Receber uma notificação sobre um vazamento de dados já foi algo raro. Hoje, com as incidentes batendo recordes, esses avisos deixaram de ser surpresa. Só nos Estados Unidos, foram registradas 3.322 ocorrências no ano passado, o que resultou em quase 280 milhões de notificações enviadas por e-mail às vítimas. Na Europa, os incidentes diários cresceram 22% em relação ao ano anterior, chegando a uma média de 443 por dia em 2025.

No Brasil, segundo dados do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), foram contabilizadas 18.092 notificações de incidentes de segurança e vulnerabilidades em 2025. O volume representa um aumento de 21% em relação a 2024, quando foram registradas 14.921 ocorrências. Com esse crescimento, também aumenta o número de comunicações enviadas aos usuários sobre esses incidentes, impulsionado tanto pelo avanço da digitalização quanto pela obrigatoriedade de notificação prevista na Lei Geral de Proteção de Dados.

Esse cenário abre cada vez mais espaço para golpistas. Eles sabem que muita gente está atenta a esse tipo de aviso e que, ao receber uma notificação, pode acabar seguindo as instruções sem pensar muito.

Vale deixar claro um ponto importante: vazamentos reais acontecem todos os dias, e ignorar um alerta legítimo pode ser tão arriscado quanto clicar em um falso. O segredo é não agir no automático e aprender a diferenciar uma notificação verdadeira de uma tentativa de golpe. Reserve um momento para conhecer esse tipo de fraude e você vai estar mais preparado quando a próxima mensagem chegar à sua caixa de entrada.

Como funcionam os golpes que simulam notificações de vazamento de dados?

Existem duas táticas principais:

  • Os golpistas esperam acontecer um vazamento real e aproveitam a repercussão para enviar notificações falsas. Nesse cenário, é mais provável que as vítimas acreditem no golpe, já que ficam esperando um aviso legítimo.
  • Os criminosos inventam um vazamento que nunca existiu e disparam uma notificação falsa com supostos detalhes do incidente. Normalmente, a mensagem se passa por uma marca conhecida e popular para parecer relevante e gerar confiança. Em outros casos, os golpistas podem se passar pela equipe de TI ou pelo setor de tecnologia da própria empresa da vítima.

Em ambos os casos, os golpistas estão recorrendo cada vez mais a kits de phishing e ferramentas de inteligência artificial para automatizar e aprimorar a criação dessas notificações falsas. A IA é especialmente eficaz para gerar mensagens muito parecidas com as reais, no idioma local e com o mesmo tom e estilo. Também é comum incluírem logotipos e elementos visuais oficiais para reforçar a aparência de legitimidade.

Tudo isso pode ser feito em questão de minutos, o que permite disparar notificações falsas em massa logo após a divulgação de um vazamento de dados, ou até mesmo com base em um incidente completamente inventado.

O objetivo final pode ser te enganar para que você clique em um link malicioso ou abra um anexo perigoso, o que pode instalar um malware projetado para roubar informações. Em outros casos, a mensagem serve como pretexto para coletar seus dados pessoais, financeiros ou até suas senhas.

Como identificar os sinais de alerta?

As notificações falsas costumam ser fáceis de reconhecer se você souber o que observar. Fique atento a estes sinais:

  • Solicitação de ação imediata: os golpistas usam técnicas clássicas de engenharia social para te pressionar a compartilhar informações pessoais ou clicar em links maliciosos. Isso geralmente envolve mensagens alarmistas, dizendo que seus dados estão em risco caso você não aja rapidamente, como trocar uma senha ou confirmar dados pessoais.
  • Remetente de e-mail incomum: é comum falsificarem o endereço do remetente para parecer que a mensagem vem de uma organização legítima. Fique atento a erros no domínio e verifique o endereço real passando o cursor sobre o remetente.
  • Erros de ortografia e gramática: embora isso seja menos frequente hoje, já que muitos criminosos usam IA generativa, ainda pode servir como um sinal útil em uma checagem inicial.
  • Links e anexos suspeitos: muitos desses e-mails contêm links para sites de phishing criados para roubar dados pessoais ou financeiros, ou trazem anexos que parecem oficiais, mas instalam malware.
  • Pouca informação específica: empresas que realmente sofreram um vazamento costumam incluir dados concretos, como parte das suas informações de conta. Já os golpistas não têm acesso a esses dados, então as mensagens tendem a ser vagas e genéricas.

Como se manter protegido

Entender quais sinais observar é o primeiro passo para evitar golpes relacionados a vazamentos de dados. Se algo não parecer totalmente confiável, não tenha pressa. Pare um momento e avalie a situação.

Se você receber uma notificação, sempre verifique diretamente com a fonte oficial, sem responder ao e-mail nem usar os contatos informados na própria mensagem. Acesse sua conta pelo site oficial da empresa ou entre em contato por canais verificados para confirmar se o vazamento é real.

Recursos de proteção de identidade presentes em muitas soluções de segurança confiáveis, assim como serviços como o HaveIBeenPwned.com, podem ser uma ferramenta adicional útil para checar se seus dados foram comprometidos.

Reduza ainda mais o risco utilizando senhas fortes e únicas, armazenadas em um gerenciador de senhas, e ativando a autenticação multifator (MFA). Assim, mesmo que alguém consiga suas credenciais, não será fácil acessar suas contas.

Também é importante contar com uma solução robusta de segurança de e-mail de um fornecedor confiável, de preferência com detecção baseada em IA para bloquear tentativas de phishing e malware.

Se você foi vítima, aja agora

Se você suspeita que caiu em um golpe, é fundamental agir rápido:

  • Troque todas as senhas que você possa ter compartilhado, em todos os serviços onde as utiliza. Um gerenciador de senhas é a melhor opção para manter credenciais únicas.
  • Ative a autenticação multifator (MFA) em todas as contas sensíveis.
  • Execute uma verificação de malware com um software de segurança confiável.
  • Se você compartilhou informações financeiras, entre em contato imediatamente com seu banco e solicite o bloqueio de cartões, se necessário. No Brasil, muitos bancos também permitem contestar operações pelo app.
  • Fique atento ao Pix: se houve transferência indevida, comunique o banco o quanto antes para acionar o Mecanismo Especial de Devolução (MED).
  • Monitore regularmente suas contas para identificar movimentações suspeitas.
  • Registre um boletim de ocorrência, de preferência na Delegacia Eletrônica do seu estado.
  • Também é possível denunciar ao Procon e à Senacon, além de reportar incidentes envolvendo dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD), conforme previsto na LGPD.

À medida que as notificações sobre vazamentos de dados se tornam mais comuns, existe o risco de começarmos a ignorá-las ou confiar automaticamente em qualquer aviso que chega por e-mail. Mesmo que seja incômodo, verificar essas mensagens com atenção é essencial.

Isso não apenas ajuda a evitar fraudes, mas também garante que você dê a devida importância às notificações que realmente são legítimas.