Como saber se um link é falso ou golpe (phishing): guia completo e prático

Passo a passo — o que fazer

1. 1

   Passe o cursor sobre o link antes de clicar

   Em computadores, posicione o cursor sobre o link sem clicar: o rodapé do navegador ou cliente de e-mail mostrará o endereço real de destino. Em celulares, toque e segure o link para ver uma pré-visualização do URL. Se o endereço exibido for diferente do texto do link ou pertencer a um domínio desconhecido, não clique.

2. 2

   Leia o domínio de trás para frente

   O domínio verdadeiro é a parte imediatamente antes da extensão (.com.br, .gov.br, .org). Exemplo: em 'bradesco.atendimento.golpe.com', o dono do site é 'golpe.com', não Bradesco. Criminosos inserem o nome da marca como subdomínio ou prefixo para enganar. Leia o URL começando pelo ponto antes da extensão e vá para a esquerda: o primeiro trecho que encontrar é o domínio real.

3. 3

   Cole o link em um verificador antes de abrir

   Serviços gratuitos como o Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish) e o VirusTotal (virustotal.com) analisam URLs e identificam se o endereço consta em listas de phishing ou malware. Para links encurtados (bit.ly, t.co, cutt.ly), acrescente '+' ao final na barra de endereços para ver o destino antes de acessar, ou use unshorten.me.

4. 4

   Confirme pelo canal oficial

   Se a mensagem diz ser do seu banco, operadora ou governo, não use o contato fornecido na própria mensagem. Acesse o site oficial digitando o endereço diretamente no navegador, ligue para o número impresso no cartão ou consulte o aplicativo oficial baixado da loja de aplicativos. Nenhuma empresa legítima exige que você confirme dados clicando em um link recebido por e-mail ou SMS.

5. 5

   Verifique HTTPS, mas não confie só nele

   HTTPS indica que a conexão é criptografada, mas não garante que o site é legítimo — golpistas também obtêm certificados HTTPS para sites falsos. O cadeado verde significa apenas que os dados trafegam criptografados entre você e o servidor, seja ele autêntico ou fraudulento. A verificação do domínio continua sendo indispensável.

6. 6

   Se clicou e não digitou dados, feche imediatamente

   Feche a aba ou aplicativo, limpe o histórico e os cookies do navegador e execute uma varredura com antivírus atualizado. Em celulares corporativos, notifique o time de TI. Monitore os próximos dias por comportamentos estranhos: pop-ups excessivos, redirecionamentos automáticos ou consumo anormal de bateria/dados podem indicar instalação de malware.

7. 7

   Se digitou senha ou dados pessoais, aja em minutos

   Troque imediatamente a senha do serviço comprometido e de qualquer outro onde você use a mesma senha. Ative autenticação em dois fatores (2FA) se ainda não tiver. Informe seu banco caso tenha digitado dados financeiros — ligue para o número no verso do cartão. Registre um boletim de ocorrência e, se necessário, avise a Receita Federal (golpes que usam seu CPF). O CERT.br recomenda reportar o incidente em cert.br/report.

8. 8

   Reporte o link para proteger outras pessoas

   Encaminhe o e-mail ou link suspeito para [email protected] e para o CERT.br (cert.br/report). No WhatsApp, use o botão 'Denunciar' na conversa. No Gmail ou Outlook, marque a mensagem como phishing em vez de apenas excluí-la. Seu reporte ajuda os filtros automáticos a bloquear o mesmo golpe para milhões de pessoas.

Como ler um URL para detectar fraudes

Um endereço web (URL) tem estrutura definida: protocolo (https://), subdomínio opcional (www. ou login.), domínio principal (o nome da empresa), extensão (.com.br, .gov.br) e caminho (/pagina). O único trecho que identifica o dono do site é o domínio principal — tudo o que vem antes dele pode ser inventado pelo golpista.

Exemplo prático: 'https://bradesco.com.br.atendimento-urgente.net/acesso' parece conter 'bradesco.com.br', mas o domínio real é 'atendimento-urgente.net'. O banco é apenas um subdomínio falso. Para identificar, localize o último ponto antes da barra ('/') e leia para a esquerda até o ponto anterior: esse é o domínio real.

O CERT.br, centro de tratamento de incidentes do Brasil, detalha essa técnica em sua Cartilha de Segurança (cartilha.cert.br), disponível gratuitamente. A cartilha recomenda sempre verificar a barra de endereços após clicar e nunca confiar apenas no texto âncora de um hiperlink — o que está escrito pode ser completamente diferente do destino real.

Encurtadores de URL e por que são usados em golpes

Serviços como bit.ly, t.co, cutt.ly e tinyurl.com condensam endereços longos em links curtos. São legítimos e amplamente usados, mas também são ferramentas frequentes em phishing porque escondem completamente o domínio de destino.

Para revelar o destino antes de acessar, adicione '+' ao final do link encurtado quando usar o bit.ly (ex: bit.ly/xyzabc+). Outros serviços têm métodos semelhantes ou você pode usar sites como unshorten.me ou checkshorturl.com, que expandem o link e mostram o destino real sem que você precise acessá-lo.

Receber um link encurtado por SMS, WhatsApp ou e-mail não solicitado é, por si só, um sinal de alerta. Nenhum banco, governo ou grande empresa envia comunicações oficiais com encurtadores, pois isso impede a verificação do remetente. Se recebeu um, desconfie por padrão.

O que fazer imediatamente após clicar em link suspeito

A velocidade da resposta importa. Se você apenas clicou mas não digitou nenhuma informação, feche a aba imediatamente, limpe o cache e os cookies do navegador (Ctrl+Shift+Del no Chrome/Firefox) e faça uma varredura completa com antivírus atualizado. Em dispositivos corporativos, notifique o time de TI antes de qualquer outra ação.

Se digitou usuário e senha, troque a senha do serviço afetado agora — de preferência em outro dispositivo ou rede, para o caso de o seu estar comprometido. Troque também a senha em qualquer outro serviço onde você use a mesma combinação. Ative autenticação em dois fatores (2FA) imediatamente: mesmo que o criminoso tenha sua senha, precisará do segundo fator para entrar.

Se forneceu dados financeiros (número do cartão, CVV, senha bancária), ligue para o banco pelo número impresso no verso do cartão e relate o ocorrido. Solicite bloqueio preventivo do cartão e monitore o extrato nos próximos dias. Para dados pessoais como CPF, verifique seu nome no Registrato do Banco Central (registrato.bcb.gov.br) e no Serasa para detectar abertura fraudulenta de contas ou crédito em seu nome.

Phishing é a porta de entrada de incidentes em empresas

Para pessoas físicas, phishing causa prejuízos financeiros e roubo de identidade. Para empresas, o impacto é multiplamente maior: um único colaborador que clica num link falso pode dar ao atacante acesso à rede corporativa inteira, viabilizando sequestro de dados (ransomware), espionagem industrial ou fraudes financeiras de grande escala.

Segundo o relatório DBIR 2024 da Verizon, phishing e engenharia social estão presentes em mais de 60% das violações de dados corporativas globalmente. No Brasil, o CERT.br registrou em 2023 mais de 1,7 milhão de notificações de incidentes, com fraudes web e phishing liderando as categorias. A Decripte atende exclusivamente empresas — de startups a organizações com mais de 100 mil colaboradores — justamente porque o risco corporativo exige resposta profissional.

A forma mais eficaz de reduzir o risco humano nas empresas é a simulação de phishing: enviar e-mails de teste controlados aos colaboradores e medir a taxa de cliques. Quem clica recebe treinamento imediato no momento do erro — quando a lição é mais memorável. Combinado com políticas de acesso, autenticação forte e monitoramento contínuo, o treinamento reduz drasticamente a superfície de ataque mais explorada pelos criminosos.

Como a Decripte protege empresas contra phishing

A Decripte é uma empresa brasileira de cibersegurança que atende organizações de todos os portes — do pequeno negócio ao grande conglomerado. Não atendemos pessoas físicas individualmente, mas protegemos as empresas onde elas trabalham, garantindo que um clique equivocado de um colaborador não se torne um incidente catastrófico.

Através da plataforma DMS (Decripte Management System), gerenciamos implementação e resposta a incidentes com monitoramento contínuo, inteligência de ameaças e simulações de phishing para equipes. Empresas que quiserem começar podem ativar o plano gratuito de Gestão de Ameaças, que já entrega diagnóstico de risco baseado em dados reais de exposição — sem custo e sem compromisso.

Para organizações que precisam de proteção completa — incluindo resposta a incidentes 24/7, pentest, treinamento de colaboradores e conformidade regulatória — oferecemos planos pagos escalados ao tamanho e à criticidade do negócio. O contato é feito exclusivamente pelo formulário em decripte.com.br: não temos linha telefônica de atendimento ao consumidor final.

Termos importantes

Phishing

Ataque cibernético que imita comunicações legítimas — e-mails, sites, mensagens — para enganar o usuário e fazê-lo revelar senhas, dados bancários ou informações pessoais. O nome vem da analogia com 'fishing' (pesca): o criminoso lança uma isca e espera que alguém morda.

Smishing

Variante de phishing realizada por SMS ou mensagens de texto (WhatsApp, Telegram, iMessage). O 's' inicial vem de 'SMS'. Como mensagens de texto têm aparência de urgência e são abertas com mais frequência que e-mails, smishing tem taxas de clique significativamente mais altas.

Typosquatting

Técnica em que criminosos registram domínios com erros ortográficos, letras trocadas ou acréscimos sutis ao nome de marcas conhecidas (ex: 'itaú-online.com', 'caixa-economica.net'). O objetivo é capturar usuários que não percebem a diferença ou que digitam o endereço de forma imprecisa.

Domínio

Parte central de um endereço web que identifica o proprietário do site. Em 'https://www.banco.com.br/login', o domínio é 'banco.com.br'. Subdomínios (como 'www' ou 'login') ficam à esquerda e podem ser criados livremente pelo dono do domínio — ou por golpistas usando o nome de marcas alheias como subdomínio falso.

Perguntas frequentes