oHub Base TI / Cibersegurança e Proteção de Dados / Ameaças Cibernéticas / Artigos / Phishing: como funciona, tipos e sinais de alerta
Neste artigo: Como este tema funciona na sua empresa Como phishing funciona: a cadeia de ataque Variações de phishing: genérico, spear, whaling, smishing, vishing Sinais de alerta em emails de phishing Técnicas de engenharia social aplicadas Controles técnicos de detecção Treinamento e simulação de phishing Implementação interna Suporte e consultoria Perguntas frequentes Como identificar um email de phishing? Qual é a diferença entre phishing e spear-phishing? O que é whaling e como funciona? Como proteger a empresa contra phishing? Qual é a taxa de sucesso de campanhas de phishing? Como treinar funcionários contra phishing? Referências
oHub Base TI Cibersegurança e Proteção de Dados Ameaças Cibernéticas

Phishing: como funciona, tipos e sinais de alerta

Funcionamento de ataques de phishing, variações (spear, whaling, smishing) e indicadores para identificação.
Atualizado em: 24 de abril de 2026
Neste artigo: Como este tema funciona na sua empresa Como phishing funciona: a cadeia de ataque Variações de phishing: genérico, spear, whaling, smishing, vishing Sinais de alerta em emails de phishing Técnicas de engenharia social aplicadas Controles técnicos de detecção Treinamento e simulação de phishing Implementação interna Suporte e consultoria Perguntas frequentes Como identificar um email de phishing? Qual é a diferença entre phishing e spear-phishing? O que é whaling e como funciona? Como proteger a empresa contra phishing? Qual é a taxa de sucesso de campanhas de phishing? Como treinar funcionários contra phishing? Referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresa
Pequena empresa Média empresa
Média empresa Grande empresa

Phishing é ataque de engenharia social onde atacante envia mensagem fraudulenta (geralmente email) fingindo ser entidade confiável, com objetivo de obter credenciais, dados sensíveis ou acesso ao sistema. Phishing representa mais de 35% das brechas corporativas — o vetor mais prevalente. Diferencia-se de outras ameaças por ser low-tech (não exigir exploit zero-day), altamente escalável (um email para 10 mil pessoas) e explorar falha humana em vez de vulnerabilidade técnica. Defesa é multicamada: detecção técnica (gateway mail), controle de acesso (MFA), segmentação de rede, e treinamento contínuo.

Como phishing funciona: a cadeia de ataque

Phishing não é ataque direto — é fase inicial de cadeia maior. (1) Reconnaissance: atacante pesquisa alvo (LinkedIn, site corporativo) para entender estrutura, nomes, emails. (2) Elaboração de mensagem: criar email convincente (logo falso, domínio similar). (3) Distribuição: enviar em massa ou direcionado. (4) Conversão: usuário clica link, digita credencial ou baixa anexo. (5) Exploração: atacante usa credencial para acessar email, move-se lateralmente na rede, instala malware[1].

Duração: desde clique até acesso em produção pode ser horas. Janela de detecção é crítica — quanto mais cedo detectar credencial comprometida, menor é dano.

Variações de phishing: genérico, spear, whaling, smishing, vishing

Phishing genérico: Email em massa ("seu banco foi hackeado, confirme credencial"). Baixa taxa de sucesso (~0.1%), mas volume massivo compensar. Alvo: qualquer pessoa. Spear-phishing: Email direcionado ("João, projeto X precisa assinatura, clique aqui"). Taxa de sucesso maior (~15%) porque personalizador. Alvo: pessoa específica. Whaling: Spear-phishing contra executivo (CEO, CFO). "Presidente precisa transferência urgente, autorize pagamento". Taxa de sucesso: ~20% (executivo está acostumado com urgência). Impacto: muito alto (acesso a contas privilegiadas). Smishing: Phishing via SMS ("confirme credencial em link"). Alvo: mobile. Vishing: Phishing via telefone ("sou do banco, confirme CPF")[2].

Sinais de alerta em emails de phishing

Usuário pode identificar phishing ao observar: (1) URL suspeita: link diz "www.bb.com.br" mas ao passar mouse mostra "www.bb-falso.tk". (2) Domínio falso: email de "[email protected]" (não "banco"). (3) Solicitação de credencial: banco real nunca pede credencial por email. (4) Anexo suspeito: arquivo .exe, .zip com nome genérico. (5) Urgência artificial: "sua conta será bloqueada em 1 hora". (6) Ortografia/formatação: erros de português, logo pixelado, fonte estranha. (7) Redirecionamento: email com múltiplos redirects antes de chegar ao destino.

Nenhum sinal é 100% —users deve ter mentalidade de ceticismo: "por que recebi isto? Faria sentido? Que ação está sendo pedida?"

Técnicas de engenharia social aplicadas

Phishing é fundamentado em psicologia: (1) Urgência: "confirme em 1 hora ou bloqueamos" cria pressão emocional, reduz pensamento crítico. (2) Autoridade: email fingindo ser banco ou CEO tem peso. (3) Reciprocidade: "clique para receber desconto" — user sente que merece. (4) Medo: "sua conta foi hackeada" — fear drive ação. (5) Familiaridade: email com logos corretos, estrutura conhecida. Defesa: reconhecer padrão e pausar antes de clicar.

Pequena empresa (=50): Falta de gateway de email avançado. Qualidade de treinamento heterogênea. Proteção principal: MFA em contas críticas + backup automatizado para mitigar ransomware pós-phishing. Custo de phishing sucesso: devastador.
Média empresa (51–500): Phishing direcionado (pesquisa prévia). Whaling contra executivos. Contas comprometidas usadas para movimento lateral. Gateway de email com UEBA (User and Entity Behavior Analytics) recomendado. Programa de conscientização estruturado (treinamento anual + simulado trimestral).
Grande empresa (+500): APT combinando phishing com intelligence externo. Campanhas com engenharia social sofisticada. Mobile phishing (SMS, WhatsApp). EDR obrigatório. Threat hunting contínuo. Simulações de phishing integradas em programa de segurança.

Controles técnicos de detecção

Gateway de email: Proofpoint, Mimecast, Microsoft Defender analisam email antes de chegar a usuário. Detectam: domínios falsos, URLs maliciosas, anexos suspeitos, assinatura DMARC/SPF/DKIM. Taxa de bloqueio: 95–99% dependendo de configuração. UEBA: Detecta comportamento anômalo (usuário faz login de IP incomum, acessa dados que nunca acessou). Sandbox: Anexo suspeito é executado em ambiente isolado para verificar se é malware. Inteligência de ameaça: Informações em tempo real sobre novos domínios falsos, campanhas ativas.

Nenhum controle é 100% — phishing é gato-e-rato. Atacantes evoluem para contornar filtros; defesa deve evoluir também.

Treinamento e simulação de phishing

Treinamento efetivo inclui: (1) Vídeo/módulo educativo (~30 min). (2) Simulação de phishing (empresa envia email fraudulento; usuários que clicam entram em treinamento adicional). (3) Métrica de progresso (% de taxa de clique inicial ? taxa de clique após treinamento). (4) Reforço contínuo (lembretes mensais, campanhas educativas).

Expectativa realista: taxa inicial de clique ~25–35%; após treinamento regular, reduz para 5–10%. Redução de 70% em taxa de clique em 1 ano de programa estruturado.

Sinais de que sua empresa é alvo de phishing ativo:
  • Incidente recente de credencial comprometida via phishing
  • Taxa alta de clique em simulado de phishing (>20%)
  • Emails fraudulentos chegando em volume significativo (múltiplos por dia)
  • Campanhas de phishing direcionadas contra executivos
  • Setor que é alvo frequente (financeiro, saúde, governo)
  • Operação internacional exposto a phishing multilíngue

Implementação interna

Pequena: Implemente MFA em contas críticas. Comunicar cuidado com emails suspeitos (cartaz, email semanal). Teste manual de phishing ad-hoc.

Média: Gateway de email com análise básica. Treinamento anual. Simulado trimestral. Métrica de taxa de clique. Escalação clara se incidente.

Grande: Gateway avançado com UEBA. Treinamento contínuo (vídeos, artigos). Simulado mensal com diferenciação por perfil (executivo, staff, operacional). Threat hunting.

Suporte e consultoria

Gateway de email: Proofpoint, Mimecast, Microsoft Defender oferecem implementação e suporte.

Plataforma de simulação: KnowBe4, Gophish oferecem campanhas de phishing simulado com métricas.

Treinamento especializado: Consultoria em awareness de segurança pode desenhar programa customizado.

Encontrar fornecedores de TI no oHub

Perguntas frequentes

Como identificar um email de phishing?

Procure por: URL suspeita (domínio falso), solicitação de credencial, anexo suspeito, urgência artificial, ortografia errada, logo pixelado. Quando em dúvida, procure contactar empresa por telefone, não responda ao email.

Qual é a diferença entre phishing e spear-phishing?

Phishing: genérico, em massa, baixa taxa. Spear-phishing: direcionado a pessoa específica com pesquisa prévia, taxa de sucesso maior.

O que é whaling e como funciona?

Spear-phishing contra executivo (CEO, CFO). "Presidente precisa autorizar transferência urgente." Taxa de sucesso alta porque executivo está acostumado com urgência. Impacto muito alto.

Como proteger a empresa contra phishing?

Camadas: (1) Gateway de email com análise avançada. (2) MFA em contas críticas (phishing não consegue acesso sem segundo fator). (3) Segmentação de rede (movimento lateral reduzido). (4) Treinamento contínuo e simulação de phishing. (5) EDR para detectar malware pós-clique.

Qual é a taxa de sucesso de campanhas de phishing?

Phishing genérico: ~0.1% (1 em 1000). Spear-phishing: ~15%. Whaling: ~20%. Volume massivo compensa baixa taxa individual.

Como treinar funcionários contra phishing?

Vídeo educativo + simulado de phishing + métrica de progresso + reforço contínuo. Expectativa: taxa de clique reduz 70% em 1 ano com programa estruturado.

Referências

Leia também