O phishing evoluiu drasticamente nos últimos anos, tornando-se uma das ameaças cibernéticas mais persistentes e sofisticadas. Em 2024, cibercriminosos estão usando tecnologias avançadas, como Inteligência Artificial (IA), automação e táticas multicanais, para enganar até os sistemas de segurança mais robustos. Esses ataques exploram vulnerabilidades humanas e tecnológicas, colocando empresas e indivíduos em risco. Este artigo explora as táticas modernas de phishing, seu impacto e como você pode proteger seu negócio.
De acordo com o portal Infosecurity Magazine, o phishing representa 90% dos ataques cibernéticos em empresas, sendo a porta de entrada para violações de dados e ransomware. A sofisticação desses ataques exige não apenas ferramentas de segurança, mas também conscientização e treinamento contínuo.
O que é phishing moderno e como ele funciona?
O phishing moderno vai além dos e-mails genéricos e links suspeitos. Ele utiliza engenharia social e tecnologia avançada para criar ataques altamente personalizados e convincentes. Segundo o TechRadar, a adoção de IA pelos cibercriminosos aumentou a eficiência desses golpes, permitindo que criem mensagens que simulam perfeitamente comunicações legítimas, como cobranças bancárias ou atualizações corporativas.
O diferencial do phishing moderno é sua capacidade de personalização. Por exemplo, criminosos utilizam dados de redes sociais e vazamentos para construir mensagens que enganam até usuários experientes. Além disso, os ataques se expandiram para canais como SMS (smishing) e chamadas de voz (vishing), ampliando seu alcance e impacto.
As táticas mais sofisticadas de phishing visando 2025
1. Abuso de Plataformas Confiáveis
Uma das técnicas mais eficazes e em crescimento é o uso indevido de plataformas de hospedagem confiáveis como OneDrive, Google Drive e GitHub. Essas plataformas são amplamente usadas por empresas e indivíduos e, por isso, passam pelos filtros de segurança com facilidade. Ao hospedar malware e links maliciosos em repositórios ou arquivos aparentemente legítimos, os cibercriminosos conseguem contornar as verificações automatizadas de segurança.
Um exemplo recente é o uso do GitHub para hospedar o malware Remcos RAT, que permite aos invasores obterem controle remoto total do dispositivo da vítima. Os ataques começam com e-mails fraudulentos que fingem ser comunicações empresariais legítimas, como prazos fiscais ou relatórios de auditoria. Ao clicar no link, a vítima é direcionada a um repositório do GitHub, onde um arquivo ZIP protegido por senha contém o malware.
Como se proteger:
- Use ferramentas de verificação. Sempre inspecione links e arquivos antes de acessá-los.
- Implemente soluções de sandbox. Analise arquivos suspeitos sem comprometer seu sistema.
2. Uso de códigos QR Maliciosos e URIs Blob
O uso de códigos QR em phishing, também conhecido como “quishing”, cresceu exponencialmente.
Essa técnica emergente envolve o uso de códigos QR gerados com ASCII e URIs Blob. Inicialmente usados para redirecionar usuários a sites legítimos, agora os códigos QR são disfarçados como texto ASCII, o que torna difícil para ferramentas de OCR detectar seu verdadeiro propósito. Esses códigos QR são enviados para vítimas via e-mails ou mensagens de texto e, quando escaneados, redirecionam a vítima para páginas de phishing disfarçadas como portais legítimos de login.
Os URIs Blob, por sua vez, são usados para criar links maliciosos que geram páginas de phishing diretamente no navegador da vítima, sem a necessidade de um servidor remoto. Essa técnica escapa dos sistemas de filtragem de URL, que normalmente verificam os links externos em busca de comportamentos maliciosos. Os URIs Blob criam páginas fraudulentas diretamente no navegador, burlando verificações tradicionais de URL.
Como mitigar:
- Evite escanear códigos QR de fontes desconhecidas. Use aplicativos que verificam o destino antes do redirecionamento.
- Eduque sua equipe. Mostre exemplos práticos de quishing para aumentar a conscientização.
3. Phishing Automatizado e Deepfakes
Com o crescimento do uso de IA e automação, os ataques de phishing se tornaram mais rápidos e sofisticados. Os cibercriminosos agora conseguem gerar e-mails em massa, personalizados e convincentes, com base em dados coletados da própria vítima.
Ferramentas de IA permitem que os atacantes simulem conversas legítimas com detalhes que enganariam até os usuários mais atentos. Além disso, o uso de deepfakes de voz e vídeo tem facilitado ataques de vishing (voice phishing), onde a voz de um colega ou superior é falsificada para convencer a vítima a compartilhar informações sensíveis ou realizar transações financeiras.
Essas campanhas automatizadas também podem testar várias abordagens até encontrar uma que consiga passar pelos sistemas de segurança. Isso é especialmente perigoso para empresas, onde um simples erro humano pode abrir as portas para comprometimentos em larga escala.
Como se defender:
- Adote soluções de IA: Ferramentas avançadas podem identificar anomalias e bloquear deepfakes.
- Confirme pedidos incomuns: Sempre valide solicitações por diferentes canais antes de agir.
4. Smishing com ataques de Zero-Click
O smishing, phishing via SMS, tem crescido nos últimos anos, aproveitando-se da confiança que muitos usuários depositam em mensagens de texto. Um dos desenvolvimentos mais preocupantes em 2024 e que pode expandir para 2025 é o uso de ataques de zero-click, em que o simples recebimento de uma mensagem já é o suficiente para comprometer o dispositivo da vítima, sem que seja necessária nenhuma interação.
Segundo a Infosecurity Magazin esses ataques exploram vulnerabilidades em aplicativos de mensagens e sistemas operacionais, permitindo que os invasores obtenham acesso ao dispositivo apenas enviando uma mensagem especialmente formatada.
Como Evitar:
- Atualize sistemas regularmente. Correções de segurança são essenciais contra vulnerabilidades exploradas.
- Desative pré-visualizações de links. Isso reduz o risco de ativação automática de malwares.
5. BEC e Call Center Scam
Além das ameaças amplamente conhecidas, como phishing via e-mails genéricos, surgem formas mais direcionadas e personalizadas, como o Business Email Compromise (BEC) e os golpes de Call Center Scam. Essas práticas têm como foco explorar a confiança de colaboradores ou executivos para obter vantagens financeiras rápidas.
Business Email Compromise (BEC)
O BEC é uma técnica sofisticada que envolve a manipulação de e-mails corporativos. Criminosos assumem o controle ou falsificam contas de executivos ou fornecedores confiáveis para solicitar transferências financeiras ou acesso a informações confidenciais.
Segundo a Darktrace, o uso de IA nesses ataques permite criar mensagens convincentes e urgentes, dificultando a identificação por parte da vítima.
Por exemplo, os golpistas podem se passar por um CEO enviando um e-mail urgente para o setor financeiro, pedindo uma transferência bancária imediata. Muitas vezes, essa abordagem inclui a exploração de momentos de maior pressão, como final de ano fiscal ou eventos corporativos importantes.
Como Evitar:
- Confirme solicitações importantes: Sempre valide transações financeiras por outro canal, como uma chamada telefônica direta ao solicitante.
- Implemente autenticação multifator (MFA): Isso reduz as chances de contas serem comprometidas.
- Capacite sua equipe: Treinamentos regulares ajudam a identificar sinais de fraude em comunicações.
Golpes de Call Center (Call Center Scam)
Outro método cada vez mais comum é o Call Center Scam, onde criminosos se passam por representantes de empresas legítimas para enganar colaboradores.
Essas operações, geralmente em larga escala, envolvem contato telefônico em que o golpista finge ser um executivo ou membro de uma equipe interna, exigindo ações rápidas, como a compra de gift cards ou transações via PIX.
De acordo com a Carta Capital, esse tipo de ataque tem se tornado uma das principais formas de extorsão corporativa, explorando a pressão hierárquica para obter compliance imediata de funcionários.
Como Evitar:
- Eduque colaboradores: Alertar sobre a tática e reforçar a necessidade de validar solicitações incomuns é essencial.
- Restrinja transações rápidas: Crie protocolos internos para transações financeiras, exigindo verificações adicionais.
- Monitoramento contínuo: Ferramentas de IA podem identificar padrões suspeitos em chamadas e comunicações.
Impactos do phishing em empresas e indivíduos
Prejuízos para empresas
As consequências de um ataque de phishing são significativas tanto para empresas quanto para indivíduos. Para empresas, os impactos podem incluir roubo de dados confidenciais, perda financeira e danos à reputação. Além disso, um ataque de phishing pode servir como porta de entrada para ransomware ou outros malwares, resultando na interrupção de operações e no comprometimento de toda a rede.
As empresas sofrem grandes perdas financeiras, interrupções operacionais e danos à reputação. Segundo a CNN Brasil, o impacto econômico global do phishing pode ultrapassar US$ 3 bilhões por ano. Além disso, ataques bem-sucedidos frequentemente levam ao comprometimento de redes inteiras.
Consequências para indivíduos
Para indivíduos, as consequências incluem roubo de identidade, perda de fundos pessoais e comprometimento de dados privados. Além disso, os ataques mais sofisticados podem gerar danos psicológicos, especialmente quando resultam em perdas financeiras significativas ou exposição de informações sensíveis.
Segundo o portal Kaspersky, os danos psicológicos causados por fraudes financeiras são cada vez mais reportados, especialmente em golpes que envolvem economias de vida.
Como proteger seu negócio contra o phishing moderno
1. Conscientização e educação
Treinamentos regulares são essenciais. Simulações de phishing ajudam a preparar sua equipe para reconhecer ataques em evolução. Segundo o portal Cofense, empresas que realizam treinamentos regulares reduzem incidentes de phishing em até 80%.
2. Autenticação Multifator (MFA)
Habilitar MFA em todos os sistemas críticos adiciona uma camada extra de proteção, tornando difícil o acesso não autorizado, mesmo em caso de credenciais comprometidas.
3. Ferramentas baseadas em IA
Soluções que utilizam IA são capazes de analisar padrões comportamentais e identificar anomalias em mensagens, bloqueando ataques antes que eles alcancem o destinatário.
4. Monitoramento contínuo
Implemente ferramentas para monitorar plataformas confiáveis, como Google Drive e GitHub, identificando e bloqueando atividades suspeitas em tempo real.
5. Manutenção de sistemas
Certifique-se de que todos os dispositivos, aplicativos e sistemas estejam atualizados para corrigir vulnerabilidades exploradas por ataques de zero-click.
Tendências de segurança cibernética em 2025
Em 2025, espera-se um aumento no uso de blockchain para autenticação de identidades digitais. Segundo o Northdoor Blog, essa tecnologia pode reduzir drasticamente a eficácia de ataques de phishing, garantindo maior segurança em transações digitais.
Além disso, a integração de IA preditiva será crucial para antecipar ameaças. Empresas estão cada vez mais investindo em soluções proativas que combinam análise comportamental e machine learning para mitigar riscos antes que eles ocorram.
O phishing moderno representa uma ameaça em constante evolução, exigindo que empresas e indivíduos estejam sempre um passo à frente. Investir em tecnologia avançada, como IA e blockchain, combinado com treinamento humano contínuo, é fundamental para reduzir riscos e proteger operações.
Quer saber mais sobre como fortalecer a segurança digital da sua empresa?
Continue acompanhando o blog da Asper para insights e estratégias atualizadas.
E para descobrir como a Asper pode ajudar a sua empresa a se proteger rigorosamente dessas ameaças em 2025, basta clicar no botão abaixo, lá você irá encontrar detalhes sobre as soluções que preparamos para ajudar a sua empresa a se proteger.
