Principais conclusões
Phishing é uma forma de engenharia social em que atacantes se passam por fontes confiáveis para roubar informações sensíveis como senhas, chaves privadas ou dados de pagamento.
As técnicas de phishing variam de campanhas massivas de e-mail a spear phishing altamente direcionado e golpes de voz gerados por IA, tornando-os mais difíceis de detectar em 2026 e além.
Em cripto, ataques de phishing frequentemente miram frases-semente, credenciais de login e aprovações de carteira, incluindo por meio de golpes falsos de airdrop e interações maliciosas com contratos inteligentes.
Ativar autenticação de dois fatores (2FA), verificar URLs com cuidado e evitar links não solicitados estão entre as formas mais eficazes de reduzir o risco de phishing.
Nenhuma medida de segurança é 100% eficaz, mas combinar ferramentas técnicas com treinamento de conscientização reduz significativamente as chances de cair em golpes.
Introdução
Phishing é um tipo de ataque de engenharia social em que agentes mal-intencionados se passam por organizações ou pessoas confiáveis para enganar as pessoas a revelar informações sensíveis. Isso pode incluir credenciais de login, números de cartão de crédito, chaves privadas ou frases-semente. A palavra “phishing” é uma brincadeira com “fishing”: os atacantes lançam uma rede ampla e esperam que alguém “morda a isca”.
O phishing tem sido uma das formas mais comuns de cibercrime por décadas. À medida que as ferramentas de IA se tornam mais acessíveis, os ataques de phishing se tornaram mais convincentes e mais direcionados. Este artigo explica como o phishing funciona, os principais tipos de phishing e etapas práticas que você pode seguir para se proteger, inclusive no setor de cripto e blockchain. Para uma visão mais ampla sobre golpes de criptomoedas, veja nosso guia dedicado.
Como o phishing funciona
O phishing depende de engano, não de exploração técnica. Os atacantes normalmente pesquisam seus alvos, criam uma imitação convincente de uma fonte confiável e, então, criam um senso de urgência ou medo para levar as vítimas a agir rapidamente, sem pensar com cuidado.
O método de entrega mais comum é e-mail. Um e-mail de phishing pode parecer que veio do seu banco, de uma exchange de cripto ou de uma marca bem conhecida. Geralmente ele contém um link para um site falso, projetado para capturar suas credenciais, ou um anexo que instala malware quando aberto.
O phishing moderno se tornou mais sofisticado. Agora os atacantes usam ferramentas de escrita com IA para gerar mensagens personalizadas em escala e geradores de voz com IA para imitar executivos ou familiares em chamadas telefônicas em tempo real. Isso torna cada vez mais difícil confiar em erros gramaticais ou frases estranhas como sinais de alerta.
Sinais comuns de uma tentativa de phishing
URLs e endereços de e-mail suspeitos
Verifique sempre a URL completa antes de clicar. Sites de phishing frequentemente usam pequenos erros de digitação (por exemplo, “binnance.com”) ou extensões incomuns de domínio. Passe o mouse sobre um link para visualizar o destino antes de clicar. Desconfie de qualquer e-mail de um endereço público (como Gmail ou Yahoo) que alegue representar uma grande empresa.
Táticas de urgência e medo
Mensagens de phishing frequentemente afirmam que sua conta foi comprometida, que um pagamento falhou ou que você precisa agir imediatamente para evitar uma penalidade. Essa pressão é intencional: ela desencoraja o pensamento cuidadoso. Organizações legítimas raramente exigem ação instantânea por meio de um link de e-mail.
Solicitações de informações sensíveis
Serviços confiáveis não vão pedir sua senha, frase-semente, chave privada ou número completo do cartão de pagamento via e-mail, texto ou chat. Se uma mensagem solicitar essas informações, trate como suspeito, independentemente de como “oficial” ela pareça.
Como prevenir ataques de phishing
A defesa mais confiável é evitar clicar em links de mensagens inesperadas. Em vez disso, acesse diretamente o site oficial digitando o URL no seu navegador ou usando um marcador (bookmark) salvo. Para segurança da conta, habilitar autenticação de dois fatores (2FA) em todas as contas importantes adiciona uma segunda camada de proteção mesmo que sua senha seja roubada. Use um aplicativo autenticador em vez de SMS quando possível, pois códigos via SMS podem ser interceptados por ataques de troca de SIM (SIM swapping).
As organizações podem reduzir o risco de phishing implementando padrões de autenticação de e-mail como DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance). Esses protocolos verificam se os e-mails recebidos realmente se originam do domínio do remetente declarado.
Para pessoas físicas, compartilhar conhecimento com a família e amigos ajuda a construir uma conscientização coletiva. Para empresas, treinamentos periódicos de segurança reduzem significativamente a probabilidade de um funcionário cair em uma tentativa de phishing.
Tipos de phishing
Spear phishing (phishing direcionado)
Spear phishing mira uma pessoa ou organização específica. O atacante pesquisa a vítima com antecedência, usando detalhes como nomes de colegas, transações recentes ou cargos para tornar a mensagem mais convincente. Esses ataques exigem mais esforço, mas tendem a ter taxas de sucesso mais altas do que campanhas genéricas de phishing.
Whaling (phishing voltado a “peixes grandes”)
Whaling é uma forma de spear phishing voltada a alvos de alto valor, como executivos seniores, autoridades governamentais ou pessoas ricas. Como esses alvos têm acesso a sistemas sensíveis ou a grandes quantias, um ataque bem-sucedido pode ter consequências significativas.
Clone phishing
Um atacante copia um e-mail legítimo que foi enviado anteriormente e cria uma versão quase idêntica. A cópia substitui quaisquer links ou anexos reais por links ou anexos maliciosos. As vítimas podem não perceber a diferença, já que o formato da mensagem parece familiar.
Smishing e vishing
Smishing usa mensagens de texto por SMS em vez de e-mail para entregar links de phishing ou solicitações. Vishing envolve chamadas de voz, com atacantes se passando por representantes de banco, agentes de suporte de tecnologia ou até membros da família usando clonagem de voz gerada por IA. Ambos são vetores de ataque cada vez mais comuns à medida que a tecnologia de voz por IA se torna mais acessível.
Quishing (phishing via código QR)
Quishing usa códigos QR maliciosos para redirecionar usuários a sites de phishing. Esses códigos geralmente são colocados em ambientes físicos (cartazes, parquímetros, cardápios de restaurantes) ou incorporados em e-mails e documentos. Como os códigos QR são opacos aos olhos humanos, muitos usuários os escaneiam sem verificar o URL de destino.
Pharming
Pharming não exige que a vítima clique em um link malicioso. Em vez disso, os atacantes envenenam registros de DNS para redirecionar usuários de um endereço de site legítimo para um endereço fraudulento. Como a vítima digita o URL correto por conta própria, o pharming é mais difícil de detectar e mais perigoso do que o phishing padrão.
Typosquatting (falsificação por erros de digitação)
Os atacantes registram domínios que se parecem de perto com sites legítimos, usando erros de grafia, substituições de caracteres ou domínios de nível superior diferentes. Um usuário que digita o URL errado pode cair em um site fraudulento que parece idêntico ao original.
Ataques a partir de “local de atração” (watering hole)
Em um ataque a partir de “local de atração”, o atacante identifica sites frequentemente visitados pelo público-alvo e, então, injeta scripts maliciosos nesses sites. Na próxima vez que um alvo visitar o site comprometido, o script é executado e pode instalar malware silenciosamente ou coletar credenciais.
Impersonação e “falsos sorteios”
Os atacantes se passam por figuras conhecidas em redes sociais ou plataformas de mensagens, promovendo falsos sorteios ou oportunidades de investimento. Em plataformas como X, Discord e Telegram, isso muitas vezes envolve comprometer contas verificadas ou criar perfis que imitam os originais. Essas táticas frequentemente se sobrepõem a golpes de airdrop, que usam anúncios falsos de distribuição de tokens para obter autorizações de carteiras.
Phishing no setor de Cripto e Blockchain
Usuários de cripto enfrentam um conjunto distinto de riscos de phishing. Como transações em blockchain são irreversíveis, um ataque de phishing bem-sucedido pode resultar em perda permanente de fundos. Alvos comuns incluem frases-semente, chaves privadas e aprovações de conexão de carteira. Para usuários ativos em protocolos DeFi ou em negociações ponto a ponto (P2P), o risco é ainda maior devido ao volume de interações com carteiras envolvidas.
O malware “wallet drainer” (que drena carteiras) é uma das formas mais danosas de phishing em cripto. O usuário é enganado a conectar a própria carteira a um site malicioso ou a assinar uma transação de aprovação. Então, o contrato inteligente malicioso transfere tokens para fora da carteira, às vezes drenando todo o saldo em poucos segundos.
Os golpistas também se passam por agentes de suporte de exchanges, pedindo que os usuários verifiquem sua identidade enviando a frase-semente. Nenhuma plataforma legítima jamais solicitará sua frase-semente. Se alguém solicitar isso, o pedido é fraudulento sem exceção.
À medida que as ferramentas de IA melhoram, espere que o phishing no setor de cripto se torne mais direcionado e mais convincente. Manter-se informado sobre as táticas atuais e aplicar hábitos consistentes de segurança são as defesas mais eficazes a longo prazo.
Phishing vs. Pharming
Embora às vezes o pharming seja classificado como um subtipo de phishing, os dois ataques funcionam de maneiras diferentes. O phishing exige que a vítima cometa um erro, como clicar em um link falso ou inserir credenciais em um site falsificado. Já o pharming exige apenas que a vítima acesse um URL que pareça legítimo, já que o próprio registro de DNS foi comprometido. Essa diferença importa porque o pharming é mais difícil de defender no nível individual.
Perguntas frequentes
O que é phishing?
Phishing é um método de ciberataque em que criminosos se passam por organizações ou pessoas confiáveis para enganar as pessoas a revelar informações sensíveis, como senhas, dados de pagamento ou frases-semente de cripto. É uma das formas mais comuns de fraude online.
Quais são os tipos mais comuns de phishing?
Os tipos mais comuns incluem phishing por e-mail, spear phishing (ataques direcionados), smishing (via SMS), vishing (via chamadas de voz) e clone phishing. Em cripto, esquemas de wallet drainer e golpes de “falso sorteio” são particularmente prevalentes.
Como identificar um e-mail de phishing?
Os principais sinais de alerta incluem endereços de remetente suspeitos ou com erros de ortografia, solicitações urgentes de informações pessoais ou senhas, links ou anexos inesperados e mensagens que criam medo ou urgência. Passe o mouse sobre os links para visualizar o URL antes de clicar e verifique solicitações inesperadas pelos canais oficiais.
O que devo fazer se achar que fui vítima de phishing?
Altere suas senhas imediatamente, começando pelas suas contas mais importantes. Ative 2FA (autenticação de dois fatores) em qualquer conta que ainda não tenha. Se você conectou uma carteira cripto a um site suspeito, revogue quaisquer aprovações que tenha concedido. Denuncie a tentativa de phishing para a plataforma que está sendo imitada e para a sua autoridade nacional de cibersegurança.
Ataques de phishing podem roubar criptomoedas?
Sim. Ataques de phishing em cripto podem coletar frases-semente, chaves privadas ou aprovações de carteira, resultando em perda permanente de fundos, já que transações em blockchain não podem ser revertidas. Métodos comuns incluem páginas falsas de login de exchange, contratos inteligentes “wallet drainer” e a personificação de membros da equipe de suporte solicitando a verificação da frase-semente.
Considerações finais
O phishing continua sendo uma das formas mais disseminadas e eficazes de cibercrime, e vem evoluindo junto com a IA e a tecnologia blockchain. Reconhecer táticas comuns, verificar as fontes com cuidado e aplicar boas práticas de segurança, como 2FA e checagem de URL, reduz significativamente o risco. Para uma base mais ampla sobre como se manter seguro online, veja nosso guia de princípios gerais de segurança.
Leitura adicional
5 maneiras de melhorar a segurança da sua conta na Binance
Como identificar golpes em finanças descentralizadas (DeFi)
O que são golpes de airdrop e como evitá-los?
Princípios gerais de segurança
Aviso: Este conteúdo é fornecido a você “como está”, apenas para fins de informação geral e educação, sem qualquer tipo de declaração ou garantia. Não deve ser interpretado como aconselhamento financeiro, jurídico ou profissional de qualquer outra natureza, nem como uma recomendação para comprar qualquer produto ou serviço específico. Você deve buscar orientação própria com assessores profissionais apropriados. Quando o conteúdo for fornecido por um terceiro, observe que as opiniões expressas pertencem ao colaborador terceiro e não refletem necessariamente as da Binance Academy. Os preços de ativos digitais podem ser voláteis. O valor do seu investimento pode subir ou descer e você pode não recuperar o valor investido. Você é o único responsável pelas suas decisões de investimento e a Binance Academy não se responsabiliza por quaisquer perdas que você possa incorrer. Para mais informações, consulte nossos Termos de Uso, Aviso de Risco e Termos da Binance Academy.
