Progresso
Awareness
1
Teoria
2
Prática
3
Resultado
1
Você acabou de cair em uma simulação de phishing
Nenhuma credencial foi coletada — isso é um treinamento oficial de segurança
Este clique foi registrado
Faz parte de uma campanha interna de conscientização autorizada pela empresa

Você interagiu com uma isca que simulou uma promoção legítima da Mondial/Aiwa. Em um ataque real, esse clique poderia redirecionar para uma página de coleta de credenciais, instalar malware ou iniciar uma transação fraudulenta. Use esta página para entender como o ataque funcionou e como evitá-lo no futuro.

Token desta sessão: 7a971c3e-7245-4e53-8b74-839f587af70e
Sinais que você não percebeu nessa isca
Urgência exagerada Oferta boa demais Redirecionamento inesperado Identidade visual copiada CTA agressivo ("Clique agora") Contexto sazonal explorado URL com subdomínio suspeito

Campanhas de phishing modernas não são mais aqueles e-mails com erros grosseiros. Elas copiam identidade visual, exploram datas comemorativas, imitam processos internos e usam domínios quase idênticos aos legítimos. Reconhecer esses sinais é a principal linha de defesa.

📖
O que é phishing — e por que funciona

Phishing é uma técnica de engenharia social que usa comunicações falsas — e-mail, SMS, WhatsApp, Teams — para enganar o destinatário e induzi-lo a revelar credenciais, clicar em links maliciosos ou executar ações prejudiciais. O termo deriva da palavra "fishing" (pesca): o atacante lança isca e espera a vítima morder.

Por que funciona
  • Explora emoções: medo, ganância, curiosidade
  • Imita marcas e processos conhecidos
  • Cria senso de urgência para anular o julgamento crítico
  • Tempo de exposição curto reduz a análise
  • Qualidade visual cada vez mais convincente
Consequências reais
  • Roubo de credenciais corporativas
  • Acesso não autorizado a sistemas internos
  • Vazamento de dados sensíveis
  • Fraude financeira em nome da empresa
  • Instalação de ransomware ou spyware
🎣
Anatomia de uma isca — exemplo real

Veja abaixo um e-mail simulado. Identifique os elementos suspeitos antes de ler as anotações.

Sinal 1: O domínio mundial-aiwa-beneficios.com não é o domínio oficial da empresa. Domínios legítimos seguem o padrão corporativo conhecido.
Sinal 2: "2 horas", "primeiros 50" — urgência fabricada para impedir que você pense antes de agir.
Sinal 3: O remetente usa domínio diferente do corporativo. Mesmo que o nome exibido pareça correto, sempre verifique o endereço completo.
🔍
Tipos de ataque que você vai encontrar
📧 E-mail Phishing

Mensagem em massa com link ou anexo malicioso. Simula bancos, empresas, RH ou promoções.

🎯 Spear Phishing

Ataque personalizado para uma pessoa específica. Usa nome, cargo e contexto real para ser mais convincente.

📱 Smishing / Vishing

Phishing via SMS (smishing) ou ligação de voz (vishing). Cada vez mais comum no ambiente corporativo.

💬 Phishing em Mensageiros

WhatsApp, Teams ou Slack são usados para enviar links maliciosos se passando por colegas ou gestores.

🖥 Página Falsa (Pharming)

Site que imita um portal legítimo para coletar credenciais. Pode ter certificado SSL e layout idêntico.

🐳 Whaling

Spear phishing direcionado a executivos e gestores para autorização de transferências ou acesso privilegiado.

Checklist: 4 passos antes de qualquer clique
1
Desacelere — a urgência é uma arma
Se a mensagem pedir ação imediata, expirar em horas ou criar medo de perder acesso, esse é exatamente o momento para parar. Attackers sabem que pressa desliga o senso crítico.
2
Inspecione remetente e domínio
Passe o mouse sobre o link sem clicar. Veja o domínio real no rodapé do navegador ou cliente de e-mail. Segurança não está no nome exibido — está no domínio completo. mkmondial.com.brmkmondial-brasil.com.
3
Confirme por canal oficial
Antes de clicar ou informar dados, confirme com o RH, gestor ou portal interno. Use o contact book da empresa — nunca o número/link da própria mensagem suspeita.
4
Reporte imediatamente
Mesmo que não tenha interagido: encaminhe a mensagem ao time de TI ou segurança. Um reporte rápido pode proteger colegas que ainda não viram o e-mail. Reportar não é "denunciar" — é parte da defesa coletiva.
🔒
Boas práticas de segurança
  • Use autenticação em dois fatores (MFA) em todas as contas corporativas
  • Nunca reutilize senhas entre sistemas internos e externos
  • Mantenha o sistema operacional e antivírus atualizados
  • Não abra anexos .exe, .zip, .doc com macros de fontes desconhecidas
  • Bloqueie a tela ao afastar do computador mesmo por 1 minuto
🚨
O que fazer se suspeitar que foi vítima
  • Não entre em pânico — ação rápida limita o dano
  • Altere imediatamente as senhas que possam ter sido expostas
  • Desconecte o equipamento da rede se suspeitar de malware
  • Notifique TI/segurança com evidências (print, cabeçalho do e-mail)
  • Não tente "resolver" sozinho — envolva a equipe responsável
Continuar para o quiz prático
2
Quiz prático — teste seus conhecimentos
5 questões de múltipla escolha · Somente uma resposta correta por questão
1
Você recebe um e-mail do RH com o assunto "Ação obrigatória: atualize seu cadastro em 2h ou perca acesso". O remetente exibe "RH Mondial" mas o endereço é rh@mondial-corp-intranet.net. Qual é o procedimento correto?
2
Ao passar o mouse sobre um link em um e-mail promocional, a barra de status do navegador mostra: http://aiwa-desconto.com/login?ref=intranet. O site exibe o logo Aiwa corretamente. Isso é suficiente para confiar?
3
Um colega te manda pelo WhatsApp: "Olha essa promoção interna, clica rápido que expira hoje! [link encurtado]" Você não esperava esse tipo de mensagem. O que você faz?
4
Você clicou em um link suspeito mas não digitou nenhuma senha. Qual deve ser a sua atitude?
5
Qual dessas afirmações sobre autenticação é correta no contexto de proteção contra phishing?

Treinamento oficial de conscientização · Mondial e Aiwa · 2026 · Painel de relatórios