Os golpes por e-mail vêm de todas as formas e tamanhos. Alguns são tão óbvios que chegam a ser risíveis — nenhum esforço foi feito para disfarçar o golpe.
Mas não pense que todos são assim. Os golpes por e-mail parecem ficar cada vez mais ardilosos e criativos. Esses são do tipo que até mesmo a geração Z mais entendida de computador, que cresceu dormindo com um iPad, olharia duas vezes antes de perceber. Se não fossem tão diabólicos, você talvez até desse um passo para trás e admirasse a abordagem. Vamos mostrar como reconhecer phishing e outros golpes comuns por e-mail, e como se proteger contra eles.
Uma rápida viagem ao passado
Muitos de nós nos lembramos dos primórdios dos golpes por e-mail — dias dourados em que éramos mais ingênuos, mas também menos confiantes em relação aos e-mails. Quando recebíamos um golpe, líamos com interesse confuso, tentando entender por que o remetente acharia que nós éramos a pessoa certa a quem pedir ajuda.
Quem se lembra de The Spanish Prisoner? Uma alma infeliz de grande riqueza, que precisava desesperadamente que ajudássemos a pagar seu resgate para que pudesse ser libertada da prisão. Curiosamente, esse golpe na verdade é anterior ao e-mail, tendo se originado no início do século XIX. Algum internauta rebelde em algum lugar evidentemente decidiu digitalizá-lo.
Hoje em dia, os golpes por e-mail exploram muito mais os pontos fortes do seu formato digital. Ao contrário de alguns dos golpes OG, eles utilizam vantagens que a Internet passou a oferecer ao longo dos anos — como a capacidade de processar pagamentos online com facilidade, uma maior dependência do e-mail para nossas comunicações mais importantes e a evolução das redes sociais, para citar apenas algumas.
Sinais de um golpe, logo de cara
Antes de analisarmos mais de perto os diferentes tipos de golpes por e-mail, vamos compartilhar algumas regras gerais que você pode usar para ajudar a identificar um golpe/spam por e-mail — porque todos compartilham elementos em comum — um remetente, uma linha de assunto, texto do corpo e, talvez o mais importante, a necessidade de ser lido e acreditado.
Nome da empresa/remetente
Fique atento a:
Erros de digitação ou estilização incorreta — Paypal vs. PayPal.
Algo que pareça descritivo demais ou improvável — AA Car Emergency vs. AA.
Empresas com as quais você não compra/não faz negócios — Um aviso do Barclays quando você usa o Lloyds.
Qualquer coisa que pareça estranha — De símbolos e nomes de empresas bizarros a espaçamentos estranhos — às vezes há algo no remetente que simplesmente parece errado.
Endereço de e-mail do remetente
Fique atento a:
Um endereço de e-mail incongruente — Algo que não combina com o nome da empresa.
Imitações — Um endereço criado para parecer o da empresa real. Isso pode estar no domínio (@paypalcare.com) ou no TLD (@paypal.club).
Erros— Erros de digitação ou outras irregularidades no endereço.
Linhas de assunto
Fique atento a:
Frases criadas para provocar urgência — ‘Aviso: Notificação final de pagamento’.
Linguagem que promete demais — ‘Ganhe £1000 em cinco minutos’.
Linguagem que provoca uma forte reação emocional — ‘Você foi contratado! Comece amanhã!’
Erros de digitação — Golpistas não são conhecidos por sua boa gramática.
Uso excessivo de pontuação ou emojis — Poucas empresas reais usam isso.
A presença de ‘Re’ — Pode ser usada para sugerir que você já respondeu antes, quando não respondeu.
Botões e anexos— Sempre evite clicar em botões ou baixar anexos em e-mails suspeitos.
Texto do corpo
Fique atento a:
Promessas inacreditáveis— Semelhantes à versão da linha de assunto, mas há espaço para expansão no corpo do texto, o que dá a oportunidade de tornar as mentiras mais convincentes.
Chamadas para ação que buscam informações pessoais — Especialmente endereço ou dados do cartão.
Referências a qualquer coisa de que você não se lembra— De eventos a serviços que você nunca recebeu
Personificação— Alguém afirmando ser seu amigo ou parente, mas sem soar como ele mesmo.
Agora que você já tem algum contexto sobre como golpistas podem manipular diferentes partes de um e-mail, vamos examinar exemplos específicos.
Malware
Para muitos, os ataques de malware provavelmente foram o primeiro tipo de e-mail malicioso que realmente temíamos. Naquela época, provavelmente nos referíamos a eles apenas como vírus de e-mail. Você abria, sua tela ficava preta. Fim de jogo. Esse tipo de coisa.
Na realidade, malware abrange uma grande variedade de ataques maliciosos — e alguns deles são, francamente, bem mais assustadores do que uma morte rápida do computador.
Monitorar teclas digitadas? Consumir sua CPU sem que você saiba? Espionar você? Fazer anúncios suspeitos aparecerem a cada cinco minutos? Sim, malware abrange uma grande variedade de pequenos programas que se instalam no seu computador sem o seu conhecimento, e suas funções vão desde coisas associadas a brincalhões mal-intencionados até criminosos de verdade. Eles são evasivos e muitas vezes difíceis de remover — isso se você souber que estão lá.
Como detectar malware
Se você estiver apresentando qualquer um dos sintomas listados acima, há uma boa chance de ser malware. Isso pode ter vindo de um e-mail — mas não necessariamente. Há outras formas de esses programas se instalarem no seu computador também — downloads, sites suspeitos e até dispositivos de hardware maliciosos. Se você encontrar um pendrive na rua, não tente ver o que há nele.
Proteja-se contra malware
Correndo o risco de dizer o óbvio, experimente um software de detecção de malware. Mas escolha algo confiável.
Se você pesquisar no Google como prevenir malware em primeiro lugar, o principal conselho é instalar um antivírus. Pessoalmente, não conheço ninguém que faça isso desde o fim da década de 2010, mas quem sou eu para contradizer a totalidade do conhecimento humano e da experiência em massa homogeneizados em uma resposta de uma linha do Gemini, entregue em uma fração defração de segundo?
Dito isso, a proteção contra ameaças oferecida pelos sistemas operacionais em geral é melhor do que era nos primeiros dias, especialmente o Windows, que recebe atualizações para se proteger contra ameaças, mas, mais importante ainda, muitos softwares de e-mail estão fazendo esse trabalho por nós, filtrando e-mails suspeitos antes que cheguem até nós.
É uma boa ideia encontrar um provedor de e-mail que promova boa proteção contra malware e examine seus e-mails antes que eles cheguem até você. Isso é particularmente útil quando se trata de evitar ataques psicológicos (e falaremos deles em instantes).
Se falarmos de proteção, em vez de prevenção, é uma boa ideia manter backups regulares, caso você seja atingido por um desses ataques. Eu pessoalmente recomendo algo como Mega Sync, que atualiza toda vez que você salva um arquivo.
Phishing
Hoje em dia, o mais provável é que você encontre um golpe de phishing por e-mail. Por quê? Porque, como uma melodia cativante ou o cheiro da primavera, todos nós somos suscetíveis ao seu charme. Mas como identificar phishing?
Os ataques de phishing são eficazes por causa de sua versatilidade. Às vezes não é difícil detectar phishing. Eles podem ser qualquer coisa: literalmente qualquer coisa que leve alguém a inserir seus dados pessoais. Pense em qualquer motivo pelo qual você se sentiria compelido a compartilhar seus dados pessoais ou enviar dinheiro a alguém, e isso tem potencial para se tornar um e-mail de phishing.
Aqui estão apenas alguns exemplos e, lembre-se, a chave do phishing é que todos esses e-mails parecem reais, mas são falsos:
Notificação de redefinição de senha.
Preencha os dados bancários que faltam.
Complete seu endereço postal para habilitar a entrega.
Renove sua assinatura.
Você é o vencedor de um concurso!
Um amigo em necessidade pedindo ajuda.
Notificação de restituição de imposto.
Pedido de doações beneficentes.
Se você nunca viu um golpe de phishing, será que você é mesmo um peixe? Eles são tão onipresentes que é difícil imaginar o e-mail sem eles. Mas há mais de uma forma de pescar…
Spear phishing e whaling
Spear phishing e whaling têm como alvo indivíduos específicos, muitas vezes com táticas mais agressivas.
O spear phishing usa conhecimento pessoal, geralmente obtido de várias fontes, para criar e-mails mais convincentes. Como é escrito usando informações pessoais, ele pode mencionar amigos reais, situações reais ou até se passar por um banco (etc.) de forma mais convincente. Se você acha que isso dificilmente aconteceria com você, vale lembrar que a maioria das pessoas tem mais informações publicamente acessíveis online do que imagina.
Se alguém se passasse por seu amigo e mencionasse um evento muito específico do qual vocês dois participaram há uma década, por que você não acreditaria? Talvez demorasse um pouco para lembrar que você publicou sobre isso em detalhes no Facebook e que a publicação é pública. Quando essa pessoa pedir dinheiro emprestado, talvez você ajude.
Todos nós somos suscetíveis ao spear phishing, o que o torna mais perigoso do que os golpes mais óbvios. Uma ressalva feliz é que o nível de pesquisa necessário para aplicar um golpe de spear phishing com sucesso desestimula a maioria dos golpistas. É mais fácil apostar em um e-mail em massa ao qual menos pessoas responderão. Mas será aí que a IA entrará no futuro? Precisamos permanecer vigilantes.
Whaling
Então, o que é whaling? Bem, em muitos aspectos, um ataque de whaling é praticamente o mesmo que spear phishing, mas é específico para atingir indivíduos de maior patrimônio, como CEOs.
A triste realidade é que o status dessas pessoas tanto as torna alvos melhores para investir tempo quanto, por outros fatores (como riqueza, responsabilidade, falta de tempo e uma grande base de contatos), significa que há várias fraquezas potenciais a explorar. Por exemplo, talvez só precisem convencer um assistente pessoal ou secretário de que têm o selo de aprovação do CEO. Portanto, parece que o whaling comercial é sempre algo ruim.
Como se proteger contra spear phishing e whaling
Além do que está listado em nosso guia geral acima, você também deve configurar uma filtragem de spam forte. O fator humano é realmente onde os e-mails de phishing brilham. Se malware é um truque simples, então, em algum nível, o phishing exige nossa cumplicidade. Afinal, somos nós que precisamos entregar nossas informações. Como discutimos, ele faz isso apelando à nossa resposta emocional.
Portanto, garantir que nunca entremos em contato com isso em primeiro lugar é a forma mais forte de combatê-lo. Os filtros de spam procuram vários elementos ao avaliar um e-mail que nós, como humanos, não conseguimos. Eles cruzam listas negras, padrões comportamentais conhecidos e até um método conhecido como filtragem bayesiana. Isso compara o conteúdo de um e-mail com spam conhecido versus e-mails legítimos para calcular a probabilidade de ele ser spam. Além disso, bons filtros de spam levam em conta o que outros usuários marcam como spam, criando o que é conhecido como um ciclo de feedback do usuário.
E-mail empresarial comprometido

Um pouco diferente de tudo o que vimos até agora, isso vem do ângulo oposto — a ideia de que uma conta de e-mail legítima foi comprometida. Não precisa ser uma conta empresarial, mas, para os fins desta entrada, há alguns fatores mais interessantes para discutir se imaginarmos que seja.
Se um golpista conseguir obter acesso ilegal a uma conta de e-mail empresarial, ele pode se passar por funcionários para solicitar fundos ou até acesso a outros sistemas internos que podem incluir dados sensíveis.
Comprometer uma conta empresarial também explora outra peculiaridade social inerente a muitas empresas, especialmente as maiores: é improvável que todos os membros da equipe conheçam todo mundo. Isso, combinado com o fato de que se espera que as pessoas sejam educadas em um ambiente de trabalho, significa que esses e-mails têm vantagens extras em comparação com contas privadas.
Como se proteger contra isso
Garantir que todos os funcionários usem autenticação de dois fatores (e-mail 2FA) e escolham senhas fortes reduz muito o risco de contas roubadas/hackeadas. A 2FA garante que o titular da conta sempre saberá se alguém tentar invadi-la, e uma senha forte dificulta ataques de força bruta.
Você também pode diminuir a probabilidade de problemas futuros desativando imediatamente as contas de funcionários que deixam a empresa. Um cemitério de contas sem uso acumulando poeira é apenas um acidente esperando para acontecer.
Faturas falsas
Um dos temas que você talvez esteja percebendo é a exploração de diferentes extremos emocionais. Até agora consideramos o medo ou o descuido de um CEO e a suposta apatia de um funcionário em relação a outro. Agora vamos tentar a raiva.
Alguém afirma que você deve dinheiro a essa pessoa e exige pagamento imediato. Ela está com raiva, diz coisas que fazem você duvidar da própria memória ou cria uma situação da qual você não consegue ter certeza de que não é real. O ódio e a raiva continuam até que quase pareça mais fácil pagar.
Isso pode não parecer tão provável para muitos de nós, mas talvez essa seja a pior parte: as chances são de que ‘nós’ não sejamos os alvos. O sucesso deles estará entre os vulneráveis. Aqueles que talvez realmente não consigam se lembrar ou que confiem mais em estranhos.
Prevenção
Se presumirmos que nós não pagaremos faturas aleatórias que recebemos por e-mail, talvez valha a pena aproveitar esta oportunidade para sugerir conversar com as pessoas da sua vida que têm menos experiência online. Pergunte se elas precisam de ajuda para identificar golpes e explique que só porque alguém está exigindo dinheiro não significa que a alegação seja legítima. Afinal, precisamos cuidar uns dos outros, e ninguém quer ver alguém cair de cabeça em um golpe óbvio.
Há recursos para os quais você pode orientar as pessoas que podem guiá-las por isso de uma forma amigável.
Golpes de oferta de emprego

Ao contrário de alguns dos outros, esses podem ser difíceis de identificar até para os mais experientes entre nós. Um motivo para isso é que eles não existem no vácuo do e-mail. Se qualquer um de nós recebesse um e-mail do nada dizendo que conseguiu um emprego, saberíamos na hora que era spam. Mas e se não foi assim que aconteceu?
E se o golpe começou como um anúncio real em um site de empregos real? Você se candidatou a ele junto com várias outras vagas reais, e ele parecia tão provável quanto todas as outras. Bem, então este é um e-mail que você está esperando — torcendo para receber, até. E, de forma semelhante ao spear phishing, isso cria uma oportunidade mais elaborada para um golpe. Porque você agora é um participante voluntário — pelo menos, no começo.
Mas em quê? Esses golpes podem assumir inúmeras formas, mas, essencialmente, como os antigos esquemas de pirâmide do passado, eles pedem dinheiro adiantado sob o pretexto de cobrir custos, comprar equipamentos ou até treinamento para o cargo — e nada disso é real. Às vezes, pode até haver outras pessoas no sistema que também acreditam que é real, e isso pode sugerir legitimidade onde não existe.
Como identificar um golpe de oferta de emprego
Há certos sinais aos quais você pode ficar atento ao se candidatar a empregos que podem indicar que a vaga não é legítima:
Salários irreais — Se algo parece bom demais para ser verdade, provavelmente é.
Empregos vagos ou improváveis — Alguém realmente precisaria ou desejaria que outra pessoa desempenhasse essa função?
Sem necessidade de entrevistas — Ou oferta de emprego apressada sem a devida diligência.
Comunicações pouco profissionais — Pedindo mais dados do que deveria ser necessário.
Falta de presença online da empresa — Ou uma empresa cujo site parece meio suspeito. Imagens de banco, avaliações implausíveis, nenhum conteúdo real — esse tipo de coisa.
Da mesma forma, você não vai querer eliminar vagas legítimas só por causa de um anúncio mal elaborado. Portanto, o principal sinal de alerta é qualquer pessoa pedindo dinheiro antes de você começar. Quase não há nenhum caso em que um emprego deva exigir que você pague algo adiantado, muito menos que execute qualquer tarefa de graça.
Por mais certeza que você tenha sobre o processo até esse ponto, no momento em que a conversa passar para transferência de dinheiro, pode ter certeza — é golpe.
Golpes românticos
Sem dúvida, a manipulação emocional mais forte de todas: como nos sentimos quando estamos apaixonados.
Tenho experiência pessoal com alguém em um aplicativo de namoro pedindo dinheiro emprestado (que é onde esse tipo de golpe tem mais probabilidade de acontecer hoje em dia). Isso não é tão incomum quanto você imagina — e, em alguns casos, talvez tenhamos dificuldade até de pensar nisso como um golpe…
As linhas ficam rapidamente borradas quando nosso coração começa a mandar mais do que a razão. Talvez uma parte de nós até pense: “talvez eu esteja sendo feito de bobo, mas o que são dez libras quando se trata de amor?”. Mas essa pessoa pode estar passando o dia inteiro no aplicativo de namoro. Se conseguir que dez pessoas por dia doem dez libras, isso na verdade não é um salário ruim. E certamente seria classificado como golpe.
Como evitar se apaixonar por um golpe romântico
Correndo o risco de soar como uma conselheira sentimental, não se deixe levar pelo coração. Se a sua cabeça diz que é golpe, então provavelmente é. Nunca dê dinheiro a alguém que você não conhece bem, por mais que essa pessoa diga que ama você. É um triste fato da vida que as pessoas usem extremos de emoção para manipular.
Golpes de prêmio
A maioria de nós provavelmente se lembra de receber um folheto pelo correio dizendo que havíamos ganhado na loteria e que precisávamos ligar para um número para resgatar o prêmio. Suponho que era inevitável que isso também virasse um e-mail.
Não há muito a dizer aqui que já não tenha sido dito nas outras entradas. Talvez possamos simplesmente criar um mantra para a vida. Se um e-mail diz que você ganhou um prêmio, você não ganhou um prêmio*.
*A menos que você tenha ganhado um prêmio. Mas você definitivamente não ganhou um prêmio. Pare de pensar no prêmio.
Prevenção
Olha, você realmente, realmente não ganhou um prêmio. Compre um bilhete de loteria se precisar — mas aperte o botão de spam.
Protegendo você e os outros
Falando sério, seja spam ou golpe, isso realmente não tem graça. As pessoas realmente se machucam, perdem dinheiro ou se sentem idiotas depois.
Sugerimos várias maneiras de se proteger, mas no fim tudo se resume a três coisas:
Ative o máximo de segurança que puder
Seja o que for que seu provedor ofereça, seja 2FA, senhas geradas automaticamente ou até criptografia — o que for. Configure tudo isso. Essas medidas apenas tornam sua conta um pouco mais difícil de ser sequestrada.
Escolha um provedor com foco em segurança
Um provedor com software robusto de gerenciamento de spam e atualizações frequentes de segurança provavelmente é sua melhor forma de proteção contínua como empresa. A maioria dos golpes que descrevemos começa e termina com o gerenciamento de spam. Se nunca os virmos, eles nunca serão um problema.
Mantenha-se atualizado
Os golpes de phishing nunca param de evoluir. Eles têm você como alvo, não sua caixa de entrada, então você é sua melhor defesa.
Há alguma prática que você usa para evitar cair em spam e golpes? Adoraríamos saber! Deixe suas opiniões ou perguntas na seção de comentários abaixo
Perguntas frequentes
Phishing é basicamente o envio de emails se passando por outra pessoa (geralmente uma empresa) para fazer com que o destinatário realize uma ação. As ações normalmente envolvem enviar dinheiro, dados do cartão ou outros dados sensíveis.
Whaling tem como alvo um indivíduo específico com maior patrimônio. Um CEO de empresa ou alguém semelhante. Criar um email sob medida especificamente para atingir uma pessoa é considerado vantajoso por causa do potencial de ganho líquido mais alto.
Em geral, procure endereços de email que não correspondam à empresa da qual afirmam ser, formatação descuidada, erros de digitação e URLs criadas para parecer semelhantes, mas que não são reais (joe@paypal-us.com).
Um bom filtro de spam vai proteger você da maioria das ameaças. Emails de golpe funcionam mirando nas pessoas — convencendo-nos de que são reais. Quando nem chegamos a ter contato com eles, eles não serão um problema.
Depende do tipo de golpe e de quando você percebe que foi vítima. Se você já pagou alguma coisa, entre em contato com seu banco o mais rápido possível para ver se o pagamento pode ser revertido. Se você forneceu os dados do cartão, bloqueie e cancele o cartão afetado. Não há garantias de que você receberá seu dinheiro de volta, mas certamente pode evitar mais danos. Alterar as senhas de contas potencialmente comprometidas também é uma boa ideia e, se você suspeitar de um ataque de malware, faça uma verificação nos seus dispositivos.
As empresas correm mais risco em certo sentido — elas têm muitos dados em seus sistemas que podem ser úteis para atacar outras pessoas. Ao invadir um email empresarial, você pode potencialmente obter uma grande lista de contatos. Além disso, em termos de phishing e whaling, existem oportunidades diferentes. Por exemplo, o fato de que as pessoas podem não conhecer pessoalmente todos que estão solicitando dinheiro delas. Portanto, os riscos são um pouco diferentes e provavelmente mais acentuados.
Um treinamento básico, para que toda a equipe saiba como são as ameaças por email, provavelmente é a melhor medida preventiva. Em seguida, é importante ter um bom provedor de email empresarial que ofereça proteções como filtros de spam, autenticação de dois fatores e atualizações sobre ameaças.


Comentários (2)
Lily Simon
9 de ago. de 2025
Olha Nesen. Product and Marketing Coordinator
13 de ago. de 2025