Ir para o conteudo principal

Clicou em um link de phishing: o que fazer imediatamente?

Por CaptainDNS
Publicado em 15 de fevereiro de 2026

Tela de alerta após clicar em um link de phishing com os passos de emergência a seguir
TL;DR
  • Um clique em um link de phishing nem sempre é suficiente para infectar seu dispositivo, mas aja rápido
  • Passos de emergência: desconecte-se da rede, faça um scan antivírus, limpe o cache do navegador
  • Se você digitou credenciais, troque-as no site oficial e ative o 2FA imediatamente
  • Denuncie o phishing e monitore suas contas bancárias por pelo menos 30 dias

3,4 bilhões de emails de phishing são enviados todos os dias no mundo (Valimail 2024). Com esse volume, clicar em um link malicioso não é uma questão de "se", mas de "quando". A boa notícia: um simples clique nem sempre é suficiente para comprometer seu dispositivo ou seus dados.

Este guia oferece os passos exatos a seguir nos minutos, horas e dias após clicar em um link suspeito. Seja que você apenas abriu a página ou que digitou suas credenciais, cada cenário é coberto com um plano de ação preciso.

O resultado de um clique em um link de phishing depende de três fatores: o tipo de link, o estado do seu dispositivo e o que você fez após o clique.

Cenário 1: a página de phishing (coleta de credenciais)

O caso mais frequente. O link abre um site que imita um serviço legítimo (banco, email, rede social). A página pede que você digite suas credenciais. Se você não digitou nada e fechou a página, o risco é mínimo. Se você inseriu suas credenciais, vá direto para a seção "Você digitou suas credenciais".

Cenário 2: o download automático (drive-by download)

Mais raro, mas mais perigoso. O site explora uma falha do seu navegador para baixar e executar código malicioso sem sua intervenção. Os navegadores modernos (Chrome, Firefox, Edge) corrigem essas falhas rapidamente, mas um navegador desatualizado continua vulnerável.

Seu antivírus, seu navegador ou seu filtro DNS bloqueou a página antes que ela carregasse. O Google Safe Browsing bloqueia cerca de 5 milhões de páginas de phishing por dia. Se você vê um aviso vermelho "Site enganoso", seu navegador fez o trabalho dele.

Três cenários após clicar em um link de phishing: coleta de credenciais, drive-by download e bloqueio

Os 5 passos de emergência (primeiros minutos)

1. Desconecte-se da rede

Desligue o Wi-Fi ou desconecte o cabo Ethernet. Se um malware foi baixado, a desconexão impede que ele se comunique com seu servidor de comando (C2), exfiltre dados ou se propague na sua rede local.

No celular, ative o modo avião. É a medida mais rápida e eficaz.

2. Não digite nenhuma informação

Se a página ainda estiver aberta, não preencha nenhum campo. Não clique em nenhum botão adicional. Não baixe nada. Feche a aba imediatamente. Se o navegador exibir um pop-up que se recusa a fechar, force o encerramento do navegador (Ctrl+Shift+Esc no Windows, Cmd+Q no macOS).

3. Faça um scan antivírus completo

Reconecte-se à rede e faça um scan completo (não rápido) com seu antivírus. Se você não tem um, o Windows Defender já vem integrado no Windows 10/11 e oferece uma proteção adequada.

Para uma segunda opinião, use um scanner online gratuito como Malwarebytes ou ESET Online Scanner. Dois motores de detecção são melhores que um.

4. Limpe o cache e os cookies do navegador

Sites de phishing podem depositar cookies de rastreamento ou explorar o cache do navegador. Limpe-os completamente:

  • Chrome: Configurações > Privacidade > Limpar dados de navegação > Marque "Cookies" e "Imagens/arquivos em cache"
  • Firefox: Configurações > Privacidade > Cookies e dados > Limpar dados
  • Edge: Configurações > Privacidade > Escolher o que limpar

5. Verifique a URL com uma ferramenta de verificação

Copie a URL do link suspeito (do seu histórico ou do email original) e analise-a com um verificador de URL de phishing que consulta várias bases de threat intelligence (URLhaus, Google Safe Browsing, PhishTank, VirusTotal). O resultado dá um veredito claro: limpo, suspeito ou malicioso.

Esse passo confirma a natureza do link e ajuda você a avaliar o nível real de risco.

Você digitou suas credenciais? (plano de recuperação)

Se você inseriu uma senha, um número de cartão de crédito ou qualquer outra informação sensível no site de phishing, o risco é elevado. Aqui está o plano de recuperação em ordem de prioridade.

Troque suas senhas imediatamente

Acesse diretamente o site oficial do serviço em questão (digite a URL manualmente, não siga nenhum link) e troque sua senha. Se você usa a mesma senha em outros serviços, troque-as também. Essa é a razão pela qual um gerenciador de senhas com senhas únicas por serviço é essencial.

Ative a autenticação em dois fatores (2FA)

O 2FA adiciona uma camada de proteção mesmo se o invasor tiver sua senha. Prefira um aplicativo de autenticação (Google Authenticator, Authy, Microsoft Authenticator) em vez do SMS, que pode ser interceptado por SIM swap.

Verifique as conexões recentes às suas contas

A maioria dos serviços (Google, Microsoft, Facebook, Amazon) oferece um histórico de conexões nas configurações de segurança. Procure por conexões de locais ou dispositivos desconhecidos. Desconecte todas as sessões suspeitas.

Avise seu banco (se dados bancários foram inseridos)

Se você digitou um número de cartão de crédito, ligue imediatamente para seu banco para solicitar o bloqueio. As transações fraudulentas costumam começar nos minutos seguintes à compromissão. Monitore seus extratos bancários por pelo menos 30 dias.

Casos especiais

Os smartphones são menos vulneráveis a drive-by downloads que os computadores, mas não são imunes. Os sites de phishing para celular visam principalmente a coleta de credenciais.

Passos específicos:

  1. Ative o modo avião
  2. Feche todas as abas do navegador
  3. Verifique se nenhum aplicativo foi instalado (Configurações > Aplicativos > ordene por data)
  4. Faça um scan com seu antivírus mobile
  5. Troque as senhas digitadas a partir de outro dispositivo

Clique a partir de um computador profissional

Na empresa, a prioridade é avisar sua equipe de TI ou seu SOC (Security Operations Center) antes de qualquer outra ação. Não tente resolver o problema sozinho. A equipe de segurança possui ferramentas de detecção e resposta (EDR) capazes de analisar o incidente e conter a ameaça em toda a rede.

Encaminhe o email de phishing original para sua equipe de segurança pelo canal dedicado (botão "Reportar phishing" no Outlook, ou endereço de email dedicado).

Anexo aberto (potencial malware)

Se você abriu um anexo suspeito (.exe, .docm, .zip, .html), o risco é mais elevado do que um simples clique em um link. Desconecte-se da rede imediatamente e não reinicie o computador (alguns malwares se instalam na reinicialização).

Faça um scan antivírus em modo offline (Windows Defender Offline, ou um live USB Linux com ClamAV). Se o scan detectar um malware, consulte um profissional antes de reutilizar o dispositivo.

Como denunciar um phishing?

A denúncia ajuda a bloquear o site de phishing para outros usuários. Quanto mais rápido um site é denunciado, mais rápido ele é neutralizado.

Na França

  • signal-spam.fr: encaminhe o email suspeito pelo formulário online ou extensão do navegador
  • phishing-initiative.fr: denuncie a URL do site de phishing (não o email, a URL)
  • 17Cyber.gouv.fr: plataforma oficial de denúncia de ciberameaças

Internacionalmente

  • reportphishing@apwg.org: Anti-Phishing Working Group (todos os idiomas)
  • Google Safe Browsing: a denúncia está integrada no Chrome ("Reportar um problema de segurança")
  • PhishTank: envie a URL de phishing para alimentar a base comunitária

Na empresa

Encaminhe o email para sua equipe de segurança. Não exclua o email original: os cabeçalhos contêm as provas técnicas (IP de envio, resultados SPF/DKIM/DMARC). A equipe de segurança poderá analisar os cabeçalhos com um analisador de cabeçalhos de email para rastrear a origem do ataque.

Checklist de prevenção anti-phishing: 6 reflexos para não cair mais em golpes

Como evitar cair no golpe novamente?

Passe o mouse sobre cada link antes de clicar para ver a URL real. No celular, mantenha o dedo pressionado. Se o domínio não corresponde ao remetente legítimo, é phishing. Para uma análise aprofundada, copie a URL e cole em um scanner de phishing.

Ative o 2FA em todos os lugares

A autenticação em dois fatores torna suas contas resistentes ao phishing mesmo se o invasor obtiver sua senha. Ative-a em todos os serviços que oferecem essa opção, começando pelo seu email principal (é a chave de recuperação de todas as suas outras contas).

Para administradores: implemente DMARC em modo restrito

Se você gerencia um domínio, SPF, DKIM e DMARC impedem que invasores falsifiquem seu domínio em campanhas de phishing. Uma política DMARC em reject bloqueia os emails que falsificam seu domínio antes que cheguem aos destinatários. Verifique sua configuração com um verificador DMARC.

FAQ

É possível ser hackeado apenas clicando em um link?

Um simples clique pode ser suficiente se seu navegador ou sistema não estiver atualizado (ataque por drive-by download). Com um navegador e sistema atualizados, o risco de infecção por um simples clique é baixo. O principal perigo vem da digitação de credenciais no site de phishing ou da abertura de um anexo malicioso.

É preciso trocar todas as senhas após clicar em um link de phishing?

Se você não digitou nada no site, não é necessário trocar todas as suas senhas. Troque apenas a senha do serviço imitado pelo phishing, por precaução. Se você digitou credenciais, troque a senha do serviço em questão e de qualquer outro serviço que use a mesma senha.

Meu celular pode ser infectado por um link de phishing?

Os smartphones são menos vulneráveis que os computadores a drive-by downloads graças ao sandboxing dos aplicativos. O principal risco no celular é a coleta de credenciais por meio de uma página de login falsa. Verifique se nenhum aplicativo desconhecido foi instalado e faça um scan antivírus mobile.

Quanto tempo um hacker tem depois que cliquei?

As credenciais roubadas costumam ser exploradas nos minutos seguintes à digitação, especialmente para contas bancárias. Para emails e redes sociais, o invasor pode esperar dias antes de agir. Troque suas senhas o mais rápido possível: cada minuto conta.

Como saber se meu computador foi infectado após um clique?

Faça um scan antivírus completo. Monitore sinais de infecção: lentidão incomum, pop-ups intrusivos, programas desconhecidos na inicialização, conexões de rede suspeitas. Uma ferramenta como o Gerenciador de Tarefas (Windows) ou o Monitor de Atividade (macOS) permite identificar processos anormais.

O que fazer se dei meu número de cartão de crédito?

Ligue para seu banco imediatamente para solicitar o bloqueio do cartão. Monitore seus extratos bancários por pelo menos 30 dias. Denuncie a fraude nas plataformas oficiais do seu país. Se cobranças fraudulentas aparecerem, conteste-as junto ao seu banco dentro do prazo legal.

Um antivírus é suficiente para me proteger após um clique?

Um antivírus detecta a maioria dos malwares conhecidos, mas não as páginas de phishing que não baixam nada. A proteção depende de um conjunto de medidas: antivírus atualizado, navegador atualizado, 2FA ativado, vigilância com links. Nenhuma solução única cobre todos os riscos.

Como denunciar um email de phishing?

Encaminhe o email suspeito para as plataformas de denúncia do seu país (como signal-spam.fr na França ou reportphishing@apwg.org internacionalmente). Na empresa, use o botão "Reportar phishing" do seu cliente de email ou encaminhe para sua equipe de segurança. Nunca responda diretamente ao email suspeito.

Glossário

  • Drive-by download: técnica de infecção em que um malware é baixado e executado automaticamente ao visitar um site, sem ação do usuário.
  • 2FA (autenticação em dois fatores): método de segurança que exige duas provas de identidade distintas (senha + código temporário) para acessar uma conta.
  • C2 (Command and Control): servidor remoto usado por um invasor para controlar um malware instalado em uma máquina comprometida.
  • EDR (Endpoint Detection and Response): solução de segurança que monitora os terminais (PCs, servidores) para detectar e responder a ameaças em tempo real.
  • SIM swap: ataque que consiste em transferir o número de telefone de uma vítima para um chip SIM controlado pelo invasor, para interceptar SMS de verificação.
  • Threat intelligence: inteligência de ameaças, bases de dados de links e domínios maliciosos atualizadas continuamente.

Verifique um link suspeito agora: use nosso verificador de URL de phishing para analisar qualquer URL contra 4 bases de threat intelligence em segundos.

Guias de phishing relacionados

  • Como reconhecer um e-mail de phishing em 2026
  • Google Safe Browsing, URLhaus, PhishTank, VirusTotal: como funcionam as bases de threat intelligence (em breve)
  • As tendências de phishing 2025-2026: estatísticas APWG e novas técnicas (em breve)

Fontes

Artigos relacionados