- Clone phishing copia e-mails legítimos e altera apenas links ou anexos para roubar dados ou instalar malware.
- Difere do phishing comum por se apoiar em mensagens reais, tornando o golpe muito mais difícil de perceber.
- Sinais como urgência exagerada, remetente ligeiramente diferente e pedidos de dados sensíveis ajudam a identificar o ataque.
- Boas práticas de verificação, antivírus, filtros de e-mail e treinamento de usuários são essenciais para reduzir o risco.
O uso massivo de e‑mail, apps de mensagens e serviços em nuvem fez explodir a quantidade de golpes digitais, e um dos mais traiçoeiros é o chamado clone phishing, ou phishing clonado. Esse tipo de ataque é especialmente perigoso porque se apoia em mensagens reais, copiadas quase ao pé da letra, e apenas altera links ou anexos para instalar malware ou roubar dados sigilosos.
Em vez de um e‑mail tosco, cheio de erros e obviamente falso, o clone phishing costuma parecer “certinho demais”, vindo supostamente de um banco, loja online, prestador de serviço ou até de um colega de trabalho. O criminoso se aproveita da confiança que você já tem naquela mensagem ou naquela empresa, replica o conteúdo e injeta o veneno: um link malicioso, um PDF adulterado ou um arquivo que instala ransomware, trojans, keyloggers e outros malwares.
O que é clone phishing e por que ele é diferente do phishing comum
Clone phishing é um tipo específico de ataque de phishing em que o invasor copia um e‑mail ou mensagem legítima e faz pequenas alterações maliciosas, normalmente trocando os links ou anexos por versões perigosas. A aparência geral da mensagem — texto, logotipos, layout, tom de voz — continua praticamente igual ao original.
No phishing tradicional, o atacante cria um e‑mail falso do zero, imitando um banco, serviço de streaming ou loja virtual, e o envia para um grande número de pessoas, na esperança de que algumas caiam no golpe. Já no clone phishing, ele começa a partir de um e‑mail 100% legítimo, que a vítima recebeu (ou espera receber), e só então faz a clonagem com os ajustes maliciosos.
Essa sutileza torna o clone phishing muito mais convincente, porque a mensagem é baseada em algo verdadeiro: um comprovante de compra, um aviso de entrega, um e‑mail de boas‑vindas, um pedido de assinatura de contrato, um boleto, um PDF para aprovação, entre outros exemplos. Frequentemente, o e‑mail clonado chega logo depois do original, com um pretexto como “esquecemos o anexo” ou “segue versão atualizada”.
O objetivo final, porém, é o mesmo de qualquer phishing: roubar credenciais de login, dados de cartões de crédito, informações pessoais (como CPF, endereço, telefone), ou instalar malware que permita o controle remoto do dispositivo, o roubo de arquivos confidenciais e a movimentação financeira indevida.
Como funciona um ataque de clone phishing na prática
Para montar um ataque de clone phishing eficiente, o criminoso primeiro precisa ter acesso a um e‑mail legítimo que sirva de modelo, seja interceptando comunicações, comprometendo contas de e‑mail ou simplesmente assinando newsletters e simulando interações com empresas.
É muito comum que o atacante invada previamente a conta de e‑mail de alguém dentro de uma organização ou de um fornecedor confiável, muitas vezes usando outro phishing anterior. Uma vez lá dentro, ele procura mensagens que contenham anexos ou links importantes, como contratos, formulários de pagamento, instruções de redefinição de senha ou links de rastreio de encomendas.
Depois de escolher a mensagem “modelo”, o invasor faz uma cópia quase idêntica do e‑mail, reproduzindo o texto, o visual, as imagens e até o endereço de remetente (por spoofing ou uso de contas comprometidas). Em seguida, ele substitui:
- O link original por um link para um site falso, que imita o site real, mas serve apenas para capturar credenciais, dados pessoais ou instalar malware.
- O anexo legítimo por um arquivo malicioso (por exemplo, um PDF, DOCX ou ZIP contendo ransomware, trojans, rootkits ou keyloggers).
Na etapa de envio, o criminoso geralmente cria um contexto plausível, como “estamos reenviando o e‑mail com o anexo correto”, “atualizamos o documento, por favor, use esta versão” ou “corrigimos um erro no link anterior”. Como a vítima se lembra de ter recebido algo semelhante antes, tende a confiar e clicar sem desconfiar.
Ao clicar no link malicioso, a vítima é levada a um site que parece idêntico ao oficial, com logotipos, cores e layout convincentes. Lá, pode ser induzida a digitar usuário e senha, dados de cartão ou outras informações sensíveis. Se, por outro lado, ela baixar e abrir o anexo adulterado, o arquivo pode instalar silenciosamente malware em seu computador ou celular.
Em alguns casos mais avançados, o atacante intercepta uma conversa de e‑mail em andamento e injeta uma resposta clonada no meio do thread, o que deixa tudo ainda mais crível, pois a vítima está de fato esperando aquela resposta ou atualização de documento.
Clone phishing, phishing tradicional, spear phishing e whaling: qual a diferença?
Todos esses termos descrevem variações do mesmo conceito básico — enganar pessoas para obter dados ou acesso —, mas cada formato tem suas particularidades e níveis de personalização.
No phishing “genérico” de e‑mail (muitas vezes chamado de blind phishing), o atacante dispara mensagens em massa, para listas enormes de endereços. O conteúdo costuma ser padronizado, com histórias como “sua conta foi bloqueada”, “confirme seu cadastro” ou “você recebeu um reembolso”. O foco é quantidade, não sofisticação.
No spear phishing, o alvo é bem mais específico: o criminoso pesquisa informações sobre uma pessoa ou um pequeno grupo (por exemplo, um administrador de sistemas, alguém da área financeira ou de RH) e cria um e‑mail altamente personalizado, usando dados reais retirados de redes sociais, site da empresa, notícias ou vazamentos.
Whaling é uma forma de spear phishing focada em “peixes grandes” — executivos de alto escalão, diretores, CEOs, CFOs, e outras figuras estratégicas. Como essas pessoas têm acesso privilegiado a informações e sistemas, uma única conta comprometida pode causar prejuízos imensos.
O clone phishing pode ser usado tanto de forma massiva quanto direcionada, mas sempre com a característica-chave: clonar uma mensagem legítima, trocar partes específicas por itens maliciosos e aproveitar a confiança pré-existente. Ele pode ser combinado com spear phishing e whaling quando a mensagem clonada envolve um processo crítico (assinatura de contrato, liberação de pagamento, aprovação de compra, etc.).
Apesar dessas diferenças, todos esses ataques perseguem o mesmo fim: roubo de dados, fraude financeira, sequestro de arquivos (ransomware), espionagem corporativa ou simples obtenção de credenciais que depois serão revendidas ou usadas em outras invasões.
Por que o clone phishing funciona tão bem
O principal motivo do sucesso do clone phishing é o fator confiança: a mensagem parece vir de alguém que a vítima já conhece — o próprio banco, uma loja onde ela compra com frequência, o serviço de entrega que realmente está trazendo uma encomenda ou até um colega interno de TI.
Outro ponto é o “efeito déjà vu”: a pessoa tem a sensação de já ter visto aquele e‑mail antes, com o mesmo assunto, o mesmo layout e, muitas vezes, o mesmo texto. Quando recebe uma cópia muito parecida, junto com uma justificativa simples (“corrigindo anexo”, “atualização de segurança”), tende a não checar os detalhes.
Os criminosos também exploram nossa pressa diária e a tendência de clicar rapidamente em links familiares, sem analisar o endereço de e‑mail do remetente, a URL do link ou o tipo de arquivo anexado. Em ambientes corporativos, isso se agrava pela rotina corrida, pressão por metas e volume de e‑mails.
Do ponto de vista técnico, o clone phishing ainda tira proveito de limitações de filtros de spam e verificações automáticas, já que muitas vezes a mensagem passa por canais legítimos (por exemplo, resposta dentro de um thread real) ou utiliza domínios aparentemente confiáveis. Quando a empresa original usa tecnologias como SPF, DKIM e DMARC, uma cópia maliciosa enviada de fora pode falhar na autenticação, mas nem sempre os usuários ou os sistemas estão configurados para bloquear ou alertar claramente esse tipo de falha.
Além disso, kits de phishing baratos e fáceis de usar permitem que até criminosos iniciantes montem clones extremamente convincentes, com páginas em HTTPS, certificados válidos e formulários profissionais, o que torna a detecção visual ainda mais difícil.
Sinais de que um e‑mail pode ser clone phishing
Embora o clone phishing seja mais sofisticado, ainda é possível identificar pistas de que algo não está certo, principalmente quando se olha com calma para endereço de remetente, links, anexos e o próprio texto do e‑mail.
Alguns indícios recorrentes incluem pequenas variações no endereço de e‑mail do remetente, como letras trocadas, domínios parecidos, números ou caracteres estranhos (por exemplo, “@seubanco‑seguro.com” em vez de “@seubanco.com”). Às vezes, basta um hífen ou um domínio diferente (.net em vez de .com.br) para denunciar o golpe.
Outro sinal é a presença de uma urgência exagerada ou mensagens alarmistas, como “seu cartão foi bloqueado, clique agora para desbloquear”, “sua conta será encerrada em 30 minutos” ou “última chance de resgatar seu prêmio”. Esse tipo de pressão é usado para impedir que a pessoa pare e analise o conteúdo com calma.
Também vale desconfiar de e‑mails que pedem dados que a empresa normalmente não solicita por mensagem, como senha completa, PIN, número completo de cartão, CVV, código de token ou até números de documentos sensíveis. Bancos e instituições sérias não pedem esse tipo de informação por e‑mail ou SMS.
Saudações genéricas em mensagens que deveriam ser personalizadas (“Prezado cliente” em vez do seu nome), erros de gramática ou ortografia, formatação estranha, imagens distorcidas ou de baixa qualidade são outros sinais importantes. Embora muitos ataques hoje sejam bem escritos, ainda é comum encontrar pequenos deslizes.
Também é prudente prestar atenção a anexos inesperados ou com extensões suspeitas, principalmente arquivos comprimidos (ZIP, RAR) ou documentos que pedem para habilitar macros. Esses anexos são um vetor clássico para instalação de malware como ransomware, rootkits e keyloggers.
Riscos e objetivos dos criminosos ao usar clone phishing
Os hackers recorrem ao clone phishing porque é relativamente simples de implementar e pode gerar um retorno altíssimo, tanto em ataques contra pessoas físicas quanto em operações direcionadas a empresas de todos os portes.
Um dos objetivos mais comuns é obter acesso ao dispositivo da vítima, instalando malwares que permitem roubar arquivos, fotos, vídeos, contatos, senhas armazenadas no navegador e até ativar a câmera ou o microfone para espionagem.
Outro alvo é o dinheiro: dados bancários e de cartão de crédito obtidos por meio de sites clonados ou formulários falsos podem ser usados diretamente em fraudes financeiras, compras não autorizadas ou transferências, ou ainda revendidos em mercados clandestinos na dark web.
Em cenários corporativos, o invasor pode buscar monitorar o comportamento do usuário dentro da rede da empresa, observando e‑mails internos, documentos confidenciais e sistemas críticos, o que abre espaço para golpes de maior escala, vazamento de dados, espionagem industrial e chantagem.
O roubo de informações particulares, como dados pessoais, credenciais de acesso a serviços de nuvem e aplicativos corporativos, também é um dos grandes objetivos. A partir de uma conta comprometida, o ataque pode avançar em cadeia: o criminoso usa aquele e‑mail para enviar novos clones, agora com aparência ainda mais convincente, atingindo colegas, clientes e parceiros.
Por ser um tipo de crime cibernético relativamente fácil de montar, combinando engenharia social com ferramentas prontas, o clone phishing tornou‑se bastante comum no Brasil e no mundo, acompanhando o crescimento das transações online e a falsa sensação de segurança que muitas pessoas ainda têm ao realizar operações “do sofá de casa”.
Exemplos práticos de clone phishing
Um exemplo clássico é o golpe que imita um banco ou uma grande loja virtual, enviando um e‑mail muito parecido com os comunicados oficiais, com o mesmo logotipo, cores e linguagem. A mensagem diz que houve um problema no pagamento ou que a conta será bloqueada, e pede que o cliente clique em um link para “resolver rapidamente”.
Ao clicar, a vítima é levada a um site que parece 100% legítimo, mas que, na verdade, foi montado pelos criminosos. Lá, ela insere login, senha, número de cartão ou outros dados sensíveis. Essas informações vão direto para o atacante, que pode us‑á‑las imediatamente ou vendê‑las.
Outro cenário comum envolve e‑mails de entrega de encomendas e rastreamento de pedidos, muito explorados em épocas como Natal e grandes promoções. Se o usuário realmente está aguardando um pacote, tende a não desconfiar de um segundo e‑mail que supostamente “corrige o link de rastreio” ou “atualiza a data de entrega”.
Em ambientes empresariais, um exemplo delicado é o processo de assinatura de contratos por e‑mail, em que o cliente recebe um documento para assinar e devolve anexado. Um atacante pode interceptar essa troca ou simular uma nova versão do contrato, substituindo o PDF legítimo por um arquivo armado com malware.
Também são muito perigosos os casos em que o invasor participa de um atendimento ao cliente, mandando um e‑mail para o suporte de uma empresa. Quando o suporte responde com um documento ou link, ele pode replicar aquela resposta, trocar o anexo por algo malicioso e reenviar para outras vítimas, parecendo uma resposta rotineira e inofensiva.
Como identificar clone phishing no dia a dia
Apesar da sofisticação, existem algumas práticas simples que ajudam bastante a notar quando um e‑mail clonado não é o que parece, mesmo que ele seja muito parecido com algo que você já recebeu antes.
Um ponto básico é sempre olhar com atenção para o endereço completo do remetente, não só para o nome exibido. Golpistas costumam registrar domínios quase idênticos aos originais, com um caractere trocado, um número ou um sufixo diferente (.info, .online, etc.).
Outra prática é passar o mouse por cima dos links (sem clicar) para ver a URL real para onde eles apontam, conferindo se o domínio é exatamente o da empresa em questão e se utiliza corretamente o HTTPS. Se o link aparenta levar para algo estranho, encurtadores desconhecidos ou domínios que não batem com o oficial, é melhor não clicar.
A forma como a mensagem se dirige a você também conta muito: comunicações realmente importantes, como do banco ou do seu trabalho, em geral usam seu nome completo ou ao menos algum tipo de personalização. E‑mails genéricos, tratados como “Prezados” ou “Caro cliente”, merecem desconfiança quando prometem vantagens demais ou pedem ações sensíveis.
Preste atenção ainda à qualidade do texto e das artes: erros estranhos, frases truncadas, imagens pixeladas, logotipos fora de proporção ou com cores “meio diferentes” podem indicar que o e‑mail foi copiado de forma amadora e ajustado às pressas.
Por fim, considere se você realmente esperava aquele e‑mail ou aquela ação: se uma cobrança surgir “do nada”, ou se você não lembra de ter iniciado o processo que o e‑mail menciona (alteração de senha, atualização de cadastro, prêmio, promoção relâmpago), pare e confira por canais oficiais antes de seguir qualquer instrução.
Boas práticas para evitar cair em clone phishing
Não existe fórmula mágica à prova de falhas contra clone phishing, mas combinar boas práticas técnicas com hábitos de atenção no dia a dia reduz drasticamente as chances de cair em golpes desse tipo.
Comece adotando o hábito de não clicar em links de e‑mails para acessar serviços críticos, como bancos, carteiras digitais, lojas e plataformas corporativas. Em vez disso, digite manualmente o endereço no navegador ou use o app oficial já instalado no seu dispositivo.
Sempre que receber um e‑mail pedindo dados sensíveis ou ações importantes, procure confirmar a informação diretamente com a empresa ou pessoa, usando canais oficiais (telefone da fatura, app oficial, site digitado por você, central de atendimento) em vez de responder ao próprio e‑mail.
Use obrigatoriamente um bom antivírus e antimalware atualizados em todos os dispositivos, com verificação automática de anexos e downloads. Muitas soluções conseguem bloquear arquivos maliciosos antes mesmo que sejam abertos, reduzindo o impacto de um clique acidental.
Instalar plugins ou extensões antiphishing nos navegadores pode ser uma camada extra de defesa, pois essas ferramentas checam se a página que você está acessando está em listas negras conhecidas ou apresenta características típicas de phishing.
Empregar gerenciadores de senhas também traz um benefício indireto importante: como eles preenchem credenciais apenas em sites que correspondem exatamente ao domínio salvo, muitas vezes se recusam a inserir a senha em um site clonado, acendendo um alerta para o usuário.
Manter o sistema operacional, navegadores e todos os softwares atualizados ajuda a fechar brechas de segurança que podem ser exploradas por malwares instalados via clone phishing, reduzindo as chances de uma infecção se espalhar ou escalar privilégios.
Proteção contra clone phishing em empresas
No contexto corporativo, defender-se de clone phishing exige uma combinação de tecnologia, processos e treinamento contínuo, já que basta um funcionário desatento para colocar em risco toda a organização.
Um ponto crucial é contar com soluções robustas de segurança de e‑mail, capazes de analisar anexos e links em busca de comportamentos maliciosos, colocar mensagens suspeitas em quarentena e usar inteligência de ameaças global para bloquear campanhas já conhecidas.
Filtros de spam configurados de forma mais restritiva, junto com autenticação de e‑mail (SPF, DKIM e DMARC) bem implementada, ajudam a reduzir a quantidade de mensagens forjadas que chegam à caixa de entrada dos colaboradores e a identificar tentativas de spoofing de domínios corporativos.
Soluções de segurança de endpoint (antivírus corporativo, EDR, XDR) e autenticação multifator (MFA) complementam essa proteção, dificultando o uso de credenciais eventualmente roubadas e detectando comportamentos suspeitos, como execução de programas desconhecidos ou conexões remotas não autorizadas.
Além da tecnologia, políticas internas claras e processos bem definidos fazem muita diferença: por exemplo, obrigar a dupla checagem para solicitações de pagamentos incomuns, exigir validação telefônica para alterações de dados bancários de fornecedores ou determinar que certas ações críticas jamais sejam executadas apenas com base em um e‑mail.
Campanhas regulares de conscientização e simulações de phishing com treinamento posterior são uma das estratégias mais eficazes para criar uma cultura de desconfiança saudável. Ao serem expostos a exemplos práticos, os funcionários aprendem a reconhecer padrões de engenharia social e ficam menos propensos a clicar por impulso.
Por fim, é fundamental que exista um procedimento simples e bem divulgado para reportar suspeitas de phishing, de forma que qualquer colaborador possa avisar rapidamente a área de segurança ou TI ao identificar um e‑mail estranho. Isso permite bloquear outros destinatários a tempo e investigar o incidente com mais profundidade.
Entender a fundo como o clone phishing funciona, quais sinais ele costuma deixar e que hábitos de navegação e e‑mail são mais seguros é hoje uma necessidade básica tanto para usuários comuns quanto para empresas. Ao combinar atenção redobrada, desconfiança diante de urgências suspeitas, validação por canais oficiais e boas camadas de proteção tecnológica, é possível reduzir bastante o espaço de manobra dos criminosos e evitar que uma simples mensagem clonada se transforme em prejuízo financeiro, vazamento de dados ou danos à reputação.
