← Voltar para o blog
,

Phishing no WhatsApp: como identificar links falsos antes de clicar

O link que parece inofensivo pode ser o começo de um golpe

Uma mensagem chega pelo WhatsApp: o banco informa que sua conta foi bloqueada por atividade suspeita e pede que você clique em um link para regularizar. Ou é uma promoção imperdível, uma entrega parada nos Correios, um prêmio que precisa ser resgatado. O link parece legítimo, o logo é familiar. Mas não é real.

Esse tipo de ataque, chamado de phishing, é uma das fraudes digitais mais comuns no Brasil. Segundo a Febraban (Federação Brasileira de Bancos), o chamado “golpe do WhatsApp” registrou 153 mil vítimas em 2024. Em grande parte desses casos, o ponto de entrada foi um link malicioso enviado por mensagem. O Brasil foi o quinto país mais afetado por phishing no mundo em 2025, com mais de 12 milhões de tentativas bloqueadas apenas no primeiro semestre do ano, segundo relatório da Kaspersky.

Como funciona o phishing por links no WhatsApp

O phishing via mensagem opera com uma lógica simples: criar aparência de legitimidade para induzir o clique. Os criminosos registram domínios que imitam marcas conhecidas, como “bradesc0.com.br” no lugar de “bradesco.com.br”, ou usam encurtadores de URL para esconder o endereço real do link.

Uma vez que a vítima clica, é direcionada para uma página falsa que pode:

  • Solicitar login e senha de conta bancária ou rede social
  • Pedir dados pessoais como CPF, data de nascimento e número de cartão
  • Iniciar o download automático de um aplicativo malicioso no dispositivo
  • Redirecionar para uma sequência de páginas que coletam informações em etapas

O WhatsApp é o canal favorito para esse tipo de ataque no Brasil porque concentra mais de 170 milhões de usuários ativos e é percebido como meio de comunicação pessoal, o que reduz a desconfiança natural que as pessoas aplicam a e-mails ou ligações desconhecidas.

Sinais que indicam que um link é falso

Identificar um link de phishing exige atenção a padrões que os criminosos não conseguem esconder completamente:

  • Domínio com variações sutis: letras trocadas, números no lugar de letras (0 no lugar de O), hífens adicionados ou subdomínios que parecem o site real mas não são. “bradesco.conta.com” não é o site do Bradesco; é um subdomínio de “conta.com”.
  • Encurtadores de URL: links que começam com bit.ly, tinyurl ou similares escondem o destino real. Antes de clicar, use um serviço de expansão de URL para ver o endereço completo.
  • Urgência artificial: frases como “sua conta será bloqueada em 24 horas” ou “promoção válida somente hoje” são gatilhos usados para impedir que a vítima reflita antes de agir.
  • Remetente desconhecido ou número não salvo na agenda: se o contato não está salvo, o nível de atenção deve ser máximo antes de qualquer interação com links enviados.
  • Erros ortográficos na mensagem: campanhas de phishing costumam ser criadas com pressa ou por sistemas automatizados e apresentam erros que uma empresa profissional não cometeria.

O que fazer ao receber um link suspeito

A primeira regra é simples: não clique. Se houver dúvida, trate como suspeito. Acesse o site da empresa diretamente pelo navegador, digitando o endereço, ou ligue para um número oficial obtido de forma independente para verificar se a mensagem é legítima.

Se você já clicou em um link suspeito, tome estas medidas imediatamente:

  • Feche o site ou app aberto sem preencher nenhum campo
  • Troque as senhas das contas mais importantes, começando pelo e-mail
  • Verifique se algum aplicativo novo foi instalado no dispositivo sem sua autorização
  • Acione seu banco se dados financeiros foram digitados
  • Registre um boletim de ocorrência e denuncie o número ao WhatsApp

Como mostramos em nosso post sobre engenharia social por apps de mensagens, o elemento humano é sempre o principal alvo dos criminosos. A tecnologia pode ajudar, mas a defesa começa no comportamento.

Por que o WhatsApp facilita ataques de phishing

O design do WhatsApp não foi construído com barreiras contra phishing. Qualquer número pode enviar uma mensagem com link para qualquer outro número sem nenhuma verificação de identidade. Não há sistema nativo que alerte sobre domínios suspeitos ou bloqueie URLs maliciosas antes do clique.

Segundo o DataSenado, golpes digitais atingiram 24% da população brasileira em 2024. O Fórum Brasileiro de Segurança Pública estima que cerca de 56 milhões de brasileiros foram afetados por fraudes virtuais financeiras desde julho do mesmo ano. A ausência de verificação de identidade nas plataformas de mensagens é um dos fatores estruturais que permite essa escala.

PhizChat: comunicação com menos vetores de ataque

O PhizChat foi construído com um princípio que muda estruturalmente a equação do phishing por mensagens: verificação de identidade obrigatória. No PhizChat, cada usuário tem sua identidade verificada antes de poder se comunicar na plataforma. Isso significa que um criminoso não consegue simplesmente criar um número falso e distribuir links maliciosos para milhares de pessoas de forma anônima.

Além disso, como os dados do PhizChat ficam armazenados em servidores no Brasil, sob a jurisdição da LGPD (Lei Geral de Proteção de Dados), há um nível adicional de responsabilização para uso indevido da plataforma que não existe em apps americanos sujeitos ao CLOUD Act.

Nenhum app elimina o phishing sozinho. Mas escolher uma plataforma que dificulta o anonimato dos criminosos reduz diretamente o volume de ataques que chegam até você. Em um cenário onde 153 mil pessoas foram enganadas em um único ano por um golpe que começa com uma mensagem, o canal de comunicação que você escolhe é parte da sua defesa.

Perguntas frequentes

O que é phishing e como ele funciona no WhatsApp?

Phishing é uma técnica de fraude onde criminosos enviam mensagens com links falsos que imitam empresas ou serviços legítimos. No WhatsApp, o atacante usa qualquer número para enviar o link sem barreiras de verificação. A vítima clica, acessa uma página falsa e tem dados pessoais ou bancários roubados.

Como saber se um link recebido pelo WhatsApp é falso?

Verifique o domínio com atenção, procure variações sutis no endereço, desconfie de encurtadores de URL, observe urgência artificial na mensagem e confirme se o remetente é um contato conhecido. Em caso de dúvida, não clique e acesse o site da empresa diretamente pelo navegador.

O que fazer se eu já cliquei em um link suspeito?

Feche imediatamente o site sem preencher dados, troque as senhas das contas principais, verifique se algum aplicativo foi instalado sem sua autorização e entre em contato com seu banco se informações financeiras foram inseridas. Registre um boletim de ocorrência.

O WhatsApp tem proteção contra phishing?

O WhatsApp exibe alertas básicos para links em algumas situações, mas não tem verificação de identidade de remetentes. Qualquer número pode enviar links para qualquer pessoa sem autenticação prévia, o que facilita ataques em escala.

Usar um app de mensagens seguro protege contra phishing?

Parcialmente, sim. Apps com verificação de identidade obrigatória, como o PhizChat, dificultam que criminosos anônimos distribuam links maliciosos em escala. A combinação de tecnologia segura com comportamento vigilante é a defesa mais eficaz disponível hoje.

Baixe o PhizChat. É gratuito.

Disponivel para Android e iOS.

AndroidAndroid iOSiOS

100% gratuito . Sem anuncios . Seus dados ficam seus

Descubra mais sobre PhizChat

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading