — por exemplo, CPF, dados bancários, senhas etc. — nunca devem ser incluídas no corpo do e-mail.
  • Bloqueie o spam. A maioria dos clientes de e-mail contam com filtros antispam integrados, mas serviços de terceiros podem dar um controle granular maior sobre os e-mails. Outras recomendações para evitar spam em e-mail são cancelar a inscrição em listas de mailing, não abrir e-mails de spam e não compartilhar endereços de e-mail (por exemplo, não listá-los em um site externo da empresa).
  • Use os protocolos de segurança para e-mails. Métodos de autenticação de e-mail, como registros SPF, DKIM e DMARC, ajudam a confirmar a origem da mensagem. Os proprietários de domínio podem configurar esses registros para dificultar que os invasores imitem seus domínios em um ataque de falsificação de domínio.
  • Use um serviço de isolamento do navegador. Serviços de isolamento do navegador isolam e executam o código do navegador na nuvem, o que protege os usuários contra anexos e links com malware entregues por meio de um cliente de e-mail baseado na web.
  • Filtre o tráfego prejudicial com um gateway seguro da web. Um gateway seguro da web (SWG) inspeciona dados e tráfego de rede em busca de malwares conhecidos e, em seguida, bloqueia as solicitações recebidas de acordo com as políticas de segurança predeterminadas. Esse recurso também pode ser configurado para evitar que usuários baixem arquivos (como anexos de um e-mail de phishing) ou compartilhem dados sensíveis.
  • Confirme a mensagem com o remetente. Se a mensagem de e-mail ainda parecer suspeita, confirme se ela realmente foi enviada por uma pessoa ou empresa. Existem diversos métodos de verificação disponíveis, como uma ligação ou mensagens de texto. Em caso de dúvida, pergunte ao remetente se há um jeito mais seguro de transmitir as informações confidenciais solicitadas.

Como a Cloudflare protege contra ataques de phishing?

O Cloudflare Area 1 Email Security detecta e bloqueia tentativas de phishing em tempo real. Ele monitora proativamente a internet em busca de infraestruturas e campanhas de ataque, descobre tentativas de fraude por e-mail e oferece visibilidade de contas de e-mail e domínios comprometidos.

Saiba como se proteger contra ataques de phishing com o Cloudflare Email Security.

Comece a usar

Noções básicas de segurança do e-mail

Phishing e spam

Protocolos de e-mail

Glossário

Navegação no Centro de Aprendizagem

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum