Phishing é um tipo de fraude cujo objetivo é obter dados confidenciais de usuários ou empresas.
O phishing direcionado é um ataque planejado, voltado para funcionários específicos de uma empresa, com o intuito de roubar dados corporativos, acessar sistemas internos ou comprometer a infraestrutura.
Como os golpistas agem:
- Estudam a empresa — analisam redes sociais, estrutura organizacional e estilo de comunicação.
- Falsificam e-mails de gestores ou colegas, utilizando domínios clonados. Por exemplo, em vez de
name@company.br, usamname@companny.br. - Criam contas falsas em mensageiros e se passam por funcionários reais, utilizando fotos de perfil.
- Enviam arquivos maliciosos — como solicitações para atualizar programas.
- Desenvolvem páginas de login falsas para roubar senhas.
Teste se você consegue identificar phishing. Responda a 10 perguntas.
Pergunta 1. Você trabalha na empresa "Minha Empresa", cujo domínio de e-mail é @mycompany.br. Você recebeu um e-mail. Ele é phishing?
De: CEO@MYC0MPANY.BR
Para: todos
Assunto: IMPORTANTE. URGENTE. Sobre o bônus
Olá, colegas!
Em virtude da implementação de um novo sistema de motivação e bonificação em nossa empresa, todos os colaboradores devem responder a uma pesquisa no link: HTTPS://ENQUETE.MYC0MPANY.BR. Prazo — hoje até às 16h.
Atenciosamente, Diretor Geral da "Minha Empresa"
Ver resposta
Este é um e-mail de phishing. Veja os indícios:
- o e-mail não possui remetente e destinatário específicos,
- na URL, a letra O foi substituída pelo número zero,
- o link direciona para um site falso.
Pergunta 2. Você recebeu um e-mail. Ele é phishing?
Olá!
Em resposta à sua proposta comercial para fornecimento de eletrodomésticos, pedimos que preencha o cadastro de fornecedor (documento em anexo: card.pdf.exe) e envie por e-mail.
Atenciosamente, "Outra Empresa"
Ver resposta
Este é um e-mail de phishing. Veja os indícios:
- o e-mail não possui remetente específico,
- o anexo possui extensão .exe, e não .pdf. Arquivos com extensões como .exe, .scr, .bat e .vbs podem ser maliciosos.
Pergunta 3. Você recebeu um e-mail. Ele é phishing?
Olá!
Antes do nosso evento corporativo, pedimos que todos votem no local para sua realização. Outras empresas estão reservando espaços rapidamente, então o voto deve ser feito hoje.
Link para votação: https://event.mycompany.bz
Ver resposta
Este é um e-mail de phishing — o golpista alterou a zona de domínio de .br para .bz.
Pergunta 4. Este e-mail é phishing?
De: HelpDesk@HelpDesk.br
Assunto: Atualize o CRM urgentemente
Olá, colegas do departamento de vendas!
Devido a um erro crítico em nosso CRM, há risco de perda de dados de todos os negócios. É urgente que vocês baixem e executem a atualização (anexo: atualizacao.exe).
Atenciosamente, Pedro Medeiros dos Santos
Especialista Sênior de TI
pedro@mycompany.br
"Minha Empresa"
Ver resposta
Este é um e-mail de phishing — o remetente foi falsificado. Em vez de @mycompany.br, foi usado @HelpDesk.br.
Pergunta 5. Qual e-mail pode ser usado para correspondência profissional?
- @gmail.com,
- apenas serviços corporativos,
- qualquer serviço, desde que você conheça o destinatário.
Ver resposta
Separe correspondências pessoais e profissionais. Use apenas serviços corporativos para e-mails de trabalho. Isso protege a empresa contra vazamento de informações importantes.
Pergunta 6. Quais opções indicam um e-mail de phishing?
- urgência na execução de tarefas,
- saudação genérica — sem nome ou cargo,
- link com substituição de letras por símbolos semelhantes, como O por 0,
- anexo com arquivo no formato .exe.
Ver resposta
A resposta correta é: todas as opções indicam phishing.
Pergunta 7. Este endereço de link é falso — https://test.br.xyz?
Ver resposta
Sim, este endereço é falso. Após .br, foi adicionado um domínio extra .xyz. Você pode verificar a propriedade do site em serviços Whois, como https://registro.br/tecnologia/ferramentas/whois/.
Pergunta 8. Este endereço de link é falso — http://205.0.112.45?
Ver resposta
O link pode ser phishing se:
- O domínio do site for um endereço IP.
- O protocolo usado for http, e não https. Sem o "s", não há criptografia.
Pergunta 9. Você recebeu a seguinte mensagem.
Olá, não consigo falar com seu supervisor Nicolau. Preciso que você pague urgentemente a fatura de fornecimento de equipamentos, registre-a no sistema e acompanhe o pagamento no setor financeiro ainda hoje. Em anexo: fatura.pdf.
Atenciosamente, Sérgio Medeiros
medeiros@mycompany.br
+551191231213
Diretor Geral da "Minha Empresa"
O que você faria a seguir:
A. Ligo para meu supervisor Nicolau para confirmar a tarefa. Não farei nada até que ele confirme. Se for phishing, aviso imediatamente os colegas do setor de segurança da informação ou TI.
B. Tarefas urgentes de chefia devem ser realizadas imediatamente, e verificar e-mails de phishing é responsabilidade do setor de segurança da informação.
C. Começo a executar as instruções do e-mail imediatamente, mas informo meu supervisor ao mesmo tempo.
Ver resposta
A resposta correta é A. Qualquer funcionário pode ser alvo de phishing, por isso é importante:
- Não agir com pressa — urgência no e-mail é frequentemente um sinal de golpe.
- Verificar o remetente — domínio, nome e estilo do e-mail.
- Consultar colegas — se algo parecer suspeito.
A segurança depende de cada colaborador.
Pergunta 10. Seu amigo enviou para o notebook de trabalho um arquivo sobre uma promoção. Você:
- ligou para ele para confirmar os detalhes,
- verificou a extensão do arquivo,
- escaneou com o antivírus — nenhuma ameaça foi encontrada,
- e só então abriu o documento.
Você fez tudo certo?
Ver resposta
A resposta correta é não. Apesar de não ser um golpe e você ter se comunicado com seu amigo, o notebook de trabalho contém dados corporativos, e até mesmo ações acidentais podem causar vazamentos.
Siga estas regras para evitar riscos:
- Baixe arquivos pessoais apenas em dispositivos pessoais.
- Use o notebook de trabalho exclusivamente para atividades profissionais.
Assim, você protege a si mesmo e à empresa.
