Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Engenharia social (phishing e sites enganosos)
Engenharia social é o conteúdo que induz os usuários a fazer algo perigoso, como revelar informações confidenciais ou fazer o download de um software. Se o Google detectar que seu site tem conteúdo de engenharia social, o navegador Chrome poderá exibir o aviso "Site fraudulento" quando um usuário acessar o site. Para verificar se alguma página do seu site está sob suspeita de
incluir ataques de engenharia social, acesse o relatório de problemas de segurança no Search Console.
Um ataque de engenharia social é quando um usuário da Web é enganado e levado a fazer algo perigoso on-line.
Há diferentes tipos de ataques de engenharia social:
Phishing: o site engana os usuários para que revelem informações pessoais (por exemplo, senhas, números de telefone e CPF ou CNPJ). Nesse caso, o conteúdo imita a aparência e o comportamento de uma entidade confiável (como um navegador, sistema operacional, banco ou governo).
Conteúdo enganoso: o conteúdo tenta induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software, ou o conteúdo tem um anúncio que afirma falsamente que o software do dispositivo está desatualizado, levando os usuários a instalar o software indesejado.
Serviços terceirizados com identificação insuficiente: um serviço terceirizado é alguém que opera um site ou serviço em nome de outra entidade. Se você (terceiro) operar um site em nome de outra (própria) entidade sem esclarecer o relacionamento, isso pode ser sinalizado como engenharia social. Por exemplo, se você (própria entidade) administra um site de caridade que usa um site de gestão de doações (serviço de terceiros) para angariar arrecadações no seu site, o site de doações precisa identificar claramente que é uma plataforma de terceiros agindo em nome dessa instituição, ou isso poderia ser considerado engenharia social.
O recurso de Navegação segura do Google protege os usuários da Web os avisando antes de visitarem páginas que estão consistentemente envolvidas em engenharia social.
As páginas da Web apresentam engenharia social quando:
imitam a aparência ou o comportamento de uma entidade confiável (como seu dispositivo, navegador ou o próprio site);
tentam induzir você a fazer algo que só faria com uma entidade de confiança. Por exemplo, compartilhar uma senha, chamar a assistência técnica ou fazer o download de um software.
Engenharia social em conteúdo incorporado
A engenharia social também pode aparecer em conteúdo incorporado a sites não maliciosos, geralmente em anúncios. O conteúdo incorporado de engenharia social é uma violação de política por parte da página onde ele aparece.
Às vezes, o conteúdo incorporado de engenharia social fica visível para os usuários na página onde ele aparece, conforme estes exemplos. Em outros casos, o site onde ele aparece não contém anúncios visíveis, mas leva os usuários a páginas com engenharia social com pop-ups, pop-unders ou outros tipos de redirecionamento. Nos dois casos, a presença desse tipo de conteúdo incorporado de engenharia social resultará em uma violação da política da página onde ele aparece.
Eu não me envolvo com engenharia social de jeito nenhum!
Um conteúdo enganoso de engenharia social pode estar incluído em recursos incorporados na página, como imagens, anúncios ou outros componentes de terceiros. Esse tipo de conteúdo enganoso pode levar os visitantes do site a fazer o download de um software indesejado.
Além disso, hackers podem assumir o controle de sites inocentes e usá-los para hospedar ou distribuir conteúdo de engenharia social. O hacker pode mudar o conteúdo do site ou adicionar outras páginas a ele, geralmente com a intenção de levar os visitantes a compartilhar informações pessoais, como números de cartão de crédito. Consulte o relatório de problemas de segurança no Search Console e verifique se há alguma identificação de hospedagem ou distribuição de conteúdo de engenharia social presente no seu site.
Consulte nossa página Ajuda a sites invadidos, caso você acredite que seu site tenha sido invadido.
Exemplos de violações de engenharia social
Exemplos de conteúdo enganoso
Veja alguns exemplos de páginas envolvidas em práticas de engenharia social:
Pop-up enganoso destinado a induzir o usuário a instalar malwarePop-up enganoso que alega ajudar o usuário a atualizar o navegadorPágina de login falso do Google
Exemplos de anúncios enganosos
Veja alguns exemplos de conteúdo enganoso dentro de anúncios incorporados. Estes parecem ser parte da interface de uma página, e não anúncios.
Pop-up enganoso que alega que o software do usuário está desatualizadoPop-up enganoso que alega ser do desenvolvedor de FLVAnúncios disfarçados de botões de ação da página
Correção do problema
Se seu site for sinalizado por conter engenharia social (conteúdo enganoso), confira se sua página não está envolvida em nenhuma dessas práticas e siga estas etapas:
Verifique o relatório de
problemas de segurança para ver se o site está listado como tendo conteúdo enganoso (o
termo correspondente a "engenharia social" no relatório). Se o relatório contiver URLs sinalizados de exemplo, acesse
alguns dos URLs listados no relatório, mas use um computador que não esteja na rede
que veicula seu site (hackers inteligentes podem desativar os ataques se eles acreditarem que o visitante é um proprietário do site).
Se o relatório não tiver URLs de amostra e você tiver certeza de que seu site não tem
engenharia social (conteúdo enganoso),
solicite uma análise de segurança
no relatório de problemas de segurança.
Remova o conteúdo enganoso. Garanta que nenhuma das páginas do seu site tem conteúdo enganoso. Se você acredita que a Navegação segura classificou uma página da Web de maneira incorreta, informe o problema.
Verifique os recursos de terceiros incluídos no seu site. Garanta que os
anúncios, as imagens ou outros recursos incorporados de terceiros nas páginas do seu site não são enganosos.
As redes de publicidade podem alternar os anúncios exibidos nas páginas do site. Portanto, talvez seja necessário atualizar a página algumas vezes para que os anúncios de engenharia social sejam exibidos.
Alguns anúncios podem aparecer de maneiras diferentes em dispositivos móveis e em computadores desktop. Use a Ferramenta de inspeção de URL e veja o site nas visualizações para dispositivos móveis e para computadores.
Solicite uma análise. Após remover todo o conteúdo de engenharia social do seu site, solicite uma análise de segurança no relatório de problemas de segurança. Talvez essa análise leve alguns dias até ser concluída.
Diretrizes de serviços de terceiros
Se você incluir um serviço de terceiros no seu site, recomendamos atender às seguintes condições para evitar que ele receba o rótulo de engenharia social:
Em todas as páginas, o site de terceiros precisa incluir claramente a marca do terceiro, garantindo que os usuários entendam quem está operando o site. Por exemplo, incluindo a marca do terceiro no topo da página.
Em todas as páginas que tenham marcas próprias, declare explicitamente a relação entre o próprio e o terceiro e forneça um link para mais informações. Por exemplo, uma declaração como esta:
Este serviço é hospedado por Example.com em nome de Example.charities.com. Mais informações.
Uma boa diretriz de usabilidade é considerar se um usuário que visualiza a página isoladamente entende em qual site está e qual o relacionamento entre o próprio e o terceiro em todos os momentos.
Se você for um usuário do Search Console e estiver enfrentando problemas de segurança persistentes ou não corrigíveis no seu site, entre em contato com a gente.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-04 UTC."],[[["\u003cp\u003eSocial engineering attacks trick users into revealing personal information or performing dangerous actions, often by impersonating trusted entities.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Safe Browsing protects users by displaying warnings for websites identified as engaging in social engineering practices.\u003c/p\u003e\n"],["\u003cp\u003eWebsite owners can use Search Console's Security Issues report to identify and resolve social engineering issues on their sites.\u003c/p\u003e\n"],["\u003cp\u003eEmbedding third-party content, like ads, can introduce social engineering risks if the content is deceptive or leads to malicious pages.\u003c/p\u003e\n"],["\u003cp\u003eWebsites using third-party services should clearly disclose the relationship to avoid being mistakenly flagged as social engineering.\u003c/p\u003e\n"]]],["Social engineering tricks users into dangerous actions, like revealing personal data or downloading harmful software. This can occur through phishing, deceptive content, or unclear third-party services. Websites with such content may trigger browser warnings. Site owners should check the Security Issues report in Search Console for violations. Actions include removing deceptive content, ensuring third-party resources are not deceptive, and requesting a security review. Clear labeling of third-party involvement is crucial to avoid being flagged.\n"],null,["# Social Engineering (Phishing and Deceptive Sites) | Google Search Central\n\nSocial engineering (phishing and deceptive sites)\n=================================================\n\nSocial engineering is content that tricks visitors into doing something dangerous, such as\nrevealing confidential information or downloading software. If Google detects that your website\ncontains social engineering content, the Chrome browser may display a \"Deceptive site ahead\"\nwarning when visitors view your site. You can check if any pages on your site are suspected of\ncontaining social engineering attacks by visiting the Security Issues report in Search Console.\n\n[Open\nthe Security Issues Report](https://search.google.com/search-console/security-issues)\n\nWhat is social engineering?\n---------------------------\n\nA *social engineering attack* is when a web user is tricked into doing something\ndangerous online.\n\nThere are different types of social engineering attacks:\n\n- **[Phishing](https://support.google.com/websearch/answer/106318):** The site tricks users into revealing their personal information (for example, passwords, phone numbers, or social security numbers). In this case, the content pretends to act, or looks and feels, like a trusted entity --- for example, a browser, operating system, bank, or government.\n- **Deceptive content:** The content tries to trick you into doing something you'd only do for a trusted entity --- for example, sharing a password, calling tech support, downloading software, or the content contains an ad that falsely claims that device software is out-of-date, prompting users into installing unwanted software.\n- **Insufficiently labeled third-party services:** A *third-party service* is someone that operates a site or service on behalf of another entity. If you (third party) operate a site on behalf of another (first) party without making the relationship clear, that might be flagged as social engineering. For example, if you (first party) run a charity website that uses a donation management website (third party) to handle collections for your site, the donation site must clearly identify that it is a third-party platform acting on behalf of that charity site, or else it could be considered social engineering.\n\n[Google Safe\nBrowsing](https://www.google.com/transparencyreport/safebrowsing) protects web users by warning users before they visit pages that consistently\nengage in social engineering.\n\nWeb pages are considered social engineering when they either:\n\n- Pretend to act, or look and feel, like a trusted entity, like your own device or browser, or the website itself, or\n- Try to trick you into doing something you'd only do for a trusted entity, like sharing a password, or calling a tech support number, or downloading software.\n\n### Social engineering in embedded content\n\nSocial engineering can also show up in content that is embedded in otherwise benign websites,\nusually in ads. Embedded social engineering content is a policy violation for the host page.\n\nSometimes embedded social engineering content will be visible to users on the host page, as\nshown in the [examples](#example). In other cases, the host site does not contain\nany visible ads, but leads users to social engineering pages via pop-ups, pop-unders, or other\ntypes of redirection. In both cases, this type of embedded social engineering content will\nresult in a policy violation for the host page.\n\nBut I don't engage in social engineering!\n-----------------------------------------\n\nDeceptive social engineering content may be included via resources embedded in the page, such\nas images, other third-party components, or ads. Such deceptive content may trick site visitors\ninto downloading [unwanted\nsoftware](https://www.google.com/about/unwanted-software-policy.html).\n\nAdditionally, **hackers** can take control of innocent sites and use them to\nhost or distribute social engineering content. The hacker could change the content of the site\nor add additional pages to the site, often with the intent of tricking visitors into parting\nwith personal information such as credit card numbers. You can find out if your site has been\nidentified as a site that hosts or distributes social engineering content by checking the\nSecurity Issues report in Search Console.\n\nSee our [Help\nfor Hacked Sites](https://web.dev/articles/hacked) if you believe that your site has been hacked.\n\nExamples of social engineering violations\n-----------------------------------------\n\n### Deceptive content examples\n\nHere are some examples of pages that engage in social engineering practices:\n\n\u003cbr /\u003e\n\nDeceptive popup intended to trick the user into installing malware.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to help the user update their browser\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nFake Google login page\n\n\u003cbr /\u003e\n\n| Note the deceptive URL. Other phishing sites like this could trick you into giving up other personal information such as credit card information. Phishing sites may look exactly like the real site---so be sure to look at the address bar to check that the URL is correct, and also check to see that the website begins with `https://`.\n\n### Deceptive ad examples\n\nHere are some examples of deceptive content inside embedded ads. These ads appear to be part\nof the page interface rather than ads.\n\n\u003cbr /\u003e\n\nDeceptive popup claiming that the user's software is out of date.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to come from the FLV developer\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nAds masquerading as page action buttons.\n\n\u003cbr /\u003e\n\nFixing the problem\n------------------\n\nIf your site is flagged for containing social engineering (deceptive content), ensure that\nyour page doesn't engage in any of the [practices](#examples), and then follow these steps:\n\n1. **Check in Search Console** .\n - [Verify that you own your site in Search Console](https://support.google.com/webmasters/answer/2739618) and that no new, suspicious owners have been added.\n -\n Check the\n [Security Issues report](https://search.google.com/search-console/security-issues)\n to see if your site is listed as containing deceptive content (the\n reporting term for social engineering). If the report contains sample flagged URLs, visit\n some of those URLs listed in the report, but use a computer that's not inside the network\n that is serving your website (clever hackers can disable their attacks if they think the\n visitor is a website owner).\n\n\n If the report doesn't contain sample URLs and you're confident your site doesn't contain\n social engineering (deceptive content),\n [request a security review](https://support.google.com/webmasters/answer/9044101#fix)\n in the Security Issues report.\n2. **Remove deceptive content** . Ensure that none of your site's pages contain deceptive content. If you believe Safe Browsing has classified a web page in error, [report it](https://www.google.com/safebrowsing/report_error/).\n3. **Check the third-party resources included in your site** . Ensure that any ads, images, or other embedded third-party resources on your site's pages are not deceptive.\n - Note that ad networks may rotate the ads shown on your site's pages. Therefore, you might need to refresh a page a few times before you're able to see any social engineering ads appear.\n - Some ads may appear differently on mobile devices and desktop computers. You can use the [URL\n Inspection tool](https://support.google.com/webmasters/answer/9012289) to view your site in both mobile and desktop views.\n - Follow the [third-party service guidelines](#third-party-guidelines) for any third-party services, such as payment services, that you use in your site.\n4. **Request a review** . After you remove all social engineering content from your site, you can [request a security review](https://support.google.com/webmasters/answer/9044101#fix) in the Security Issues report. A review can take several days to complete.\n\n### Third-party service guidelines\n\nIf you include a third-party service in your site, we recommend that you meet the following conditions\nin order to avoid being labeled as social engineering:\n\n- On every page, the third-party site clearly includes the third-party brand in a way that ensures users understand who is operating the site. For example, by including the third-party brand at the top of the page.\n- On every page that contains first-party branding, explicitly state the relationship between the first and third party, and provide a link for more information. For example, a statement like this: *This service is hosted by Example.com on behalf of Example.charities.com. More\n information.*\n\nA good usability guideline is whether a user viewing the page in isolation understands which\nsite they are on, and the relationship between the first and third party at all times.\n| **Best practice:** If you need a third party to perform a basic support service for your site, a best practice is to use an industry standard third party for that service. For example, to manage user authentication on your site, use [OAuth](https://oauth.net/) rather than managing authentication yourself.\n\nIf you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.\n\n[Report a security issue](https://support.google.com/webmasters/contact/report_security_issues)"]]
