Phishing: como reconhecer ataques e proteger sua empresa

Em 2025, o phishing se manteve como o vetor de ataque mais utilizado contra empresas no Brasil e no mundo. Segundo dados do relatório da Apwg, mais de 1,3 milhão de ataques de phishing foram registrados globalmente em um único trimestre. E o alvo preferido continua sendo o e-mail corporativo.

Entender como esses ataques funcionam — e quais medidas realmente funcionam para bloqueá-los — pode ser a diferença entre uma sexta-feira normal e uma crise de segurança.

O que é phishing?

Phishing é uma técnica de engenharia social em que o atacante se passa por uma entidade confiável (um banco, um fornecedor, um colega de trabalho) para induzir a vítima a revelar informações confidenciais, clicar em links maliciosos ou transferir valores.

O nome vem do inglês fishing (pescar): o atacante lança uma isca e espera a vítima morder.

Os tipos mais comuns de ataque

Phishing em massa

O mais simples: o atacante envia o mesmo e-mail falso para milhares de endereços, simulando um banco, operadora de cartão ou serviço popular. A taxa de sucesso é baixa por ser genérico, mas o volume compensa.

Sinais de alerta:

• Saudações genéricas (“Prezado cliente”)
• Senso de urgência exagerado (“Sua conta será bloqueada em 24 horas”)
• Links com domínios parecidos mas diferentes (itauseguro.com em vez de itau.com)
• Erros de ortografia e formatação

Spear phishing

Mais sofisticado: o atacante pesquisa a vítima antes do ataque. O e-mail menciona o nome real, cargo, colegas e contextos do cotidiano. Parece ter vindo de alguém de confiança.

Exemplo real: um e-mail aparentemente enviado pelo CFO para o financeiro pedindo uma transferência urgente para um novo fornecedor. O e-mail usa o nome real do CFO, o logo da empresa e um tom familiar.

Whaling

Variante do spear phishing que mira especificamente executivos seniores (CEOs, CFOs, diretores). O objetivo costuma ser obter acesso a sistemas críticos ou autorizar transações financeiras.

BEC — Business Email Compromise

Um dos mais danosos financeiramente. O atacante compromete ou falsifica a conta de e-mail de um executivo para enviar instruções fraudulentas a colaboradores, fornecedores ou clientes.

Smishing e vishing

Phishing via SMS (smishing) e por telefone (vishing) cresceram muito com a popularização do WhatsApp corporativo, mas frequentemente começam ou complementam um ataque por e-mail.

Por que os filtros de spam não bastam

Filtros anti-spam são a primeira linha de defesa, mas não são suficientes por si sós:

• Ataques de spear phishing são altamente personalizados e passam por filtros de conteúdo
• Domínios recém-criados para o ataque ainda não têm reputação ruim
• E-mails enviados de contas legítimas comprometidas parecem autênticos para os filtros

As medidas que realmente funcionam

1. Autenticação robusta (SPF, DKIM, DMARC)

Configurar corretamente SPF, DKIM e DMARC impede que terceiros enviem e-mails em nome do seu domínio. Leia nosso guia completo sobre o assunto.

2. MFA em todas as contas

A autenticação multifator (MFA) garante que mesmo com a senha comprometida, o atacante não consegue acessar a conta. Habilite MFA para todos os usuários, especialmente executivos.

3. Treinamento contínuo dos colaboradores

Simulações de phishing e treinamentos regulares são as ferramentas mais eficazes para reduzir o risco humano. Colaboradores treinados reconhecem e reportam tentativas de ataque.

Elementos essenciais do treinamento:

• Como verificar o endereço real do remetente
• Como validar links antes de clicar (hover para ver a URL)
• Procedimento para reportar e-mails suspeitos
• Como verificar pedidos financeiros por um canal alternativo

4. Política de verificação para transações financeiras

Toda solicitação de transferência, mudança de dados bancários de fornecedor ou pagamento urgente deve ser verificada por um canal secundário (telefone, presencial) antes de ser executada — independente de quem pareça ter enviado o e-mail.

5. Sandboxing de anexos

Soluções de segurança que executam anexos em ambiente isolado antes de entregá-los ao usuário bloqueiam a maioria dos malwares distribuídos por e-mail.

6. Segmentação de rede

Mesmo que um colaborador caia em um ataque, a segmentação de rede limita o alcance do comprometimento. O invasor fica confinado a um segmento da rede, sem acesso a sistemas críticos.

O que fazer quando um colaborador cair no golpe

A resposta rápida é crucial. Se um colaborador clicar em um link ou fornecer credenciais:

1. Isole o dispositivo da rede imediatamente
2. Altere as senhas de todas as contas acessadas do dispositivo
3. Revogue tokens e sessões ativas
4. Notifique o time de segurança e documente o incidente
5. Avalie se houve vazamento de dados que exija notificação à ANPD

A cultura de segurança não pune quem reporta um erro — pune quem omite. Crie um ambiente onde colaboradores se sintam seguros para reportar incidentes sem medo de represália.

Phishing e responsabilidade legal

Se dados pessoais de clientes ou parceiros forem expostos por causa de um ataque de phishing bem-sucedido, sua empresa pode ter obrigações de notificação previstas na LGPD e enfrentar responsabilidade civil perante os afetados.

A segurança do e-mail corporativo não é um custo de TI — é uma obrigação legal e um ativo estratégico do negócio.