Módulo 6 - Segurança da informação para funcionários
Phishing e golpes por e-mail e WhatsApp
16 min de leitura · por Cesar Gargiulo, revisado pela equipe ValorFinal e GuardiaSec · Atualizado em 27/06/2026
O que você vai aprender
- Entender o que é phishing e por que ele explora a pressa e a confiança.
- Reconhecer os sinais de um e-mail ou mensagem falsa antes de clicar ou responder.
- Identificar os golpes do falso chefe, do falso boleto e do falso suporte por WhatsApp.
- Conferir o remetente e o link com calma e nunca informar senha ou código.
Ouvir o resumo desta aula
Um recap de cerca de 2 minutos na voz do Valim, para ouvir no trânsito ou na academia.
Ler a transcrição do resumo
Resumo da aula: Phishing e golpes por e-mail e WhatsApp.
Os objetivos desta aula. Entender o que é phishing e por que ele explora a pressa e a confiança. Reconhecer os sinais de um e-mail ou mensagem falsa antes de clicar ou responder. Identificar os golpes do falso chefe, do falso boleto e do falso suporte por WhatsApp. Conferir o remetente e o link com calma e nunca informar senha ou código.
Veja o essencial, parte por parte.
O que é phishing e por que funciona. Phishing é uma mensagem falsa que finge vir de alguém confiável para roubar dados ou dinheiro.
Os sinais de uma mensagem falsa. No computador, pare o cursor em cima do link sem clicar; o endereço real aparece num cantinho da tela.
Os golpes que chegam pelo WhatsApp. Nunca informe senha, código de verificação ou dado bancário, por mais oficial que a mensagem pareça.
Conferir antes de agir e avisar quando desconfiar. Pare. Mensagem que pede pressa é justamente a que merece mais calma.
Esse foi o resumo do essencial. Para se aprofundar, leia a aula completa e responda os exercícios.
O que é phishing e por que funciona
Phishing é o golpe mais comum do mundo corporativo, e quase nunca depende de tecnologia avançada. Ele depende de você. A mensagem chega parecendo legítima, com logo, nome e um pedido que soa urgente, e aposta que você vai agir no automático antes de pensar. É pesca: a isca é a mensagem e a fisgada é o seu clique ou a sua resposta.
Funciona porque mexe com emoção. O golpista cria pressa, do tipo sua conta será bloqueada hoje, ou usa autoridade, fingindo ser um chefe ou um setor importante. Sob pressão, a gente confere menos e clica mais. Entender esse mecanismo já é metade da defesa, porque a sua melhor arma não é um programa, é desacelerar e desconfiar quando algo pede urgência.
Os sinais de uma mensagem falsa
A boa notícia é que mensagens de golpe costumam deixar pistas. Raramente vem só uma; em geral, várias aparecem juntas. Quanto mais sinais você junta numa mesma mensagem, maior a chance de ser fraude. Vale treinar o olho para essa lista até ela virar reflexo.
- Urgência exagerada: aja agora, sua conta será bloqueada hoje, últimas horas para confirmar.
- Remetente estranho: o nome parece certo, mas o endereço de e-mail tem letras trocadas ou um domínio que não bate.
- Link disfarçado: o texto diz uma coisa e o endereço real, ao passar o mouse, mostra outro site.
- Erro de português e formatação tosca: frases mal escritas, acentos faltando, logo borrado.
- Pedido de senha, código ou dado pessoal: empresa séria não pede isso por e-mail ou mensagem.
- Anexo inesperado: um boleto, uma nota ou um currículo que você não esperava receber.
Os golpes que chegam pelo WhatsApp
O e-mail não é o único canal. Cada vez mais golpe corporativo chega pelo WhatsApp, que dá uma sensação falsa de proximidade. Três deles aparecem o tempo todo e vale conhecer cada um pelo nome, porque reconhecer o roteiro é o que te faz parar a tempo.
| Golpe | Como costuma chegar | O que pede |
|---|---|---|
| Falso chefe | Mensagem de um número novo dizendo ser o diretor | Uma transferência ou compra de urgência, em segredo |
| Falso boleto | Um e-mail ou mensagem com boleto de fornecedor | Pagamento num código de barras trocado |
| Falso suporte | Alguém dizendo ser do TI ou do banco | Sua senha, um código ou acesso remoto ao seu computador |
Os três golpes de mensagem mais comuns no ambiente de trabalho.
O golpe do falso chefe é teatro puro. Chega uma mensagem de um número desconhecido, com a foto e o nome de um superior, dizendo que está em reunião e precisa que você resolva um pagamento agora, sem comentar com ninguém. O pedido de segredo e de pressa é a assinatura do golpe. Chefe de verdade aguenta você confirmar por outro canal antes de mover qualquer valor.
O falso boleto troca os dados de pagamento de uma cobrança que parece real. O falso suporte se passa por TI ou pelo banco e pede sua senha, um código ou para instalar um programa de acesso remoto. Em todos eles, a defesa é a mesma: nada de pagar, informar dado ou instalar coisa por causa de uma mensagem. Confirme pelo telefone oficial, pessoalmente ou pelo canal que você já conhece.
Conferir antes de agir e avisar quando desconfiar
Toda essa lista de sinais cabe numa frase: na dúvida, confira por outro caminho. Recebeu um pedido estranho do chefe pelo WhatsApp? Ligue para o número que você já tinha salvo. Chegou um aviso do banco? Acesse o aplicativo oficial por conta própria, sem usar o link da mensagem. Esse pequeno desvio de poucos minutos derruba quase todos os golpes, porque o golpista contava com a sua pressa.
Outra parte importante é avisar. Se você recebeu uma mensagem suspeita, é bem provável que colegas também receberam. Reportar rápido ao time de TI ou de segurança ajuda a empresa a bloquear o golpe antes que alguém caia. E se você clicou em algo e só depois desconfiou, avise mesmo assim, sem medo. Reportar cedo reduz o estrago; esconder por vergonha é o que dá tempo ao atacante.
Teste rápido
Chega no seu WhatsApp uma mensagem de um número novo, com a foto do diretor, pedindo uma transferência urgente e em sigilo. O que você faz?
O CERT.br orienta a desconfiar de mensagens com pressa, conferir o endereço dos links e nunca fornecer senhas ou códigos a partir de contatos não solicitados. (CERT.br - Cartilha de Segurança)
Perguntas frequentes
- Como sei se um e-mail é phishing de verdade?
- Procure vários sinais juntos: pressa exagerada, endereço de remetente estranho, link que ao passar o mouse aponta para outro site, erro de português e pedido de senha ou dado pessoal. Quando dois ou mais aparecem na mesma mensagem, trate como golpe e confirme por outro canal.
- Cliquei num link suspeito sem querer. O que faço agora?
- Não entre em pânico, mas aja. Se você digitou senha em alguma página, troque essa senha imediatamente nos serviços onde a usa. Avise o time de TI ou segurança da empresa o quanto antes. Reportar rápido reduz muito o estrago; esconder só dá tempo ao atacante.
- O banco ou o TI pode me pedir senha ou código por mensagem?
- Não. Nem banco, nem TI, nem suporte legítimo pedem sua senha ou o código de verificação por e-mail, telefone ou WhatsApp. Qualquer pedido desse tipo é golpe. Não informe e avise a segurança da empresa.
- Recebi um boleto de fornecedor por e-mail. Pago direto?
- Confirme antes. Golpistas trocam os dados de boletos reais. Verifique o valor e o destinatário pelo canal que você já usava com aquele fornecedor e siga o processo de pagamento da empresa. Na dúvida, fale com o financeiro ou com o time responsável.
- O golpe do falso chefe é fácil de cair?
- Mais do que parece, porque ele usa autoridade e pressa. A mensagem chega de um número novo, com foto e nome do superior, pedindo uma transferência urgente e em segredo. O pedido de sigilo é o maior alerta. Sempre confirme por um canal que você já conhecia.
- Vale a pena reportar uma mensagem suspeita mesmo sem ter clicado?
- Sim. Se você recebeu, é provável que colegas também receberam. Avisar o time de TI ou segurança permite bloquear o golpe antes que alguém caia. Reportar é um ato de cuidado com a equipe inteira, não um exagero.
Fontes
Seu progresso fica salvo neste aparelho. Assinantes sincronizam entre os aparelhos.