Phishing (pronunciado: fishing) é um ataque que tenta roubar seu dinheiro ou a sua identidade fazendo com que você revele informações pessoais, tais como números de cartão de crédito, informações bancárias ou senhas em sites que fingem ser legítimos. Criminosos cibernéticos normalmente fingem ser empresas confiáveis, amigos ou pessoas conhecidas em uma mensagem de email falsa, que contém um link para um site de phishing.

Seu navegador não tem suporte para vídeo. Instale o Microsoft Silverlight, Adobe Flash Player ou Internet Explorer 9.

Selecione os títulos abaixo para obter mais informações

Phishing é uma forma popular de crime cibernético porque é efetivo. Os cibercriminosos têm sido bem-sucedidos usando emails, mensagens de texto e mensagens diretas nas mídias sociais ou em videogames, para fazer com que as pessoas respondam com suas informações pessoais. As melhores defesas são a conscientização e a capacidade de saber o que procurar.

Aqui estão algumas maneiras de reconhecer um email de phishing:

  • Chamada urgente para a ação ou ameaças – desconfira de emails e mensagens do Teams que afirmam que você deve clicar, chamar ou abrir um anexo imediatamente. Muitas vezes, eles alegarão que você tem que agir agora para reivindicar uma recompensa ou evitar uma penalidade. Criar um falso senso de urgência é um truque comum de ataques e golpes de phishing. Eles fazem isso para que você não pense muito sobre isso ou consulte um conselheiro confiável que pode avisá-lo.

    Dica: Sempre que você vir uma mensagem pedindo uma ação imediata, pare um pouco e observe cuidadosamente a mensagem. Você tem certeza que ela é real? Vá devagar e esteja seguro.

  • Primeira vez, remetentes pouco frequentes ou remetentes marcados [Externos] - Embora não seja incomum receber um email ou mensagem do Teams de alguém pela primeira vez, especialmente se eles estiverem fora de sua organização, isso pode ser um sinal de phishing. Reduza a velocidade e tome cuidado extra nestes momentos. Quando você recebe um email ou uma mensagem do Teams de alguém que não reconhece ou que o Outlook ou o Teams identifica como um novo remetente, tire um momento para examiná-lo com cuidado usando algumas das medidas abaixo.

  • Ortografia e gramática ruim - Empresas e organizações profissionais geralmente têm uma equipe editorial e de escrita para garantir que os clientes obtenham conteúdo profissional de alta qualidade. Se uma mensagem de email apresentar erros ortográficos ou gramaticais óbvios, pode ser um golpe. Às vezes, esses erros são o resultado de uma tradução inadequada de um idioma estrangeiro e, às vezes, são deliberados na tentativa de escapar dos filtros que tentam bloquear esses ataques.

  • Saudações genéricas - uma organização que trabalha com você deve saber o seu nome e, atualmente, é fácil personalizar um email. Se o email começar com um genérico "Prezado senhor ou senhora", isso é um sinal de alerta de que pode não ser realmente o seu banco ou site de compras.

  • Domínios de email incompatíveis - Se o email afirma ser de uma empresa respeitável, como a Microsoft ou seu banco, mas o email está sendo enviado de outro domínio de email como Gmail.com ou microsoftsupport.ru provavelmente é um golpe. Também esteja atento a erros de ortografia muito sutis no nome de domínio legítimo. Por exemplo, micros0ft.com, onde o segundo "o" foi substituído por um 0 ou rnicrosoft.com, onde o "m" foi substituído por um "r" e um "n". Esses são truques comuns de golpistas. 

  • Links suspeitos ou anexos inesperados - Se você suspeitar que uma mensagem de email ou uma mensagem no Teams seja um golpe, não abra nenhum links ou anexos que você vê. Em vez disso, passe o mouse sobre o mouse, mas não clique no link. Veja o endereço que aparece quando você passa o mouse sobre o link. Pergunte a si mesmo se esse endereço corresponde ao link que foi digitado na mensagem. No exemplo a seguir, descansar o mouse sobre o link revela o endereço web real na caixa com o plano de fundo amarelo. A cadeia de números não se parece nada com o endereço Web da empresa.

    Endereço IP falso

    Dica: No Android, pressione o link para obter uma página de propriedades que revelará o verdadeiro destino do link. No iOS, faça o que a Apple chama de "Light, long-press".

Os criminosos cibernéticos também podem fazer com que você visite sites falsos com outros métodos, tais como mensagens de texto ou ligações telefônicas. Se você estiver se sentindo ameaçado ou pressionado, talvez seja hora de desligar, encontrar o número de telefone do estabelecimento e ligar de volta quando sua cabeça estiver limpa. Criminosos cibernéticos sofisticados organizam call centers para ligar ou mandar SMS automaticamente para os números de possíveis alvos. Estas mensagens muitas vezes incluem avisos para que você digite um número PIN ou algum outro tipo de informação pessoal.

Para obter mais informações, confira Como detectar um golpe de "ordem falsa". 

Você é um administrador ou um profissional de TI?

Nesse caso, você deve estar ciente de que as tentativas de phishing podem estar direcionadas aos usuários do Teams. Tome medidas. Saiba mais sobre o que fazer sobre isso aqui.

Se você tem uma assinatura do Microsoft 365 com Proteção Avançada contra Ameaças, você pode habilitar o ATP Antiphishing para ajudar a proteger seus usuários. Saiba mais

  • Nunca clique em links ou anexos em emails suspeitos ou mensagens do Teams. Se você receber uma mensagem suspeita de uma organização e temer que a mensagem possa ser legítima, acesse o navegador da web e abra uma nova guia. Em seguida, vá para o site da organização a partir de seu favorito salvo ou por meio de uma pesquisa na Web. Fale com eles usando números oficiais ou emails de seu site. Chame a organização usando um número de telefone listado na parte de trás de uma cartão de associação, impressa em uma fatura ou instrução ou que você encontre no site oficial da organização.

  • Se a mensagem suspeita aparecer de uma pessoa que você conhece, entre em contato com essa pessoa por meio de outro meio , como por mensagem de texto ou um telefonema para confirmá-la.

  • Denuncie a mensagem (veja abaixo).

  • Exclua.

  • Microsoft 365 Outlook – Com a mensagem suspeita selecionada, escolha Relatar mensagem na faixa de opções e selecione Phishing. Esta é a maneira mais rápida de denunciá-la e remover a mensagem da sua Caixa de Entrada, e nos ajudará a melhorar nossos filtros para que você veja menos mensagens como essas no futuro. Para obter mais informações, confira Usar o suplemento Relatar mensagem.

  • Outlook.com - Marque a caixa de seleção ao lado da mensagem suspeita na caixa de entrada do Outlook.com. Selecione a seta ao lado do Lixo eletrônico e, em seguida, selecione Phishing.

  • Mensagens do Teams – Se você estiver no Microsoft Teams, passe o mouse sobre a mensagem mal-intencionada semselecioná-la e selecione Mais opções > Mais ações > Relatar esta mensagem. Quando solicitado a 'Relatar esta mensagem' escolha a opção Risco de segurança – Spam, phishing, conteúdo mal-intencionado são selecionados e, em seguida, selecione Relatório. Clique no botão Relatório .Se você está vendo sinais de um golpe, e suspeita de uma mensagem, você, todos os outros expostos a ele, são mais seguros do que arrependidos! Reporte- o.

Observação: Se estiver usando um cliente de email diferente do Outlook, escreva um novo email para phish@office365.microsoft.com e inclua o email de phishing como anexo. Não encaminhe o email suspeito; precisamos recebê-lo como anexo para que possamos examinar os cabeçalhos da mensagem. 

Se você estiver em um site suspeito:

Enquanto estiver em um site suspeito no Microsoft Edge, selecione o ícone Configurações e Mais (...) no canto superior direito da janela e, em seguida, Ajuda e comentários > Relatar site não seguro.  Ou clique aqui.

Dica: ALT+F abrirá o menu Configurações e Mais .

Para obter mais informações, confira Navegar na web com segurança no Microsoft Edge.

Se você suspeita que pode ter caído inadvertidamente em um ataque de phishing, há algumas coisas que você deve fazer. 

  1. Enquanto está fresco na sua mente, escreva o máximo de detalhes do ataque de que você se lembrar. Em particular, tente observar qualquer informação como nomes de usuário, números de conta ou senhas que você possa ter compartilhado e onde o ataque aconteceu, como no Teams ou no Outlook.

  2. Altere imediatamente as senhas em todas as contas afetadas e em qualquer outro lugar que você possa usar a mesma senha. Quando estiver trocando as senhas, você deverá criar senhas únicas para cada conta, e você pode querer consultarCriar e usar senhas fortes.

  3. Confirme se você tem autenticação multifator (também conhecida como verificação em duas etapas) ativada para cada conta que puder. Veja O que é: Autenticação multifator

  4. Se esse ataque afetar suas contas corporativas ou escolares, você deverá notificar as pessoas de suporte de TI no seu trabalho ou na escola do possível ataque. Se você compartilhou informações sobre seus cartões de crédito ou contas bancárias, talvez queira entrar em contato com essas empresas também para alertá-las sobre possíveis fraudes.

  5. Se você perdeu dinheiro, ou foi vítima de roubo de identidade, não hesite, denuncie-o à polícia local. Os detalhes da etapa 1 serão muito úteis para eles.

Consulte também

As chaves do reino - protegendo seus dispositivos e contas

Como o malware pode infectar seu computador

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.