What's the most common type of phishing email?

Package delivery scams (USPS, FedEx, UPS impersonation) and account verification scams (Amazon, PayPal, banks). These are common because almost everyone has packages and shopping accounts. Holiday shopping season sees a massive spike in delivery scams.

How do I report a phishing email?

Three places: (1) Forward to the impersonated company — most have anti-phishing addresses (Amazon: stop-spoofing@amazon.com, PayPal: phishing@paypal.com). (2) Report to FTC at ReportFraud.ftc.gov. (3) Mark as 'phishing' in Gmail/Outlook to help filters catch future emails.

Are scam emails just an inconvenience or actually dangerous?

Actually dangerous. Phishing leads to: stolen credentials, financial fraud, identity theft, malware infection, ransomware. Clicking one wrong link can cost thousands of dollars and months of recovery. Take phishing seriously — it's not just spam.

Why do I get so many phishing emails?

Email addresses are widely available through: data breaches (your email was leaked), public records (business emails), purchased lists (some companies sell customer data), and random generation (scammers guess common emails). Reducing them: use throwaway emails for non-essential signups, never confirm 'unsubscribe' on suspicious emails.

Should I click 'unsubscribe' on suspicious emails?

No. Clicking unsubscribe confirms your email is active, often resulting in MORE phishing. Instead: mark as phishing/spam in your email client. Block the sender. Move to trash without opening. For legitimate but unwanted emails from real companies, unsubscribe is fine — for suspicious emails, never.

Can I tell who sent a phishing email?

Sometimes. Email headers contain technical info about origin. In Gmail: click the three dots → 'Show original.' Headers show: actual IP address of sender, server routing, authentication results. Most casual users won't decode this, but it can be valuable evidence for fraud reports.

Are phishing emails getting harder to spot?

Yes. AI-generated phishing is more polished — better grammar, more personalized, even using your real name from breaches. Defense: verify sender domains exactly, hover over links before clicking, never enter info from email links. Open official apps directly when in doubt.

What's smishing and vishing?

Smishing = SMS phishing (text message scams). Vishing = voice phishing (phone call scams). Same tactics as email phishing, different channels. Common: 'package delivery failed' texts, 'fraud alert' calls from 'your bank.' Same defense: verify by contacting the real company directly using official phone numbers.

Should I install antivirus software?

Modern Windows and macOS include free built-in protection (Microsoft Defender, XProtect) that's generally sufficient. Adding paid antivirus like Norton or McAfee adds minimal benefit and significant cost. Free alternatives that work: Malwarebytes (on-demand scanner), Bitwarden (password manager), Nudge (URL trust scores).

Can my email be hacked from just opening a phishing email?

Just opening, in modern email clients (Gmail, Outlook): very low risk. The danger is clicking links or opening attachments. Modern browsers and email clients block most automatic threats from just opening. But: if you open and reply with info, or click links, you can be compromised.

What if I'm not sure whether an email is real?

Don't click anything in the email. Open the official app or website directly (type the URL yourself) and check your account there. If there's a real issue, it'll be visible in the app. If not, the email was phishing. This single habit prevents 90%+ of phishing damage.

Is Nudge helpful against phishing emails?

Indirectly. Nudge doesn't scan emails, but the moment you click a link from a phishing email, Nudge identifies the destination as suspicious before you enter any info. Free Chrome extension, no signup, no data collection. Real-time URL trust scores prevent phishing damage.

Como reconhecer e-mails de phishing

Um guia gratuito para detectar e-mails falsos de confirmação de compras, fraudes de entrega de pacotes e phishing em 2026 - construído para todos com uma caixa de entrada.

Resposta rápida (30 segundos)

Os e-mails de phishing geralmente têm estas palavras:

Domínio do remetente não corresponde exatamente à marca real (amaz0n.com vs amazon.com)
Ameaças urgentes: 'a conta será excluída em 24 horas'
Saudações genéricas como "Querido Cliente" em vez de seu nome
Links que se deslocam para URLs diferentes dos exibidos
Erros de ortografia ou gramática
Anexos suspeitos (.zip, .exe, PDFs inesperados)
Pedidos de senhas, números completos de cartão ou códigos de login
Logotipos ou branding que parecem um pouco

Linha de fundo: Quando em dúvida, abra o aplicativo oficial diretamente em vez de clicar em links de e-mail.

Por que isso importa

Os e-mails de phishing são a maneira mais comum de os golpistas roubarem credenciais e dinheiro.Mesmo as pessoas experientes em tecnologia se apaixonam por eles – o melhor phishing agora usa cópia gerada por IA, logotipos perfeitos e detalhes personalizados de violações de dados.Em 2024, o e-mail foi a maneira mais comum de os consumidores relataram ser contactados por golpistas, com bilhões em perdas ligadas a campanhas de phishing.

A boa notícia: Praticamente todos os e-mails de phishing têm. Uma vez que você sabe o que procurar, você os encontrará em segundos.Este guia dá-lhe 9 sinais específicos para verificar antes de clicar em qualquer coisa em sua caixa de entrada.

Bandeiras vermelhas comuns para observar

Estes são os padrões específicos que os golpistas usam. Se você encontrar 2 ou mais, vá embora.

O domínio do remetente tem letras ou palavras adicionais (amaz0n.com, amazon-deals.com)
A saudação é genérica (“Querido Cliente” em vez do seu nome)
Ameaças com prazos
Links flutuam para URLs diferentes do que os exibidos
Anexos suspeitos (especialmente .zip, .exe, .pdf com nomes incomuns)
Pedidos de senhas, números completos de cartão de crédito ou códigos de login
Erros de ortografia ou gramática
Logos ou branding que parecem um pouco errados
Responder a um endereço diferente do remetente
E-mail sobre um pedido ou conta que você não tem
Links suspeitos encurtados via bit.ly, tinyurl, etc.
O e-mail chegou na pasta de spam (um sinal forte)

Exemplos do mundo real

Esses padrões reais de fraude estão acontecendo agora - conhecê-los ajuda você a detectá-los.

Exemplo 1: "Verificação de pedidos da Amazon" Phishing

Assunto: 'URGENTE: Confirme o seu pedido recente na Amazon #847291.' Envio: 'orders@amazon-verify.co' (não @amazon.com). Corpo: 'O seu pedido requer verificação. Clique aqui para confirmar ou sua conta será suspensa.' Todas as 9 bandeiras vermelhas presentes. A verdadeira Amazon nunca envia e-mails de "verificação necessária ou conta suspensa".

Exemplo 2: Fake UPS 'Delivery Failed' notificação

Assunto: 'UPS Delivery Failed — Reschedule Now.' Enviador: 'no-reply@ups-deliverysystem.net' (não @ups.com). O corpo pede ao destinatário que pague $2,99 'taxa de renovação' através do formulário incluído. UPS, FedEx, USPS nunca cobram taxas para reorganizar a entrega.

Exemplo 3: Phishing de sua assinatura auditiva

Assunto: 'Audible: Pagamento falhado — cartão de atualização.' Envio: 'billing@audible-account.com' (não @audible.com). Links para 'audible-secure-login.com' (não audible.com). Capta credenciais Audible reais quando as vítimas tentam 'fixar' sua conta. Se você está preocupado com uma assinatura, abra o aplicativo oficial Audible diretamente - nunca clique em links de e-mail.

Exemplo 4: 'IRS Reembolso de Imposto' Phishing

Assunto: 'IRS: Você se qualifica para um reembolso de US $ 1.247.' Enviador: 'refunds@irs-treasury.gov' (o IRS real é @irs.gov). Pede para SSN, informações bancárias e DOB para 'processo' reembolso. O IRS nunca inicia contato via e-mail. Eles enviam apenas correio físico. Qualquer e-mail relacionado a impostos é phishing.

A solução permanente: por que o Nudge é gratuito

A proteção não deve estar por trás de um paywall.

Mas os golpistas evoluem a cada dia – novos sites, novas táticas de phishing, novas técnicas de manipulação. Você não deve se lembrar de cada bandeira vermelha cada vez que faz compras.

Nós construímos Nudge para ser a camada permanente de proteção entre você e essas fraudes. pontuações de confiança em tempo real em cada site que você visita. avisos automáticos quando algo olha fora. sem assinatura. sem conta. sem coleta de dados. As pessoas mais vulneráveis às fraudes on-line – adultos mais velhos, compradores de baixa renda, compradores pela primeira vez – são exatamente as pessoas que menos podem pagar ferramentas de segurança caras.

Grátis para sempre, sem prémios

Nenhuma informação pessoal recolhida

Nenhuma conta ou inscrição necessária

Nunca vende seus dados

Browsing permanece no seu dispositivo

Correr silenciosamente em segundo plano

Adicionar ao Chrome - Grátis

Prefere fazer isso manualmente? aqui está como

Execute estes 9 controles antes de clicar em qualquer link em qualquer e-mail - especialmente e-mails sobre pedidos, entregas ou problemas de conta.

Verifique exatamente o domínio de e-mail do remetente

Os e-mails reais da Amazon vêm de @amazon.com. Os falsos são: @amaz0n.com (zero em vez de o), @amazon-support.com (palavra extra), @amazon.co (falta .m), @support-amazon.shop (TLD diferente). Hover sobre o nome do remetente para ver o endereço de e-mail completo. Um caráter errado = phishing.

Procurar ameaças urgentes ou pressão do tempo

"Sua conta será excluída em 24 horas." "Atividade suspeita - verifique agora." "Sua encomenda é cancelada a menos que você confirme." Empresas reais não ameaçam você. Eles enviam notificações educadas, não urgentes. Urgência é projetado para contornar seu pensamento cético - reconheça como um sinal de fraude.

Veja as saudações genéricas

Os comerciantes reais usam seu nome: 'Hi John', 'Hello Sarah'. e-mails de phishing usam saudações genéricas: 'Querido Cliente', 'Querido Usuário', 'Querido Detentor de Conta.' Por que? Porque os golpistas enviam milhões de e-mails sem saber os nomes dos destinatários. (Nota: alguns phishing agora incluem nomes reais de violações de dados - isso não é um cheque impecável.)

Vá além de links sem clicar

Antes de clicar em qualquer link, deslize o mouse sobre ele (em desktop) ou long-press (em celular). O URL real aparece. Compare com o texto exibido. Link Amazon real: amazon.com/orders. Fake: amazon-verify-account.com ou bit.ly/2j3kx (link shorteners esconder destino real). URLs hover equivocados = phishing.

Verificar erros de ortografia e gramática

Empresas reais têm editores de cópia. e-mails de phishing muitas vezes têm tipos, frases incômodas, pontuação perdida ou capitalização estranha. 'Você precisa de verificação de conta imediatamente' não é como a Amazon escreve. Nota: A IA está tornando este cheque menos confiável, mas ainda pega muitas tentativas de phishing.

Seja suspeito de ataques

E-mails de compras reais raramente incluem anexos. Se uma 'confirmação de pedido' tem um anexo PDF chamado 'invoice.pdf' ou 'tracking.zip' - não abri-lo. Pode ser malware.

Rejeitar pedidos de senhas ou informações de pagamento

Nenhuma empresa legítima pede: senhas (eles nunca precisam do seu), números de cartão de crédito completos em respostas de e-mail, Números de Segurança Social ou códigos de login.Se um e-mail pede qualquer um desses - mesmo enquadrado como 'verificação' - é phishing.

Verifique os logotipos e designs da marca

Os e-mails de phishing muitas vezes usam logotipos ligeiramente errados, branding desatualizado ou imagens de baixa qualidade. Amazon, Walmart, USPS, FedEx têm um design consistente e profissional.

Verifique o endereço de resposta

Olhe para o campo "Responder a", não apenas o campo "From".Às vezes, e-mails de phishing têm uma aparência real, mas uma resposta falsa (por isso sua resposta vai para o fraudador).Em clientes de e-mail de desktop, isso é visível.No celular, toque nos detalhes do remetente para ver todos os endereços envolvidos.

O que fazer se isso já aconteceu

Se você clicou em um link de phishing ou inseriu informações:

Não entre em pânico, mas agir rapidamente. A maioria dos danos pode ser evitada se você responder rapidamente.
Mude suas senhas imediatamente de um dispositivo limpo - comece com a conta que foi phishing, em seguida, qualquer conta usando a mesma senha.
Capacitação 2FA na conta afetada e todas as contas importantes (e-mail, bancos, contas de compras primárias).
Ligue para o seu banco ou cartão de crédito Se você inseriu informações de pagamento, solicite monitoramento de fraude ou novos cartões.
Execute um scan de malware Se você clicou em um anexo (a versão gratuita do Malwarebytes é boa).
Enviar e-mails de phishing para: a marca fingida (Amazon, IRS, etc.), a FTC em ReportFraud.ftc.gov, e o Google (para phishing-report@google.com).
Contas de monitorização para 90 dias para atividades não autorizadas.

Ferramentas e recursos gratuitos

Todas as ferramentas abaixo são gratuitas. Use múltiplas para a proteção mais forte.

Navegação segura do Google

Coloque URLs em transparencyreport.google.com para verificar se conhecido-ruim.

Tenho sido apanhado (haveibeenpwned.com)

Verifique se seu e-mail / senha foi vazado em violações de dados.

Malwarebytes (grátis)

Scan para malware se você clicou em um anexo suspeito.

Bitwarden (Gestor de senhas grátis)

Gerar senhas únicas para cada conta.

Authy ou o Google Authenticator

Aplicações 2FA gratuitas – muito mais seguras do que as 2FA baseadas em SMS.

Nudge (Grátis)

Alerta quando você clica em links para sites suspeitos - sem registro, sem dados.

Leitura relacionada

Deeper mergulha em marcas e categorias específicas.

Perguntas frequentes

Qual é o tipo mais comum de e-mail de phishing?

Fraudes de entrega de pacotes (USPS, FedEx, UPS) e fraudes de verificação de conta (Amazon, PayPal, bancos). Estes são comuns porque quase todo mundo tem pacotes e contas de compras.

Como denunciar um e-mail de phishing?

Três lugares: (1) Avançar para a empresa fingida - a maioria tem endereços anti-phishing (Amazon: stop-spoofing@amazon.com, PayPal: phishing@paypal.com). (2) Informe a FTC em ReportFraud.ftc.gov. (3) Marque como 'phishing' no Gmail/Outlook para ajudar os filtros a pegar e-mails futuros.

Os e-mails fraudulentos são apenas um inconveniente ou realmente perigosos?

Na verdade perigoso. Phishing leva a: credenciais roubadas, fraude financeira, roubo de identidade, infecção de malware, ransomware. Clicando em um link errado pode custar milhares de dólares e meses de recuperação.

Por que recebo tantos e-mails de phishing?

Os endereços de e-mail estão amplamente disponíveis através de: violações de dados (o seu e-mail foi vazado), registros públicos (e-mails de negócios), listas compradas (algumas empresas vendem dados de clientes) e geração aleatória (os golpistas adivinham e-mails comuns).

Devo clicar em "desativar" em e-mails suspeitos?

Não. Clicando em desativar confirma que seu e-mail está ativo, muitas vezes resultando em MAIS phishing. Em vez disso: marque como phishing/spam em seu cliente de e-mail. Bloqueie o remetente. Mova-se para o lixo sem abrir. Para e-mails legítimos mas indesejados de empresas reais, desativar é bom - para e-mails suspeitos, nunca.

Posso saber quem enviou um e-mail de phishing?

Às vezes. cabeçalhos de e-mail contêm informações técnicas sobre a origem. No Gmail: clique nos três pontos → 'Mostrar o original.' cabeçalhos mostram: endereço IP real do remetente, roteamento do servidor, resultados de autenticação. A maioria dos usuários casual não vai decodificar isso, mas pode ser uma evidência valiosa para relatórios de fraude.

Os e-mails de phishing estão ficando mais difíceis de detectar?

Sim. o phishing gerado pela IA é mais polido – melhor gramática, mais personalizado, mesmo usando seu nome real de violações. Defesa: verifique os domínios do remetente com precisão, passe por links antes de clicar, nunca insira informações de links de e-mail.

O que é esfregar e esfregar?

Smishing = SMS phishing (fraudes de mensagens de texto). Vishing = phishing de voz (fraudes de chamadas telefônicas). As mesmas táticas como e-mail phishing, canais diferentes. Comum: 'entrega de pacotes falhou' textos, 'aviso de fraude' chamadas de 'seu banco.' A mesma defesa: verificar contatando a empresa real diretamente usando números de telefone oficiais.

Preciso instalar um software antivírus?

O Windows moderno e o macOS incluem proteção integrada gratuita (Microsoft Defender, XProtect) que geralmente é suficiente.A adição de antivírus pago como Norton ou McAfee adiciona benefícios mínimos e custos significativos. Alternativas gratuitas que funcionam: Malwarebytes (escaneador on-demand), Bitwarden (gerente de senhas), Nudge (pontuações de confiança de URLs).

Meu e-mail pode ser hackeado apenas abrindo um e-mail de phishing?

Basta abrir, em clientes de e-mail modernos (Gmail, Outlook): muito baixo risco. O perigo é clicar em links ou abrir anexos. navegadores modernos e clientes de e-mail bloqueiam a maioria das ameaças automáticas de apenas abrir. Mas: se você abrir e responder com informações, ou clicar em links, você pode ser comprometido.

E se eu não tiver certeza se um e-mail é real?

Não clique em nada no e-mail. Abra o aplicativo ou site oficial diretamente (digite o URL você mesmo) e verifique sua conta lá. Se houver um problema real, ele será visível no aplicativo. Este único hábito previne 90% + de danos de phishing.

Nudge é útil contra e-mails de phishing?

Indirectamente. Nudge não verifica e-mails, mas no momento em que você clica em um link de um e-mail de phishing, Nudge identifica o destino como suspeito antes de inserir qualquer informação.

Proteção em tempo real enquanto navega

Nudge mostra uma pontuação de confiança em cada site que você visita, automaticamente. não mais lembrando cada bandeira vermelha. extensão gratuita do Chrome e do Firefox – proteção que não deve estar por trás de um paywall.

Livre para sempre

Nenhuma informação pessoal recolhida

Nenhuma conta necessária

Nunca vendemos seus dados

Browsing permanece no seu dispositivo

Correr silenciosamente em segundo plano

Adicionar ao Chrome - Grátis