Phishing: como identificar golpes e o que a lei permite fazer
Phishing: o que é, como identificar e o que diz a lei
• Phishing é uma fraude para induzir você a revelar dados (senhas, cartões, PIX, CPF).
• No Brasil, a tipificação penal mais comum recai em fraude eletrônica (art. 171, §2º-A, CP) e invasão de dispositivo (art. 154-A, CP), além de responsabilidades civis e administrativas (Marco Civil e LGPD).
Conceito prático
Phishing é todo engodo comunicacional (e-mail, SMS, WhatsApp, redes sociais, anúncios ou páginas clonadas) que imita uma fonte legítima para levar o usuário a fornecer dados ou executar ações de alto risco (clicar em link malicioso, baixar app, autorizar transação). O criminoso manipula contexto (ex.: comunicado bancário), identidade visual (logotipos, fontes) e urgência (“sua conta será bloqueada”), explorando vieses cognitivos como escassez e medo.
Principais sinais para identificar um golpe
1) O endereço do remetente e o domínio
Verifique o domínio após o “@” e, no navegador, o domínio que aparece no cadeado/URL. Golpistas utilizam typosquatting (domínios parecidos) e subdomínios para confundir (ex.: seguro.banco-exemplo.com.usuario-validacao.com). Se o domínio real vier depois do que parece o nome do banco, desconfie.
2) Links encurtados e redirecionamentos
Links de encurtadores podem esconder páginas falsas (“clones”) idênticas às oficiais. Passe o mouse e confira o destino antes de clicar. Em celular, toque e segure para visualizar o URL completo.
3) Urgência artificial e pedidos de credenciais
Mensagens que exigem ação imediata (“última chance”, “sua conta será encerrada em 1 hora”) e solicitam senhas, tokens, SMS ou autorização de push são sinais clássicos de phishing.
4) Arquivos anexos e formulários suspeitos
Anexos em formatos executáveis (EXE, MSI), macros em documentos Office, PDFs que exigem “login” e páginas que pedem permissões excessivas são indicadores críticos.
□ Domínio confere com o site oficial?
□ Há erro de ortografia/gramática no e-mail?
□ O link aponta a um domínio estranho ou encurtado?
□ Estão pedindo senha, token, código SMS ou chave PIX?
□ Há pressão por “responder agora”?
□ O e-mail veio de canal não usual (ex.: cobrança bancária por Gmail)?
Panorama e estatísticas no Brasil
O Brasil mantém estatísticas públicas via CERT.br/NIC.br sobre páginas falsas e incidentes reportados. Os painéis mostram a persistência de páginas phishing ativas (“tempo online”), os setores mais visados (financeiro, e-commerce e serviços públicos) e a evolução de notificações de incidentes ao longo dos anos. Esses dados ajudam a orientar medidas de mitigação (derrubada ágil, educação do usuário) e priorização setorial.
• Bancos e meios de pagamento (páginas de “validação” de cartão/conta).
• Marketplaces e comércio eletrônico (confirmar compra/frete).
• Serviços públicos e utilidades (2ª via, “regularização de CPF”, multas).
• Plataformas de mensageria e redes sociais (roubo de contas para golpe com contatos).
O que diz a lei brasileira
1) Código Penal — estelionato por fraude eletrônica (art. 171, §2º-A)
A Lei 14.155/2021 agravou o tratamento penal da fraude cometida com uso de meios eletrônicos que induzem a vítima ao erro, prevendo reclusão e multa quando a fraude ocorre mediante “informações fornecidas pela vítima” em ambientes digitais. Na prática, muitos casos de phishing são enquadrados como estelionato qualificado por fraude eletrônica.
2) Invasão de dispositivo (art. 154-A do CP)
Quando o golpe envolve instalação de código malicioso (ex.: página que força download) ou acesso não autorizado a dispositivo, pode incidir o crime de invasão de dispositivo informático, previsto originalmente pela Lei 12.737/2012 (Lei “Carolina Dieckmann”) e atualizado pela Lei 14.155/2021.
3) Marco Civil da Internet (Lei 12.965/2014)
O Marco Civil define princípios e deveres para o uso da internet, inclusive regimes de registros de acesso, guarda de logs e responsabilização de provedores (art. 19) em hipóteses específicas — aspectos relevantes para apuração e retirada de páginas falsas, além de cooperação com autoridades.
4) LGPD (Lei 13.709/2018)
A LGPD tutela dados pessoais e impõe deveres de segurança, base legal para tratamento (art. 7º) e notificação de incidentes à ANPD. Para empresas, phishing que resulte em vazamento ou acesso indevido pode gerar responsabilidade administrativa (sanções), civil e reputacional.
• Penal: art. 171, §2º-A (fraude eletrônica) + art. 154-A (invasão), conforme o caso.
• Civil: reparação de danos e retirada de conteúdo (Marco Civil + CC).
• Administrativo: LGPD (segurança, comunicação de incidentes).
Como o golpe acontece (ciclo típico)
Fase 1 — Isca
O criminoso envia uma mensagem convincente (e-mail/SMS/DM) com tema forte: “compra suspeita”, “falha na entrega”, “imposto em atraso”, “atualize seu app”. Normalmente inclui logotipos e assinaturas verossímeis.
Fase 2 — Encaminhamento
O link aponta para domínio similar ao oficial ou para página clonada com certificado SSL válido (cadeado). Cadeado não significa legitimidade — apenas criptografia.
Fase 3 — Colheita de credenciais
A vítima preenche dados (CPF, cartão, senhas, tokens) em formulários falsos. Em golpes recentes, há captura por QR Code e “push” de aprovação.
Fase 4 — Monetização
Os dados são usados para transações (PIX, compras, empréstimos), sequestro de contas (e-mail/WhatsApp) ou vendidos em mercados ilícitos.
Boas práticas de prevenção (pessoa física)
Higiene de navegação
- Digite o endereço do banco/loja manualmente no navegador; evite buscar no Google quando estiver sob pressão.
- Ative duplo fator (2FA) em e-mail, redes sociais e apps financeiros.
- Desconfie de anexos inesperados; visualize o link antes de clicar.
Higiene de e-mail
- Procure por autenticações SPF/DKIM/DMARC (em clientes que exibem “Remetente verificado”).
- Se a mensagem pede senha, token, código de SMS ou push, trate como golpe.
1) Troque senhas e revogue sessões ativas.
2) Ative/reeset 2FA.
3) Alerta no banco/emissores de cartão e pedido de bloqueio.
4) Registre boletim de ocorrência (preferencialmente com anexos/prints/URLs).
5) Se houver vazamento de dados de empresa, notifique a ANPD (obrigação do controlador).
Boas práticas de prevenção (empresas)
Governança e conformidade
- Políticas de segurança, gestão de identidades, princípio do menor privilégio.
- Programa contínuo de conscientização (simulações de phishing) e playbooks de resposta.
- Inventário de dados e base legal LGPD para cada tratamento; plano de resposta a incidentes e notificações.
Técnicas e controles
- Autenticação forte (MFA), bloqueio de push fatigue e políticas de senha.
- Proteções de e-mail com SPF, DKIM e DMARC; quarentena para mensagens “fail”.
- DNS sinkhole contra domínios recém-criados, filtragem de URL e sandbox de anexos.
- Monitoramento de brand abuse (páginas falsas) e canal de denúncia/derrubada (CERT/CSIRT).
• Preservar logs (Marco Civil, guarda e cadeia de custódia).
• Produção de prova digital: URLs, cabeçalhos de e-mail, WHOIS do domínio fraudulento, carimbo de data/hora.
• Notificação a provedores/registrars para derrubada de páginas clonadas.
• Eventual responsabilidade civil de provedores segue o art. 19 do Marco Civil (dependendo da dinâmica e ordens judiciais).
Aspectos penais na prática forense
Na persecução penal, instituições e vítimas reúnem elementos (prints, cabeçalhos, comprovantes) para configurar a materialidade e autoria. O enquadramento mais recorrente é o estelionato por fraude eletrônica, cuja pena é agravada quando há uso de meio eletrônico que facilita a execução e quando atinge idoso. Em cenários com malware ou acesso não autorizado, soma-se o art. 154-A (invasão de dispositivo).
Setores mais visados e tendências
O setor financeiro mantém alta atratividade por permitir monetização rápida (PIX, cartões). E-commerce e serviços públicos continuam entre as principais vítimas por volume de usuários e previsibilidade de fluxos (rastreio de encomendas, segunda via, “regularização”). A comunidade nacional (CERTs/CSIRTs) e o NIC.br reportam eventos e promovem cooperação para resposta a incidentes e derrubada de páginas falsas.
Como analisar um e-mail suspeito (método em 5 passos)
- Quem enviou? Confira domínio após o “@”; e-mails corporativos raramente saem de provedores públicos.
- Para onde vai o link? Passe o mouse/touch longo e verifique o domínio final.
- O que pedem? Senha/token/dados sigilosos = nunca informe por e-mail.
- Há pressão de tempo? Desconfie de prazo “imediato”.
- Confirme por canal oficial (app, 0800, site digitado manualmente).
“Nunca solicitamos senha, token, código por e-mail, SMS ou WhatsApp.
Em caso de dúvida, acesse nosso site digitando o endereço manualmente no seu navegador. Suspeitou? Reenvie o e-mail para abuse@seudominio.com.”
Passo a passo para denunciar e buscar reparação
1) Preservar evidências
Salve cabeçalhos completos do e-mail (função “mostrar original”), URLs, prints, horário e IP, se possível. Isso ajuda na identificação de origem e cooperação com provedores.
2) Comunicação a provedores e CERT/CSIRT
Envie relatório com URL fraudulenta, prints e horários. Páginas clonadas costumam ser derrubadas mais rápido quando as evidências são completas e padronizadas.
3) Autoridades e enquadramento
Registre boletim de ocorrência com materialidade. Dependendo do caso, há apuração por estelionato (art. 171, §2º-A) e/ou invasão de dispositivo (art. 154-A). Em paralelo, empresas devem mapear se houve incidente de dados com obrigações LGPD (avaliação de risco, eventual comunicação).
Como as leis se complementam na proteção ao usuário
O ordenamento brasileiro cria um tripé de proteção: penal (pune condutas), civil (repara danos e viabiliza retirada de conteúdo) e administrativo (LGPD/ANPD, que orienta e sanciona más práticas de tratamento de dados). Em incidentes complexos de phishing, os três eixos costumam ser acionados em paralelo para interromper o dano, responsabilizar agentes e fortalecer prevenção.
Conclusão
Phishing evoluiu de e-mails grosseiros para operações sofisticadas com domínios falsos, certificados válidos e engenharia social apurada. Identificar golpes exige atenção ao domínio, ao conteúdo (pedidos de credenciais) e à pressão temporal. Do lado jurídico, o Brasil reforçou o combate com a Lei 14.155/2021 (fraude eletrônica) e com o arcabouço do Marco Civil e da LGPD — que, juntos, estruturam a prevenção, a responsabilização e a reparação. Para pessoas e empresas, a defesa combina educação contínua, controles técnicos (autenticação, DMARC, DNS, sandbox) e processos de resposta (preservação de prova, denúncia ágil, gestão de incidentes). Em síntese: tecnologia sem educação falha; educação sem processo cansa. O caminho seguro é alinhar os três — pessoas, processos e proteção — para reduzir a superfície de ataque e quebrar o ciclo do phishing.
Guia rápido sobre phishing: identifique e proteja-se
O phishing é uma das formas mais comuns de crime cibernético no Brasil e no mundo.
Trata-se de uma técnica de engenharia social usada por criminosos para enganar pessoas e empresas, fingindo ser uma entidade legítima — como bancos, lojas online ou órgãos públicos — com o objetivo de roubar dados pessoais e financeiros.
O nome vem do inglês fishing (“pescar”), pois os golpistas “lançam iscas” esperando que alguém “morda”.
Essas iscas geralmente chegam por e-mail, SMS, WhatsApp, redes sociais ou sites falsos, com mensagens alarmantes:
“Seu CPF está irregular”, “Detectamos atividade suspeita”, “Clique aqui para evitar bloqueio da conta”.
O apelo emocional é a principal arma — medo, urgência e curiosidade.
Quando a vítima clica ou fornece dados, o criminoso ganha acesso a informações valiosas, como senhas bancárias, números de cartão e até chaves PIX.
Principais formas de phishing
- E-mails falsos: imitam comunicações de empresas conhecidas, com logotipos e endereços parecidos.
- Mensagens instantâneas: golpes via WhatsApp, Telegram e SMS, com links maliciosos.
- Sites clonados: páginas idênticas a originais, mas hospedadas em domínios fraudulentos.
- Phishing por redes sociais: perfis falsos ou promoções enganosas que pedem login.
- QR Code ou PIX falso: redireciona pagamentos para contas dos criminosos.
A sofisticação aumentou. Hoje, muitos ataques utilizam certificados digitais válidos (aquele “cadeado” ao lado do endereço), o que dá uma falsa sensação de segurança.
Por isso, o cadeado não garante autenticidade, apenas que a conexão é criptografada — até o golpista pode usar um.
Como identificar um golpe rapidamente
• Verifique o domínio do site (ex.: www.banco.com.br, e não www.banco-seguro.com).
• Passe o mouse sobre links para ver o endereço real antes de clicar.
• Desconfie de erros de ortografia e mensagens urgentes.
• Nunca informe senhas, tokens ou dados bancários por e-mail ou mensagem.
• Ative autenticação em dois fatores (2FA) em todos os serviços possíveis.
• Use antivírus atualizado e evite redes Wi-Fi públicas para acessar contas sensíveis.
O que fazer se cair em um golpe
Se você clicou em um link suspeito, digitou dados ou percebeu que foi enganado:
- Troque imediatamente suas senhas e ative a verificação em dois fatores.
- Entre em contato com o banco e peça bloqueio preventivo de cartões e contas.
- Registre um boletim de ocorrência online (disponível na maioria dos estados).
- Guarde provas: prints de tela, e-mails, links e horários da ação.
- Se envolver empresa, comunique o encarregado de dados (DPO) e, se aplicável, a ANPD.
A recuperação rápida depende da reação imediata. Golpistas movimentam valores em poucos minutos após o acesso, especialmente via PIX.
Quanto antes o banco for avisado, maiores as chances de bloqueio ou reversão.
O que diz a lei sobre phishing
No Brasil, o phishing é enquadrado em diferentes normas:
- Art. 171, §2º-A, do Código Penal: prevê punição para fraude eletrônica com uso de meio digital.
- Art. 154-A do Código Penal: trata de invasão de dispositivo informático sem autorização.
- Lei 12.965/2014 (Marco Civil da Internet): regula responsabilidades de provedores e guarda de logs.
- Lei 13.709/2018 (LGPD): impõe obrigações de segurança de dados e comunicação de incidentes.
Empresas que negligenciam a proteção de dados podem sofrer sanções administrativas, além de ações civis por danos morais e materiais.
Já os autores dos golpes respondem criminalmente, com penas agravadas se o crime for cometido contra idosos ou vulneráveis.
Entender como o phishing opera é o primeiro passo para se proteger.
A combinação de atenção, educação digital e legislação aplicada é a base da segurança cibernética moderna.
Mensagem-chave: O phishing se alimenta da pressa e da distração.
Quanto mais informado e atento você estiver, menor a chance de cair em uma armadilha digital.
FAQ (Acordeão) — Phishing: identificação, prevenção e lei
1) O que é phishing, em termos simples?
É uma fraude de engenharia social em que golpistas se passam por empresas ou órgãos legítimos (e-mail, SMS, WhatsApp, sites clonados) para induzir você a revelar senhas, tokens, dados bancários ou autorizar transações.
2) Como identificar um e-mail de phishing rapidamente?
- Cheque o domínio do remetente (após o “@”).
- Passe o mouse sobre o link e confirme o destino real.
- Desconfie de urgência artificial e erros de linguagem.
- Pedidos de senha, token ou código por e-mail/mensagem são sinal vermelho.
3) O cadeado (HTTPS) garante que o site é verdadeiro?
Não. O cadeado indica apenas conexão criptografada. Criminosos também obtêm certificados válidos. Verifique sempre o domínio e procure sinais de legitimidade além do HTTPS.
4) Caí no golpe e informei dados. O que fazer agora?
- Troque senhas e ative 2FA imediatamente.
- Avise o banco/cartão para bloqueio e monitoramento.
- Guarde provas (prints, cabeçalhos, URLs, horários).
- Registre BO e reporte a canais oficiais do provedor.
5) Quais crimes do Código Penal podem se aplicar ao phishing?
Em geral, enquadra-se como estelionato por fraude eletrônica (art. 171, §2º-A). Se houver acesso não autorizado ou malware, pode incidir invasão de dispositivo (art. 154-A). A pena pode ser agravada em casos específicos (ex.: vítima idosa).
6) LGPD e Marco Civil influenciam casos de phishing?
Sim. A LGPD exige segurança adequada e, em incidentes com dados pessoais, pode haver sanções administrativas e dever de notificação. O Marco Civil trata de logs, responsabilização e cooperação para retirada de conteúdo ilícito.
7) Como empresas podem reduzir o risco de phishing interno?
- Autenticação forte (MFA/2FA) e revisão de acessos.
- Políticas de e-mail seguro (SPF, DKIM, DMARC).
- Simulações periódicas de phishing e treinamento.
- Filtro de URLs, sandbox de anexos e resposta a incidentes.
8) O que é typosquatting e por que é perigoso?
É o registro de domínios com pequenas variações do original (ex.: banc0.com, segurançabanco[.]com). Engana usuários apressados e redireciona a páginas clonadas para roubo de credenciais.
9) Mensagens por WhatsApp e SMS também são phishing?
Sim. Golpistas usam links encurtados, QR Codes e pretextos plausíveis (“sua encomenda”, “PIX devolvido”). A regra é a mesma: jamais informe senhas ou códigos e valide por canais oficiais.
10) Como denunciar uma página falsa ou e-mail malicioso?
Reúna evidências (URLs, prints, cabeçalhos), reporte ao provedor de hospedagem/registro, ao seu banco (se houver transação) e às autoridades. Empresas devem acionar o DPO e avaliar comunicação à ANPD em incidentes com dados pessoais.
Base Técnica (Fundamentação e dados)
Os dados mais recentes indicam que o Brasil registrou **553 milhões de tentativas de phishing** em 12 meses, o que representa uma média de **1,5 milhão de ataques por dia**. 0
Esse dado demonstra a escala e a persistência da ameaça no país.
O CERT.br monitora páginas falsas usadas para phishing, provendo estatísticas sobre setores mais afetados (financeiro, e-commerce, serviços) e a evolução mensal de domínios fraudulentos ativos. 1
Também no âmbito de incidentes, o painel de notificações mostra a quantidade de tentativas identificadas dentro da categoria “phishing / fraude” como parte de fraudes digitais globais no Brasil. 2
Do ponto de vista técnico de proteção e análise de páginas fraudulentas, pesquisas recentes apontam que kits de phishing se tornaram altamente sofisticados. Um estudo identificou clusters de técnicas de JavaScript empregados por esses kits para evasão e imitação visual (por exemplo, fingerprinting, lógica condicional, interatividade). 3
Outro trabalho usou o Twitter como fonte colaborativa para capturar URLs de phishing em tempo real, revelando que 90,2 % dessas URLs foram posteriormente detectadas por mecanismos antivírus. 4
Em termos legais, a Lei nº 14.155/2021 introduziu no Código Penal a modalidade de **fraude eletrônica** no art. 171, § 2º-A, com pena de reclusão de 4 a 8 anos e multa. 5
Também incluiu agravantes: se o crime for cometido usando servidor fora do Brasil ou contra idoso/vulnerável, a pena pode aumentar de 1/3 a 2/3. 6
Na jurisprudência, o STJ decidiu que, em casos de estelionato eletrônico, a competência para julgamento em casos específicos passa a ser determinada pela nova lei (Lei 14.155/2021), fixando a competência com base no domicílio da vítima ou local de obtenção da vantagem ilícita. 7
Legalmente, além do âmbito penal, há consequências civis e administrativas:
– Sob o Marco Civil da Internet, provedores devem preservar logs e colaborar com autoridades em casos de páginas falsas. 8
– A LGPD impõe obrigações de segurança para tratamento de dados e comunicação de incidentes quando dados pessoais são atingidos em golpes.
• 553 milhões de ataques de phishing no Brasil em 12 meses. 9
• Monitoramento CERT.br de páginas falsas e notificações de fraude. 10
• Kits sofisticados de phishing usando scripts avançados. 11
• Lei 14.155/2021 tipifica fraude eletrônica (art. 171, § 2º-A) e define agravantes. 12
• STJ define competência específica para estelionato eletrônico. 13
• Marco Civil e LGPD reforçam obrigações de provedores e tratamento de dados.
Legislação Aplicável e Comentários Jurídicos
A Lei nº 14.155/2021 alterou o Decreto-Lei 2.848/1940 (Código Penal) para incluir a fraude eletrônica como qualificadora do estelionato. 14
O novo § 2º-A do art. 171 dispõe que a pena é reclusão de **4 a 8 anos**, além de multa, quando a fraude for cometida por meio eletrônico, com uso de informações fornecidas pela vítima ou terceiro induzido ao erro. 15
O § 2º-B permite majorar a pena de 1/3 a 2/3 se o delito usar servidor fora do Brasil ou for cometido contra idoso/vulnerável. 16
O art. 154-A do Código Penal aborda **invasão de dispositivo informático**, aplicável se o phishing envolver instalação de malware ou acesso técnico ao dispositivo da vítima.
No plano civil, as vítimas podem pleitear reparação de danos materiais e morais mediante ação judicial, utilizando o Marco Civil como fundamento para responsabilizar provedores que falharem em remover conteúdo falso.
Em termos administrativos, a LGPD exige comunicação de incidentes nos casos de vazamento de dados pessoais, sob pena de sanções pela ANPD.
Encerramento (Considerações Finais)
A base técnica comprova: phishing não é desvio pontual, mas fenômeno estruturado, em escala, utilizando kits, scripts e engenharia social avançada.
A Lei 14.155/2021 representa um marco legal importante que moderniza a legislação penal para abarcar golpes eletrônicos com maior rigor e tratamento específico.
O combate eficaz requer a convergência de tecnologia, educação e legislação.
Usuários informados e vigilantes reduzem a eficácia do golpe; provedores e empresas bem equipados colaboram para derrubar páginas falsas com rapidez; o Estado deve garantir estrutura legal e investigação adequada.
Esse guia técnico oferece o alicerce para entender o universo do phishing: desde as estatísticas reais do Brasil até os normativos que responsabilizam criminosos e provedores.
Ao unir os dados (base técnica) com o arcabouço legal e a prática de proteção, o leitor ganha não apenas conhecimento, mas capacidade de agir — prevenir, denunciar e reagir diante de ameaças.