Como reconhecer ataques de phishing em 2025?
Publicado em: 3 Out 2023
Última modificação em: 11 Nov 2025
A maré crescente de ataques de phishing: Como identificar e travar os cibercriminosos em 2025
No primeiro trimestre de 2025, o Relatório de Tendências da Atividade de Phishing do APWG registou um número impressionante de 1.003.924 ataques de phishing – o total trimestral mais elevado desde o final de 2023. Os cibercriminosos estão a explorar cada vez mais os códigos QR nos e-mails para atrair os utilizadores para sites de phishing ou downloads de malware.
O sector SaaS/Webmail continuou a ser o sector mais visado (18%), enquanto o sector financeiro, incluindo plataformas bancárias, de pagamento e de criptomoeda, foi responsável por 30,9% de todos os ataques de phishing. Além disso, os golpes de transferência bancária do Business Email Compromise (BEC) aumentaram 33% em comparação com o trimestre anterior.
Nesta publicação, vamos explorar os tipos mais comuns de ataques de phishing, como reconhecê-los e evitá-los, e como a tua organização pode manter-se um passo à frente dos cibercriminosos.
O que é o phishing?
O phishing é um tipo de ataque cibernético em que os criminosos se fazem passar por organizações, colegas ou amigos de confiança para enganar as vítimas e levá-las a revelar dados sensíveis, como dados de acesso, credenciais financeiras ou informações pessoais.
Estes ataques podem ser feitos através de correio eletrónico, SMS, chamadas de voz ou mensagens instantâneas, muitas vezes contendo ligações ou anexos maliciosos. Uma única mensagem enganosa pode levar ao roubo de identidade, a perdas financeiras ou à infeção por malware. Reconhecer as mensagens de phishing é um passo vital para reforçar a sensibilização da tua organização para a cibersegurança.
Tipos comuns de ataques de phishing
1. Spear Phishing
Um ataque direcionado que utiliza informações detalhadas sobre a vítima para parecer autêntico. Os cibercriminosos pesquisam os seus alvos, criando mensagens personalizadas que são difíceis de detetar.
2. Phishing por e-mail
Uma campanha alargada que envia mensagens fraudulentas a muitos destinatários, utilizando frequentemente uma linguagem urgente ou que induz ao medo, para levar os utilizadores a clicar em ligações maliciosas ou a fornecer dados sensíveis.
3. Comprometimento de e-mail comercial (BEC)
Uma forma sofisticada de phishing em que os atacantes se fazem passar por executivos ou fornecedores para solicitar transferências bancárias ou dados confidenciais.
4. Caça à baleia
Uma forma de spear phishing dirigida a executivos seniores ou funcionários de elevado valor, com o objetivo de roubar informações estratégicas ou financeiras.
5. Pesca
Ataques de phishing enviados por SMS ou aplicações de mensagens como o WhatsApp. Estas mensagens incluem frequentemente ligações maliciosas disfarçadas de actualizações de entregas, alertas de pagamento ou notificações urgentes.
6. Vishing
O phishing de voz, ou vishing, consiste em os burlões telefonarem às vítimas e fingirem representar organizações de confiança, manipulando-as para que revelem dados confidenciais ou realizem acções específicas.
Para obteres informações mais detalhadas, lê também o nosso recurso abrangente – The Ultimate Guide to Phishing Awareness
Como detetar um ataque de phishing
Os e-mails de phishing estão a tornar-se cada vez mais difíceis de distinguir dos legítimos. Os cibercriminosos utilizam agora uma marca profissional, nomes de domínio realistas e detalhes personalizados para enganar até os destinatários mais cautelosos.
Eis os principais sinais de alerta a que deves estar atento:
- Ligações suspeitas: Passa o cursor sobre as hiperligações antes de clicar. Se o URL não corresponder ao remetente ou parecer suspeito, não o abras.
- Pedidos de informações confidenciais: Tem cuidado com as mensagens não solicitadas que pedem palavras-passe, dados bancários ou outros dados confidenciais.
- Detalhes incomuns do remetente: Verifica duas vezes o endereço de e-mail do remetente. Mesmo pequenas alterações ortográficas podem revelar uma conta falsa.
- Saudações genéricas: Frases como “Caro cliente” ou “Caro membro” em vez do teu nome real indicam frequentemente uma tentativa de phishing.
- Mensagens urgentes ou baseadas no medo: Os burlões criam o pânico para apressar as vítimas. As tácticas mais comuns incluem afirmar que há um problema com a tua conta ou oferecer recompensas falsas.
- Erros ortográficos ou gramaticais: As organizações profissionais mantêm uma comunicação de alta qualidade; uma má ortografia ou gramática é um forte sinal de alerta.
Reforça a tua defesa contra ataques de phishing
Para proteger a tua organização contra o phishing, é vital combinar a formação dos funcionários, simulações de phishing e programas sólidos de sensibilização para a cibersegurança.
Os ataques de phishing estão a evoluir rapidamente – e o erro humano continua a ser a principal vulnerabilidade. Protege a tua organização com a Plataforma de Gestão do Risco Humano da MetaCompliance, que oferece formação automatizada de sensibilização para a segurança, simulação avançada de phishing e conteúdos educativos direcionados, concebidos para proteger a tua empresa contra phishing e outros ataques de engenharia social.
FAQs sobre ataques de phishing
Qual é o principal objetivo de um ataque de phishing?
Enganar as pessoas para que revelem informações pessoais ou financeiras ou descarreguem malware.
Como é que posso reconhecer uma mensagem de correio eletrónico de phishing?
Procura ligações suspeitas, erros gramaticais ou mensagens urgentes que exijam ação imediata.
Que sectores são mais visados pelo phishing?
Os serviços financeiros, os fornecedores de SaaS e as plataformas de webmail continuam a ser os principais alvos.
Os códigos QR são utilizados em ataques de phishing?
Sim – este tipo de ataque é conhecido como Quishing. Os cibercriminosos incorporam códigos QR maliciosos em e-mails, cartazes ou mensagens para enganar os utilizadores e levá-los a digitalizá-los, o que redirecciona as vítimas para sites falsos concebidos para roubar credenciais ou instalar malware.