Phishing Moderno: Táticas sofisticadas e como proteger seu negócio em 2025
Ameaças Cibernéticas

Phishing Moderno: Táticas sofisticadas e como proteger seu negócio em 2025

/

O phishing evoluiu drasticamente nos últimos anos, tornando-se uma das ameaças cibernéticas mais persistentes e sofisticadas. Em 2024, cibercriminosos estão usando tecnologias avançadas, como Inteligência Artificial (IA), automação e táticas multicanais, para enganar até os sistemas de segurança mais robustos. Esses ataques exploram vulnerabilidades humanas e tecnológicas, colocando empresas e indivíduos em risco. Este artigo explora as táticas modernas de phishing, seu impacto e como você pode proteger seu negócio. De acordo com o portal Infosecurity Magazine, o phishing representa 90% dos ataques cibernéticos em empresas, sendo a porta de entrada para violações de dados e ransomware. A sofisticação desses ataques exige não apenas ferramentas de segurança, mas também conscientização e treinamento contínuo​​. O que é phishing moderno e como ele funciona? O phishing moderno vai além dos e-mails genéricos e links suspeitos. Ele utiliza engenharia social e tecnologia avançada para criar ataques altamente personalizados e convincentes. Segundo o TechRadar, a adoção de IA pelos cibercriminosos aumentou a eficiência desses golpes, permitindo que criem mensagens que simulam perfeitamente comunicações legítimas, como cobranças bancárias ou atualizações corporativas​​. O diferencial do phishing moderno é sua capacidade de personalização. Por exemplo, criminosos utilizam dados de redes sociais e vazamentos para construir mensagens que enganam até usuários experientes. Além disso, os ataques se expandiram para canais como SMS (smishing) e chamadas de voz (vishing), ampliando seu alcance e impacto. As táticas mais sofisticadas de phishing visando 2025 1. Abuso de Plataformas Confiáveis Uma das técnicas mais eficazes e em crescimento é o uso indevido de plataformas de hospedagem confiáveis como OneDrive, Google Drive e GitHub. Essas plataformas são amplamente usadas por empresas e indivíduos e, por isso, passam pelos filtros de segurança com facilidade. Ao hospedar malware e links maliciosos em repositórios ou arquivos aparentemente legítimos, os cibercriminosos conseguem contornar as verificações automatizadas de segurança. Um exemplo recente é o uso do GitHub para hospedar o malware Remcos RAT, que permite aos invasores obterem controle remoto total do dispositivo da vítima. Os ataques começam com e-mails fraudulentos que fingem ser comunicações empresariais legítimas, como prazos fiscais ou relatórios de auditoria. Ao clicar no link, a vítima é direcionada a um repositório do GitHub, onde um arquivo ZIP protegido por senha contém o malware. Como se proteger: 2. Uso de códigos QR Maliciosos e URIs Blob O uso de códigos QR em phishing, também conhecido como “quishing”, cresceu exponencialmente.  Essa técnica emergente envolve o uso de códigos QR gerados com ASCII e URIs Blob. Inicialmente usados para redirecionar usuários a sites legítimos, agora os códigos QR são disfarçados como texto ASCII, o que torna difícil para ferramentas de OCR detectar seu verdadeiro propósito. Esses códigos QR são enviados para vítimas via e-mails ou mensagens de texto e, quando escaneados, redirecionam a vítima para páginas de phishing disfarçadas como portais legítimos de login. Os URIs Blob, por sua vez, são usados para criar links maliciosos que geram páginas de phishing diretamente no navegador da vítima, sem a necessidade de um servidor remoto. Essa técnica escapa dos sistemas de filtragem de URL, que normalmente verificam os links externos em busca de comportamentos maliciosos. Os URIs Blob criam páginas fraudulentas diretamente no navegador, burlando verificações tradicionais de URL. Como mitigar: 3. Phishing Automatizado e Deepfakes Com o crescimento do uso de IA e automação, os ataques de phishing se tornaram mais rápidos e sofisticados. Os cibercriminosos agora conseguem gerar e-mails em massa, personalizados e convincentes, com base em dados coletados da própria vítima.  Ferramentas de IA permitem que os atacantes simulem conversas legítimas com detalhes que enganariam até os usuários mais atentos. Além disso, o uso de deepfakes de voz e vídeo tem facilitado ataques de vishing (voice phishing), onde a voz de um colega ou superior é falsificada para convencer a vítima a compartilhar informações sensíveis ou realizar transações financeiras. Essas campanhas automatizadas também podem testar várias abordagens até encontrar uma que consiga passar pelos sistemas de segurança. Isso é especialmente perigoso para empresas, onde um simples erro humano pode abrir as portas para comprometimentos em larga escala. Como se defender: 4. Smishing com ataques de Zero-Click O smishing, phishing via SMS, tem crescido nos últimos anos, aproveitando-se da confiança que muitos usuários depositam em mensagens de texto. Um dos desenvolvimentos mais preocupantes em 2024 e que pode expandir para 2025 é o uso de ataques de zero-click, em que o simples recebimento de uma mensagem já é o suficiente para comprometer o dispositivo da vítima, sem que seja necessária nenhuma interação.  Segundo a Infosecurity Magazin esses ataques exploram vulnerabilidades em aplicativos de mensagens e sistemas operacionais, permitindo que os invasores obtenham acesso ao dispositivo apenas enviando uma mensagem especialmente formatada. Como Evitar: 5. BEC e Call Center Scam Além das ameaças amplamente conhecidas, como phishing via e-mails genéricos, surgem formas mais direcionadas e personalizadas, como o Business Email Compromise (BEC) e os golpes de Call Center Scam. Essas práticas têm como foco explorar a confiança de colaboradores ou executivos para obter vantagens financeiras rápidas. Business Email Compromise (BEC) O BEC é uma técnica sofisticada que envolve a manipulação de e-mails corporativos. Criminosos assumem o controle ou falsificam contas de executivos ou fornecedores confiáveis para solicitar transferências financeiras ou acesso a informações confidenciais.  Segundo a Darktrace, o uso de IA nesses ataques permite criar mensagens convincentes e urgentes, dificultando a identificação por parte da vítima. Por exemplo, os golpistas podem se passar por um CEO enviando um e-mail urgente para o setor financeiro, pedindo uma transferência bancária imediata. Muitas vezes, essa abordagem inclui a exploração de momentos de maior pressão, como final de ano fiscal ou eventos corporativos importantes. Como Evitar: Golpes de Call Center (Call Center Scam) Outro método cada vez mais comum é o Call Center Scam, onde criminosos se passam por representantes de empresas legítimas para enganar colaboradores.  Essas operações, geralmente em larga escala, envolvem contato telefônico em que o golpista finge ser um executivo ou membro de uma equipe interna, exigindo ações rápidas, como a compra de gift cards ou transações via