Segurança da informação, no dia a dia, raramente parece “hacker de filme”. Ela parece mais com um boleto falso, um link inocente, uma mensagem com urgência, um QR code colado por cima do original, ou um login que você jurava que era legítimo. E a parte mais importante: quase sempre o ataque não “invade o sistema” primeiro — ele convence alguém (ou engana um processo) para abrir a porta.
Pense em cybersecurity como segurança de casa. Não adianta ter uma fechadura de última geração se você deixa a chave embaixo do tapete. A tecnologia é essencial, mas o golpe ganha mesmo quando explora comportamento, pressa, rotina e brechas de processo.
Vamos falar de golpes comuns e, principalmente, do que dá para fazer na prática para diminuir muito o risco.
O motor dos golpes: “urgência + contexto + aparência de legitimidade”
A maioria dos golpes bem-sucedidos tem três ingredientes:
- Urgência: “é agora”, “expira hoje”, “se você não fizer, dá problema”.
- Contexto: algo que faz sentido naquele momento (“pedido de reembolso”, “nota fiscal”, “acesso ao e-mail”, “atualização do banco”).
- Aparência de legitimidade: logo bonitinho, linguagem corporativa, nome parecido, domínio quase igual.
E aí entra o “pulo do gato”: quando você está com pressa, seu cérebro troca verificação por velocidade. O golpe sabe disso. Ele não quer a sua inteligência; ele quer o seu piloto automático.
Golpe 1: phishing (o clássico que nunca sai de moda)
Phishing é quando alguém tenta te levar para uma página falsa ou te convencer a entregar algo: senha, código, cartão, acesso, dados.
O phishing moderno não é mais “clique aqui para ganhar um iPhone”. Hoje ele parece:
- “Sua conta foi acessada de um novo dispositivo”
- “Documento compartilhado com você”
- “Sua fatura está em atraso”
- “Seu pacote está retido”
- “Atualize seus dados para não bloquear”
O detalhe importante: phishing não é só e-mail
Pode vir por SMS (smishing), WhatsApp/Telegram, DM de rede social, anúncio patrocinado e até ligação com atendente “bem treinado”.
Defesa prática (sem paranoia)
Você não precisa virar detetive 24/7. Só adotar um hábito:
- Nunca confie no caminho que chegou até você.
Confie no caminho que você mesmo escolhe.
Em vez de clicar no link, faça assim:
- Abra o site digitando você mesmo (ou use favorito).
- Se for empresa, use o app oficial.
- Se for documento, confira o remetente e o domínio real (não o nome exibido).
E um truque simples e eficiente:
- Se pediram “com urgência”, automaticamente você ganha o direito de ficar mais lento.
Urgência é alarme vermelho, não é acelerador.
Golpe 2: QR code “do bem” que faz o mal (quishing)
QR code virou atalho para tudo: pagar, entrar em Wi‑Fi, acessar cardápio, baixar app. E por isso virou também atalho para golpe.
O golpe mais comum é o QR code sobreposto: alguém cola um QR por cima do original, você escaneia e vai para um site “igualzinho” ao real.
Defesa prática
- Antes de confirmar, olhe o endereço que apareceu no celular.
Se o QR te leva para um domínio estranho, com nome longo, cheio de hífen, ou que não bate com a marca: pare. - Para pagamento, prefira:
- Pix “copia e cola” recebido por canal confiável
- Ou pagamento dentro do app do banco, conferindo nome do recebedor antes de concluir
Golpe 3: roubo de conta sem roubar sua senha (sequestro de sessão)
Aqui fica interessante: às vezes o atacante não precisa da sua senha. Ele só precisa de algo que vale como “você já está logado”: o cookie de sessão (ou token).
Isso pode acontecer quando:
- Você loga em máquina pública
- Seu computador está com malware
- Você instala extensão suspeita no navegador
- Você cai num phishing que captura sessão
- Você reutiliza sessão por tempo demais
O resultado é cruel: você troca a senha e… o atacante continua dentro, porque a sessão dele ainda está válida.
Defesa prática
- Ative MFA (mas já falamos da pegadinha disso mais abaixo).
- Em contas importantes, use:
- “Sair de todos os dispositivos”
- Revisão de “dispositivos conectados” e “sessões ativas”
- No trabalho: políticas de sessão curta para sistemas sensíveis e detecção de login anômalo.
Golpe 4: “MFA fatigue” (quando o 2FA vira martelo)
MFA/2FA é ótimo. Mas o atacante adaptou: ele tenta logar repetidas vezes e você recebe uma chuva de notificações: “Aprovar login? Aprovar login?” Até que, cansado, você aprova “só para parar”.
Isso é MFA fatigue. Parece bobo, mas acontece muito, inclusive em empresas grandes.
Defesa prática
- Se usa push de “Aprovar/Negar”, prefira MFA com:
- número para confirmar, ou
- chave física (security key), ou
- app autenticador (TOTP) com atenção redobrada.
- Regra simples:
- Se você recebeu um pedido de MFA que você não iniciou, isso é um incidente.
- Negue e troque senha (e revise sessões) imediatamente.
“Mas eu sou estudante / eu sou profissional… muda alguma coisa?”
Muda o volume, não a lógica. A lógica é a mesma: reduzir a chance de abrir a porta errada e aumentar a chance de detectar cedo.
Para estudante (e vida pessoal)
- Senhas únicas + gerenciador de senhas
- MFA em e-mail, banco, redes sociais
- Cuidado com “vagas” e “freelas” que pedem arquivo, cadastro, teste executável
- Atualização de sistema e navegador (sim, é chato; sim, salva)
Para profissionais (e empresa)
- Treinamento curto e frequente (microlearning)
- E-mail com DMARC/SPF/DKIM bem configurado
- Menos privilégios por padrão (least privilege)
- Observabilidade e alertas de login suspeito
- Processo claro para reportar incidentes (sem punir quem reporta)
Essa última é muito subestimada: se reportar dá bronca, ninguém reporta. Aí você descobre tarde, quando já virou incêndio.
A regra de ouro: “desconfie do canal, confie no processo”
Golpe funciona quando você age pelo canal (clicar no link da mensagem) em vez de agir pelo processo (entrar do seu jeito, conferir do seu jeito, validar do seu jeito).
Uma frase para guardar:
Se alguém tentou te apressar, você acabou de receber permissão para verificar duas vezes.
Views: 1