O golpe do spear phishing voltou ao centro das atenções após casos recentes envolvendo órgãos públicos e grandes empresas, mostrando como ataques direcionados podem burlar até equipes treinadas. Em março de 2026, a cobertura sobre uma investigação da Polícia Federal mostrou indícios de uso desse método para induzir servidores a entregar credenciais em páginas falsas, reforçando que a ameaça segue ativa e cada vez mais personalizada. Dados recentes também indicam que o phishing continua crescendo no Brasil: em 2024/2025, a Kaspersky registrou 553 milhões de bloqueios de ataques do tipo no país, alta de cerca de 80% em relação ao período anterior.
Mas afinal, o que é spear phishing e por que ele é tão perigoso?
O spear phishing é uma versão mais sofisticada do phishing tradicional. Em vez de enviar mensagens genéricas em massa, o criminoso pesquisa o alvo, identifica o cargo, a rotina, os contatos e os sistemas usados, e cria um e-mail ou mensagem com uma aparência legítima. Esse nível de personalização aumenta as chances do usuário clicar em um link malicioso, abrir um anexo com vírus ou inserir senha em uma página falsa. Com o uso de inteligência artificial, os ataques ficaram ainda mais convincentes, inclusive com textos em português natural e imitação de tom institucional, o que pode resultar no convencimento do usuário a clicar no conteúdo malicioso.
Como reconhecer o golpe do spear phishing
Entre os principais sinais de alerta estão:
Urgência exagerada: Por exemplo: “Você tem 15 minutos para confirmar o acesso ou sua conta será bloqueada.”. Isso faz com que o usuário possivelmente não pense muito e tome alguma atitude apressada que pode ser clicar em um link, enviar dados pessoais ou anexar algum arquivo com informações confidenciais.
Pedidos fora do procedimento normal
Por exemplo: Você recebe um e-mail ou whatsapp do tipo: “Olá, Ana, aqui é o setor de TI. Precisamos que você atualize sua senha imediatamente por falha de segurança.”. Esse contato pode ser de algum criminoso induzindo você a alterar sua senha para posteriormente obter acesso indevido em algum aplicativo que você utiliza.
Remetentes quase idênticos aos oficiais: Por exemplo: Um email estranho ou quase igual.
- Real: noreply@youtube.com
- Falso: noreply@yooutube.com (com um “o” a mais)
Links que levam a domínios estranhos
Por exemplo: um e‑mail menciona “acesse ao sistema de folha de pagamento” e o link, ao passar o mouse, mostra um link diferente do endereço oficial do sistema interno.
Em órgãos públicos, o risco cresce quando a mensagem imita setores internos, como TI, RH, financeiro ou chefias, porque explora confiança e hierarquia. Em empresas, o golpe costuma mirar áreas com acesso a pagamentos, contratos e dados sensíveis, ampliando o impacto de uma única credencial comprometida.
Como se proteger do golpe do spear phishing
A prevenção do golpe do spear phishing exige uma combinação de comportamento e tecnologia. A recomendação do CERT.br é desconfiar, verificar o endereço real, evitar clicar diretamente em links recebidos e confirmar solicitações por outro canal antes de agir. No setor público e privado, autenticação em duas etapas, treinamento recorrente, simulações de phishing e monitoramento de acesso são medidas essenciais para reduzir o risco.
Abaixo, nós listamos alguns exemplos e como você pode evitar cair em golpes:
- Sempre desconfie de pedidos de dados ou ações urgentes
- Se o e‑mail pedir senha, token, dados bancários ou “confirmação de acesso”, trate como suspeito.
- Verifique o remetente com atenção
- Confira o domínio completo do e‑mail (depois do “@”) e compare com o endereço oficial do setor ou órgão.
- Se houver um zero, um ponto extra, um traço ou um servidor estranho, não acredite.
- Nunca digite senha em links que chegam de e‑mail ou mensagem
- Se o e‑mail falar em “atualizar senha” ou “confirmar acesso”, não clique no link.
- Acesse o sistema digitando o endereço direto no navegador ou pela própria intranet, e ali veja se há alguma mensagem de notificação.
- Passe o mouse sobre o link antes de clicar
- Em e‑mails, deixe o ponteiro sobre o link para ver a URL real na barra inferior.
- Se o texto mostra “Portal do Servidor” mas o link aponta para um domínio duvidoso (por exemplo, com letras trocadas ou outro país), não clique.
- Use autenticação em dois fatores (2FA) sempre que possível
- Mesmo que sua senha seja roubada, o 2FA dificulta o acesso do criminoso.
- Verifique com outra pessoa ou canal oficial
- Exemplo: se chegar um e‑mail “de seu chefe” pedindo transferência urgente ou dados sensíveis,
mande uma mensagem por outro canal (WhatsApp, ligação, mensagem interna) perguntando se realmente foi ele. - Em órgãos públicos, há casos relatados em que servidores receberam e‑mails fingindo ser do Ministério Público ou do setor de TI para capturar usuário e senha em páginas falsas.
- Exemplo: se chegar um e‑mail “de seu chefe” pedindo transferência urgente ou dados sensíveis,
- Mantenha programas e sistemas atualizados
- Software antivírus, navegador e sistemas atualizados ajudam a bloquear sites falsos e arquivos maliciosos.
- Faça treinamento ou conscientização
- Tanto em empresas quanto em órgãos públicos, campanhas internas de segurança cibernética ajudam os servidores a identificar mensagens suspeitas.
Links externos confiáveis
CERT.br – Fascículo “Phishing e Outros Golpes”: https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/fasciculos-cert.br/fasciculo-phishing-golpes-digital-govbr.pdf
Cartilha de Segurança para Internet: https://cartilha.cert.br