5 Sinais de Phishing no WhatsApp que Você Precisa Conhecer

O WhatsApp é o aplicativo de mensagens mais usado no Brasil, com mais de 147 milhões de usuários. Essa popularidade o transforma no canal preferido dos golpistas digitais. Segundo dados da Polícia Civil, em 2025 mais de 60% dos golpes digitais começaram com uma mensagem no WhatsApp.

O phishing por WhatsApp funciona porque explora a confiança: recebemos uma mensagem que parece vir do nosso banco, do PIX ou de uma empresa de delivery. A mensagem parece legítima, tem o logo correto e nos pressiona a agir rápido. Mas por trás há um link que nos leva a uma página falsa projetada para roubar nossas credenciais.

1. Urgência e pressão artificial

A primeira e mais eficaz técnica de phishing é criar um senso de urgência. Os golpistas sabem que quando sentimos pressão, tomamos decisões sem pensar. As mensagens típicas dizem:

• "Sua conta será bloqueada em 2 horas se não verificar seus dados"
• "Verificação imediata necessária — seu acesso está em risco"
• "Pagamento pendente de R$890 — confirme agora ou será cancelado"
• "Detectamos um acesso não autorizado à sua conta"

Bancos como Itaú, Bradesco, Nubank e todos os bancos brasileiros têm protocolos de comunicação que não incluem ameaças de bloqueio imediato por mensagem. Se você receber uma mensagem que gere urgência, respire fundo e verifique por outros canais antes de agir.

2. Links suspeitos e URLs enganosas

O coração do phishing é o link malicioso. Os golpistas usam várias técnicas para esconder o verdadeiro destino:

• URLs encurtadas: bit.ly/xyz123, cutt.ly/abc — escondem o destino real
• Typosquatting: nubank-seguro.com, itau-verificacao.com, bradesco-bonus.com
• Subdomínios enganosos: itau.ejemplo.com — o domínio real é "ejemplo.com", não Itaú
• TLDs de alto risco: domínios terminados em .buzz, .clic, .top, .xyz — usados massivamente em golpes
• Parâmetros suspeitos: URLs com ?s=wa ou ?s=ms que identificam a campanha

3. Erros gramaticais e ortográficos

Mensagens de phishing frequentemente contêm erros que revelam sua origem fraudulenta:

• Erros de ortografia em palavras-chave
• Gramática incorreta ou frases que não soam naturais
• Uso inconsistente de maiúsculas e minúsculas
• Emojis excessivos ou inadequados para um banco
• Traduções literais do espanhol ou inglês

Itaú, Bradesco, Nubank e todas as instituições financeiras brasileiras têm equipes de comunicação profissional que revisam cada mensagem. Uma mensagem com erros ortográficos de um suposto banco é quase certamente um golpe.

Porém, os golpistas estão melhorando. Com a ajuda de inteligência artificial, muitas mensagens atuais estão bem escritas. A ausência de erros já não é garantia de legitimidade — mas sua presença é garantia de fraude.

4. Solicitações de dados sensíveis

• Senhas — nenhum banco pede senhas por chat
• Códigos de verificação (OTP) — se alguém pede um código que você recebeu por SMS, é golpe
• Número do cartão de crédito — os bancos já têm esses dados
• CVV ou data de validade — nunca são solicitados por mensagem
• Fotos do seu RG/CPF — bancos verificam identidade em agência ou por videochamada oficial

5. Números desconhecidos e perfis falsos

Empresas legítimas NUNCA escrevem de números pessoais do WhatsApp:

• Bancos usam números curtos de SMS (5 dígitos), não WhatsApp pessoal
• Nubank contacta dentro do app, não por WhatsApp externo
• Empresas de delivery usam canais oficiais do próprio app

Como verificar se um link do WhatsApp é seguro

1. Não clique — copie o link sem abrir
2. Verifique o remetente — busque o número no Google ou no site oficial do banco
3. Analise o link em Expandir.link — você receberá um relatório completo
4. Denuncie a mensagem no WhatsApp > Contato > Denunciar spam
5. Bloqueie o número para evitar futuras tentativas