Versão 1.0 · 2026
Treinamento de Conscientização

Como reconhecer e
evitar ataques de Phishing

Material prático com exemplos reais de ataques via e-mail, WhatsApp e Microsoft Teams. Desenvolvido para ambientes corporativos.

91%
dos ataques corporativos
começam por phishing
3,4s
tempo médio para um usuário
clicar em link malicioso
R$6,4M
custo médio de um
breach corporativo no BR
🎣

O que é Phishing?

Fundamentos e contexto antes de analisar os exemplos práticos

Definição operacional

Phishing é uma técnica de engenharia social onde o atacante se passa por uma entidade confiável — banco, TI interno, colega, fornecedor — para induzir a vítima a entregar credenciais, instalar malware ou autorizar transferências financeiras.

Analogia prática É o equivalente digital de alguém vestido de carteiro bater na sua porta, pedir que você assine um documento urgente e, ao fazer isso, você entrega sua chave de casa sem perceber.
Modalidades mais comuns no ambiente corporativo
Técnicas de Ataque
  • 🎣 Phishing em massa — e-mails genéricos para muitos destinatários
  • 🎯 Spear Phishing — ataque direcionado, usando dados reais da vítima (LinkedIn, redes sociais)
  • 🐳 Whaling — direcionado a executivos (CEO, CFO, CTO)
  • 📱 Smishing — via SMS/WhatsApp
  • 🔷 Business Chat — via Teams, Slack, Discord corporativo
Objetivos do Atacante
  • 🔑 Roubo de credenciais (VPN, AD, e-mail)
  • 💰 Redirecionamento de pagamentos (BEC/fraude CEO)
  • 🦠 Instalação de ransomware ou RAT
  • 🔍 Espionagem industrial / exfiltração de dados
  • 🚪 Acesso inicial à rede corporativa
Por que colaboradores são o principal alvo?

Firewalls, antivírus e EDR protegem sistemas. Mas um colaborador que insere credenciais em uma página falsa não aciona nenhum alarme técnico. O atacante entra com credenciais legítimas. É por isso que a conscientização humana é a camada de segurança mais crítica — e frequentemente mais negligenciada.

📧

Phishing por E-mail

O vetor mais utilizado — responsável por mais de 80% dos ataques corporativos

Exemplo 1 — Fraude de Credenciais (Microsoft 365)
Outlook — Caixa de Entrada
⚑ Red Flags — Passe o mouse sobre os trechos destacados
  • Domínio falso: "micros0ft-accounts.com" usa zero (0) no lugar do "o". Técnica chamada typosquatting.
  • Urgência artificial: "24 horas" e "suspensão imediata" são gatilhos psicológicos para impedir que você pense com calma.
  • Saudação genérica: "Prezado Usuário" — a Microsoft e a TI interna sabem seu nome.
  • Link encurtado ou suspeito: Nunca clique. Passe o cursor sobre o link (sem clicar) e veja o destino real na barra inferior do navegador.
  • Rodapé copiado: Atacantes copiam o rodapé oficial da Microsoft para dar aparência legítima.
Exemplo 2 — Fraude do CEO (BEC - Business Email Compromise)
Outlook — Caixa de Entrada
⚑ Red Flags — Fraude CEO
  • Domínio diferente do oficial: ".net" em vez de ".com.br" — verificação trivial que salva milhares de reais.
  • Solicitação financeira fora do processo normal: Transferências legítimas passam por aprovação formal, nunca por e-mail direto.
  • Inacessibilidade estratégica: "Estou em reunião, não atendo ligações" serve para impedir que você ligue e confirme.
  • Pressão de tempo (sexta à tarde): Próximo ao fim do expediente, com pouco tempo para questionamentos.
  • Regra de ouro: Qualquer transferência solicitada por e-mail acima de determinado valor deve ser confirmada por telefone no número cadastrado, nunca no informado no próprio e-mail.
💬

Phishing via WhatsApp

Canal crescente para ataques corporativos — alta taxa de abertura, baixa desconfiança

Exemplo 1 — Falso RH / Benefícios
⚑ Red Flags
  • RH corporativo não comunica benefícios por WhatsApp de número pessoal ou desconhecido.
  • Link encurtado (bit.ly, t.ly, etc.) esconde o destino real — ao clicar, você pode ser direcionado a uma página de coleta de CPF, senha ou dados bancários.
  • Prazo de "hoje até 18h" para benefício — qualquer processo legítimo de RH tem prazo comunicado por e-mail corporativo com antecedência.
  • Ação correta: Não clique. Ligue para o RH pelo ramal interno e confirme.
Exemplo 2 — Falso Suporte de TI
⚑ Red Flags
  • Senha NUNCA deve ser fornecida a ninguém — nem ao time de TI. Essa é uma regra absoluta de segurança.
  • Suporte legítimo de TI abre chamado pelo sistema ITSM (ServiceDesk) — não contacta via WhatsApp solicitando credenciais.
  • Download de software por link de WhatsApp é vetor direto de instalação de malware (RAT — Remote Access Trojan).
  • Ação correta: Encerre a conversa. Abra chamado no portal de TI e reporte o número como suspeito ao time de segurança.
🔷

Phishing via Microsoft Teams

Canal subestimado — alto grau de confiança por ser ferramenta corporativa oficial

Por que o Teams é perigoso nesse contexto? Usuários tendem a confiar automaticamente em mensagens do Teams por ser uma plataforma corporativa interna. Atacantes exploram isso comprometendo contas de parceiros externos ou criando contas com nomes similares para enviar mensagens aparentemente legítimas.
Exemplo 1 — Falso Colaborador Externo
💬
Chat Direto
Conversa com usuário externo
FM
Felipe Martins (Externo) 10:34
Oi! Preciso que você revise esse contrato antes da reunião de 11h. Já está no SharePoint do cliente, acesse aqui:
📄 Contrato_Revisao_Final_v3.pdf
sharepoint-docs-online.com
Abrir documento →
⚑ Red Flags
  • Domínio falso do SharePoint: O SharePoint real da Microsoft usa sempre "*.sharepoint.com". "sharepoint-docs-online.com" é um domínio falso — ao clicar, uma página de login falsa captura suas credenciais.
  • Conta marcada como "(Externo)" com urgência de tempo — pressão para você agir antes de analisar o link.
  • Atacantes frequentemente comprometem contas de fornecedores para fazer o ataque parecer legítimo.
  • Ação correta: Confirme com o Felipe por outro canal (ligação/e-mail) antes de clicar. Verifique o domínio do link antes de qualquer acesso.
Exemplo 2 — Falso Canal de TI / MFA Reset
🔔
Avisos — TI Corporativa
Canal Público · 1 membro
TI
TI Corporativa - Segurança 08:02
🔐 Ação obrigatória até as 10h:
Todos os colaboradores devem recadastrar o MFA (autenticação multifator) no novo sistema. O não cumprimento bloqueará seu acesso até a próxima semana.
🔑 Portal de Recadastro MFA
microsoft-mfa-reset.net
Recadastrar agora →
⚑ Red Flags
  • Recadastro de MFA NUNCA ocorre via link de Teams: Mudanças de MFA são feitas dentro do portal oficial (aka.ms/mysecurityinfo ou processo interno documentado).
  • Canal com apenas 1 membro — canais oficiais de TI têm todos os colaboradores.
  • Domínio "microsoft-mfa-reset.net" é falso — qualquer coisa fora de "microsoft.com" ou "microsoftonline.com" é suspeito.
  • Prazo de 2 horas para ação crítica de segurança — TI real comunica com antecedência e por canais verificados.
🚨

O que fazer ao identificar um ataque

Procedimento de resposta — velocidade e comunicação são decisivas

Protocolo de Resposta a Incidente de Phishing
01

NÃO clique, NÃO responda, NÃO encaminhe

Mesmo que seja para "mostrar a um colega" — encaminhar uma mensagem de phishing pode comprometer a caixa de outro usuário ou acionar links automaticamente.

02

Reporte imediatamente ao time de TI/Segurança

Utilize o canal oficial de abertura de chamados. Se disponível, use o botão "Reportar Phishing" no Outlook. No WhatsApp, bloqueie e reporte o número.

03

Se você clicou em um link — não entre em pânico, aja rápido

Desconecte o equipamento da rede (desative Wi-Fi/Ethernet). Ligue imediatamente para o suporte de TI. Não tente "desfazer" sozinho — isso pode piorar o dano.

04

Se você inseriu credenciais em site suspeito

TI irá revogar sua sessão e resetar sua senha imediatamente. Informe também se a senha era reutilizada em outros sistemas (boas práticas evitam este cenário).

05

Documente e preserve evidências

Capture prints do e-mail/mensagem antes de deletar. Anote o horário, remetente e demais detalhes. Isso auxilia a equipe de segurança a bloquear o ataque na origem.

Boas práticas preventivas
Lista de verificação — Marque os itens concluídos
Tenho MFA (autenticação em dois fatores) ativo em todos os sistemas corporativos
Utilizo senhas únicas para cada sistema (gerenciador de senhas ou política interna)
Verifico o domínio do remetente antes de agir em qualquer e-mail com urgência
Nunca forneço senha por e-mail, WhatsApp, Teams ou telefone — para ninguém
Passo o cursor sobre links antes de clicar para verificar o destino real
Confirmo solicitações financeiras urgentes por telefone no número cadastrado
Sei onde abrir chamado de segurança na empresa (conheço o canal oficial de reporte)
🧠

Teste seus Conhecimentos

5 questões baseadas nos exemplos apresentados

1. Você recebe um e-mail do "Suporte Microsoft" informando que sua conta será suspensa em 24h. O remetente é suporte@micros0ft-support.com. Qual o principal indicador de phishing?
A
O e-mail menciona suspensão de conta
B
O domínio usa "0" (zero) no lugar da letra "o" — técnica de typosquatting
C
O e-mail tem prazo de 24 horas
D
O e-mail possui rodapé oficial da Microsoft
2. Um colaborador do departamento financeiro recebe uma mensagem no WhatsApp de um número desconhecido, identificado como "TI Suporte", solicitando usuário e senha do AD para resolver um problema urgente. Qual deve ser a ação?
A
Fornecer os dados, pois é o time de TI solicitando
B
Pedir para o suporte enviar um e-mail corporativo primeiro
C
Não fornecer dados, encerrar a conversa e abrir chamado no canal oficial de TI
D
Ignorar a mensagem sem reportar
3. Qual das URLs abaixo seria o endereço legítimo do SharePoint corporativo da Microsoft?
A
sharepoint-docs-online.com/contrato
B
suaempresa.sharepoint.com/contrato
C
microsoftsharepoint.net/contrato
D
share-point.microsoft-online.com/contrato
4. O diretor financeiro envia uma mensagem pedindo uma transferência urgente de R$ 47.000, informando estar em reunião e indisponível para ligações. O e-mail veio do domínio "@suaempresa.net" (sendo o oficial "@suaempresa.com.br"). O que fazer?
A
Realizar a transferência, pois o nome do diretor está correto
B
Aguardar até ele sair da reunião para confirmar por e-mail
C
Não realizar. Ligar para o diretor no número cadastrado e reportar o e-mail suspeito à TI
D
Responder ao e-mail pedindo confirmação dos dados bancários
5. Você acidentalmente clicou em um link de phishing e a página pediu sua senha. Você não inseriu os dados e fechou o navegador. Qual deve ser o próximo passo?
A
Nada — como não inseriu dados, não há risco
B
Executar o antivírus e aguardar o resultado
C
Reportar imediatamente à TI, descrever o link e o que aconteceu — só o acesso pode instalar malware via drive-by download
D
Apagar o histórico do navegador e continuar trabalhando