How can attackers create such perfect copies of legitimate emails?

Attackers obtain legitimate emails through several methods: compromising email accounts to access sent messages, intercepting emails through network vulnerabilities, or using publicly available information from data breaches. Once they have a genuine email, they use simple copy-paste techniques to recreate it exactly, only modifying the embedded links or attachments. Modern email design tools make it trivial to replicate professional email templates with perfect accuracy.

Why don't spam filters catch clone phishing emails?

Clone phishing emails often bypass spam filters because they contain legitimate content, proper formatting, and accurate branding from real organizations. The only malicious element is typically a modified link or attachment, which filters may not detect if the destination website is newly created and not yet blacklisted. Additionally, if the email comes from a compromised legitimate account, it passes authentication checks like SPF and DKIM that filters rely on to identify spoofed messages.

If I clicked a link but didn't enter any information, am I still at risk?

Simply clicking a link in a clone phishing email can still pose risks, though less severe than providing credentials. The malicious website may attempt drive-by downloads of malware, track your IP address and browser information, or use exploits targeting browser vulnerabilities. Immediately run anti-malware scans, clear your browser cache and cookies, and monitor your accounts for unusual activity. Change passwords as a precaution if the link led to a fake login page, even if you didn't submit information.

How quickly do I need to act if I realize I fell for a clone phishing attack?

Act within minutes if possible. Immediately change the password for any account where you entered credentials, starting with your email account since attackers often use compromised email to reset other passwords. Enable multi-factor authentication on all affected accounts. Contact your bank or credit card company if you provided financial information. For work-related incidents, notify your IT security team immediately so they can secure systems and alert other potential targets. The faster you respond, the more you can limit the damage.

Can clone phishing happen with text messages or social media, or just email?

Clone phishing primarily occurs through email because attackers need access to previous communications to create convincing duplicates, which is easier with email interception. However, similar techniques called "smishing" (SMS phishing) can clone text messages from banks or service providers, and social media messages can be duplicated if an attacker compromises an account. The core technique of copying legitimate communications and modifying links works across platforms, though email remains the most common vector due to its widespread business use and technical vulnerabilities.

Alto risco Perda média: $2,000 Duração típica: 1-3 days

Phishing de Clone: Quando Emails Legítimos Viram Perigosos

O phishing de clone é um ataque sofisticado onde cibercriminosos interceptam ou recriam emails legítimos de organizações confiáveis, enviando cópias quase idênticas com links ou anexos maliciosos. Diferentemente do phishing tradicional que cria emails falsos do zero, o phishing de clone aproveita a credibilidade de comunicações reais que você já recebeu ou espera receber. Os atacantes geralmente monitoram o tráfego de emails, duplicam uma mensagem genuína do seu banco, empregador ou provedor de serviços, e substituem links legítimos por maliciosos que levam a sites de roubo de credenciais ou downloads de malware. Esta técnica cresceu 35% ano a ano segundo o Relatório de Crime na Internet do FBI de 2023, com perdas médias de R$ 10.000 por vítima. O ataque é particularmente eficaz porque o email clonado geralmente chega pouco tempo após o legítimo, aparece na mesma conversa de email e contém branding, logos e mensagens idênticas. Ataques de phishing de clone frequentemente visam profissionais de negócios durante processamento de faturas, solicitações de reset de senha e notificações de atualização de software. O perigo do phishing de clone reside na exploração de relacionamentos de confiança estabelecidos. Quando você recebe o que parece ser uma mensagem de acompanhamento do seu departamento de TI ou um segundo aviso da sua operadora de cartão de crédito, sua vigilância é naturalmente menor do que com comunicações inesperadas. Os atacantes exploram essa vulnerabilidade psicológica, sabendo que os destinatários têm mais probabilidade de clicar em links em mensagens que parecem continuar conversas legítimas. A Comissão Federal de Comércio relatou que esquemas de comprometimento de email empresarial envolvendo phishing de clone resultaram em perdas superiores a R$ 13 bilhões em 2023, tornando-o uma das formas mais custosas de fraude cibernética.

Táticas comuns Como identificar Como se proteger Casos reais Onde denunciar

Táticas comuns

• Interceptar emails legítimos através de contas de email comprometidas ou ataques man-in-the-middle, permitindo que os atacantes vejam comunicações genuínas antes de cloná-las com modificações maliciosas.
• Criar cópias idênticas de emails de remetentes confiáveis como bancos, empregadores ou provedores de serviços, substituindo apenas os links ou anexos incorporados enquanto mantêm todo o outro conteúdo, branding e formatação inalterados.
• Cronometrar emails clonados para chegar dentro de horas ou dias da mensagem legítima, frequentemente alegando ser um acompanhamento, correção ou atualização urgente que requer ação imediata.
• Falsificar endereços de remetente para parecer que o email clonado vem da mesma fonte legítima, usando técnicas como manipulação do nome de exibição ou domínios com aparência similar.
• Incorporar links maliciosos que redirecionam para páginas de roubo de credenciais projetadas para parecer idênticas aos sites legítimos, capturando nomes de usuário e senhas quando as vítimas tentam fazer login.
• Usar contas de email comprometidas de colegas, parceiros ou contatos conhecidos para enviar mensagens clonadas, fazendo o ataque parecer que se origina de dentro de redes confiáveis e aumentando a credibilidade.

Como identificar

Receber emails duplicados ou quase duplicados sobre o mesmo tópico em um curto período de tempo, especialmente se alegarem que a mensagem anterior continha um erro ou requer ação urgente.
Notar pequenas discrepâncias em endereços de email do remetente, como caracteres extras, números ou domínios com aparência similar que diferem em uma letra da fonte legítima.
Encontrar links no email que, quando passados sobre, mostram URLs que não correspondem ao domínio legítimo da organização ou redirecionam através de URLs encurtadas desconhecidas ou endereços IP.
Detectar urgência inesperada em mensagens de acompanhamento que alegam que sua conta será suspensa, pagamento foi recusado ou verificação imediata é necessária, quando a comunicação original não tinha tal urgência.
Observar pequenas inconsistências de formatação, mudanças incomuns de fonte ou pequenas alterações em logos ou assinaturas que não estavam presentes em emails legítimos anteriores do mesmo remetente.
Receber solicitações de reset de senha, atualizações de faturas ou notificações de envio que você não iniciou, especialmente se chegarem logo após receber uma comunicação legítima similar.

Como se proteger

Verifique emails suspeitos entrando em contato com o remetente através de um canal de comunicação separado e obtido independentemente, como um número de telefone do site oficial, nunca usando informações de contato do email questionável.
Digite manualmente URLs de sites diretamente no seu navegador em vez de clicar em links em emails, especialmente para contas bancárias, email ou outros sistemas sensíveis que exigem credenciais de login.
Ative autenticação multifatorial em todas as contas críticas incluindo email, banco e sistemas de trabalho, o que impede que os atacantes acessem contas mesmo se obtiverem sua senha através de phishing de clone.
Passe o cursor sobre todos os links antes de clicar para inspecionar a URL de destino real, e desconfie de qualquer link que não leve ao domínio legítimo da organização ou use encurtadores de URL.
Implemente regras de filtro de email e software de segurança que detectem endereços de remetente falsificados, sinalizem emails externos alegando ser de fontes internas e avisem sobre emails com características suspeitas.
Estabeleça procedimentos de verificação com sua organização para transações financeiras, mudanças de faturas e solicitações sensíveis que exigem confirmação através de um segundo método de comunicação antes de tomar ação.

Casos reais

Um pequeno empresário recebeu o que parecia ser um segundo aviso de seu fornecedor de materiais de escritório sobre uma fatura em aberto de R$ 9.250. O email era idêntico a uma fatura legítima recebida dois dias antes, incluindo os mesmos detalhes de pedido e logo do fornecedor. A única diferença era um link para "visualizar detalhes de pagamento atualizados" que levava a um portal de pagamento falso. Após inserir suas credenciais bancárias para fazer o pagamento, o atacante esvaziou a conta corrente da empresa de R$ 62.000 antes da fraude ser descoberta.

Um funcionário de uma empresa de tecnologia recebeu um email clonado aparentando vir de seu departamento de TI, pedindo que verificasse sua conta Microsoft 365 após uma atualização de segurança. O email era uma cópia exata de um aviso legítimo de TI enviado para toda a empresa três horas antes. O funcionário clicou no link de verificação e inseriu suas credenciais em uma página de login falsa convincente. Dentro de 30 minutos, o atacante acessou a conta de email do funcionário e enviou solicitações de redirecionamento de pagamento aos clientes da empresa, resultando em R$ 235.000 em pagamentos desviados.

Um proprietário recebeu um email clonado aparentando vir de seu administrador de hipoteca, solicitando confirmação dos detalhes da conta de custódia. A mensagem chegou um dia após uma declaração legítima de análise de custódia anual. Acreditando que era um acompanhamento para garantir precisão, o proprietário clicou no link e forneceu suas credenciais de banco online. O golpista usou essas credenciais para iniciar transferências eletrônicas totalizando R$ 41.000 para contas no exterior antes do sistema de detecção de fraude do banco sinalizar a atividade suspeita.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), phishing de clone: quando emails legítimos viram perigosos is described at https://scamlens.org/pt/encyclopedia/clone-phishing.

https://scamlens.org/pt/encyclopedia/clone-phishing

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API