Um site de phishing é uma página criada para se passar por uma marca conhecida — um banco, uma loja, uma rede social, um serviço de streaming — com um único objetivo: fazer você digitar sua senha, seu número de cartão ou outros dados pessoais em um formulário controlado por golpistas. Esses sites costumam ser bastante convincentes, mas quase sempre deixam pistas visíveis para quem sabe onde olhar.

Como esses sites são construídos

Criar uma cópia visual de um site legítimo ficou tecnicamente simples. Muitas vezes basta copiar o código-fonte da página original, trocar o link do formulário de login para um servidor controlado pelo golpista e publicar tudo em um domínio parecido com o verdadeiro. O resultado pode ser quase idêntico ao site oficial, com o mesmo logotipo, as mesmas cores e até os mesmos textos.

O golpe raramente começa no próprio site. Normalmente chega até você por outro canal: um e-mail avisando sobre um "problema na sua conta", uma mensagem de SMS sobre uma encomenda, uma notificação falsa de pagamento pendente, ou um anúncio patrocinado que aparece em buscas por uma marca conhecida. Esses gatilhos criam urgência — "sua conta será bloqueada em 24 horas", "confirme seus dados agora" — para que você clique sem pensar duas vezes.

Sinais no endereço do site

O endereço (URL) costuma ser o ponto mais frágil da farsa, porque o golpista não consegue registrar o domínio exato de uma marca já existente. Fique atento a:

  • Pequenas variações na grafia, como troca de letras, números no lugar de letras ou hífens extras (por exemplo, um "i" trocado por um "l").
  • Domínios com terminações incomuns ou que acrescentam palavras como "login", "seguro", "suporte" antes ou depois do nome da marca.
  • Endereços muito longos, com vários subdomínios, tentando esconder o domínio real no meio do texto.
  • Ausência do cadeado de conexão segura no navegador, embora hoje muitos sites falsos também usem conexão criptografada — isso sozinho não garante que o site é confiável.

Antes de digitar qualquer dado, vale copiar o link e compará-lo com calma ao endereço oficial que você já conhece, ou digitar o endereço diretamente no navegador em vez de clicar em um link recebido por mensagem.

Sinais dentro da página

Mesmo quando o visual é bem copiado, alguns detalhes internos costumam denunciar o golpe:

  • Pedidos de informação excessivos: um login normal não precisa da senha do cartão, do código de segurança e da data de validade todos na mesma tela, logo na entrada.
  • Erros de tradução, acentuação estranha ou frases que soam "traduzidas ao pé da letra".
  • Imagens borradas, logotipos levemente distorcidos ou layout que quebra em telas menores.
  • Botões ou links que não funcionam, como um menu de "Sobre nós" ou "Política de privacidade" que não leva a lugar nenhum.
  • Certificado de segurança emitido para um domínio diferente do que aparece na barra de endereço, algo que pode ser conferido clicando no ícone de cadeado do navegador.

O comportamento também é um alerta

Fique especialmente atento quando a página:

  • Cria senso de urgência extrema, pressionando para agir em minutos.
  • Pede confirmação de dados que a empresa já teria (como se não soubesse seu nome completo, mas soubesse seu e-mail).
  • Solicita o reenvio de um código de verificação recebido por SMS ou aplicativo — nenhuma empresa séria pede que você repasse esse código.
  • Aparece logo após você clicar em um anúncio ou link recebido de forma inesperada, mesmo que pareça vir de um contato conhecido.

Como verificar antes de inserir dados

  1. Não clique diretamente em links de e-mails, SMS ou mensagens de redes sociais quando o assunto envolver login, pagamento ou dados de conta. Prefira digitar o endereço oficial de memória ou usar um favorito salvo.
  2. Confira o domínio letra por letra, especialmente antes da primeira barra "/" do endereço.
  3. Desconfie de páginas que pedem dados completos do cartão logo na tela inicial, sem qualquer processo de compra em andamento.
  4. Use a ferramenta de verificação de sites do seu navegador ou um serviço de checagem de reputação para consultar o domínio antes de prosseguir.
  5. Ative a autenticação em duas etapas nas suas contas importantes; ela não impede o phishing, mas dificulta muito o uso de uma senha roubada.

Se você já inseriu dados em um site suspeito

Troque a senha imediatamente, tanto no site verdadeiro quanto em qualquer outro lugar onde use a mesma senha. Se envolveu dados de cartão, entre em contato com seu banco ou emissor do cartão para bloquear ou monitorar a conta. Vale também denunciar o site ao serviço de navegação segura do seu navegador e, se possível, à própria empresa que foi imitada, para que outras pessoas sejam protegidas.

O hábito que mais protege

Nenhuma dica isolada é infalível, porque os golpistas ajustam suas táticas constantemente. O que realmente protege é o hábito de pausar antes de clicar, verificar o endereço com calma e desconfiar de qualquer pedido urgente de dados sensíveis — mesmo quando a marca parece perfeitamente reconhecível.