5 maneiras de identificar um site de phishing
Publicado em: 2 Jul 2018
Última modificação em: 8 Set 2025
É importante saber como identificar um site de phishing para evitar ser vítima de fraudes que podem resultar em perdas financeiras, roubo de identidade ou outras formas de cibercrime. Os ataques de phishing continuam a revelar-se uma das formas mais bem sucedidas e eficazes de os cibercriminosos lançarem ataques informáticos que nos defraudam e roubam as nossas informações pessoais, incluindo palavras-passe, credenciais e dados financeiros.
A nossa crescente dependência da Internet para realizar grande parte das nossas operações diárias proporcionou aos autores de fraudes o ambiente perfeito para lançar ataques de phishing direcionados.
Os e-mails de phishing são uma forma sofisticada de ataque cibernético que é cada vez mais difícil de detetar. Um estudo realizado pela Intel revelou que 97% das pessoas não conseguem identificar os e-mails de phishing dos e-mails genuínos na sua caixa de correio eletrónico.
Mas não são apenas os e-mails de phishing que são utilizados para enganar os destinatários e fazê-los clicar em links, descarregar malware ou divulgar informações sensíveis. Outra tática comum utilizada pelos cibercriminosos envolve a criação de sites de phishing comprometidos para enganar as vítimas e levá-las a introduzir informações sensíveis.
Os esquemas de phishing incluem muitas vezes sites falsos para enganar os utilizadores que pensam estar num site legítimo e comprometer a sua segurança. Os burlões passam muito tempo a fazer com que o site pareça o mais credível possível e muitos sites parecem quase indistinguíveis dos verdadeiros.
Dicas importantes para identificar um site de phishing
Para determinar se o site em que te encontras é legítimo ou uma falsificação bem elaborada, deves seguir os seguintes passos:
1. Verifica o URL
O primeiro passo para identificar um ataque de phishing é passar o rato sobre o URL e verificar a validade do nome de domínio.
Deves procurar um ícone de cadeado na barra de endereços e verificar se o URL começa com ‘https://’ ou ‘shttp://’. O ‘S’ indica que o endereço Web foi encriptado e protegido com um certificado SSL. Sem HTTPS, todos os dados transmitidos no sítio são inseguros e podem ser interceptados por terceiros cibercriminosos.
No entanto, este sistema não é totalmente infalível e, no último ano, registou-se um aumento notável no número de sites de phishing que utilizam certificados SSL. Os utilizadores são aconselhados a serem extremamente cautelosos e a procurarem mais provas de que o site é seguro.
Deves também prestar muita atenção à ortografia de um endereço Web. Para enganar os utilizadores e fazê-los pensar que estão num site oficial, os burlões aproximam-se o mais possível do endereço real e fazem pequenas alterações à ortografia. Um endereço Web que termina em .co.uk pode ser alterado para .org, ou a letra O pode ser substituída pelo número 0. Ex: www.yah00.org. O endereço Web também pode conter caracteres e símbolos adicionais que os endereços oficiais não contêm.
2. Avalia o conteúdo de um sítio
Um sítio Web oficial exige muito trabalho e reflexão. Os gráficos serão nítidos, a ortografia e a gramática serão corretas e toda a experiência parecerá polida. Se estiveres num site de phishing, apesar da semelhança da marca, toda a experiência será inferior e pode indicar que entraste num site de phishing.
Erros ortográficos simples, inglês incorreto, erros gramaticais ou imagens de baixa resolução devem ser um sinal de alerta de que estás num site de phishing e que deves sair imediatamente.
Outra área do site que pode indicar um ataque de phishing é a falta de uma secção “contacte-nos”. Os sítios Web oficiais têm normalmente uma página dedicada a fornecer todos os dados de contacto da empresa. Inclui o endereço postal, o número de telefone, o endereço de correio eletrónico e os canais das redes sociais. Se nenhum destes detalhes for fornecido, é sinal de que se trata de um site de phishing.
3. Verifica quem é o proprietário do sítio Web
Todos os domínios terão de registar o seu endereço Web, pelo que vale a pena fazer uma pesquisa WHOIS para ver quem é o proprietário do sítio Web. Este serviço é gratuito e permite-te verificar a quem pertence o sítio Web, quando foi criado e fornece os dados de contacto do proprietário do sítio.
As suspeitas devem ser levantadas se o sítio Web estiver ativo há menos de um ano ou se pensares que estás no sítio Web de uma marca líder, mas o endereço Web estiver registado em nome de uma pessoa noutro país. Se for este o caso, é mais provável que se trate de um ataque de phishing.
4. Lê as opiniões online
Vale sempre a pena pesquisar um pouco sobre uma empresa para verificar se tem boa reputação e se é quem diz ser. É muito provável que, se um site já tiver defraudado pessoas no passado, as vítimas vão para a Internet partilhar a sua experiência e avisar outros utilizadores para evitarem o site de phishing. Se houver muitas críticas negativas de clientes, é uma boa indicação de que se trata de um ataque de phishing.
5. Métodos de pagamento fiáveis
Os sites legítimos aceitam sempre cartões de crédito como método de pagamento ou podem utilizar um portal como o PayPal para as transacções online. Se a única opção de pagamento fornecida num sítio Web for através de uma transferência bancária, então deves tocar o alarme. Os sítios respeitáveis nunca pedirão aos consumidores que paguem através deste método. Isto indica que nenhum banco forneceu facilidades de cartão de crédito para o site e o cenário mais provável é que estejas a lidar com um fraudador.
Artigos relacionados:
O que fazer se clicares numa ligação de phishing
Principais tendências emergentes em matéria de cibersegurança
[faq_posts]