theNet by CLOUDFLARE

Os invasores lançam phishing contra novos alvos

Ataques multicanal exigem novas abordagens e estratégias inovadoras

CISOs precisam de um novo manual, urgente. Embora tenham sido muitas vezes faróis de segurança digital em suas organizações, iluminando de forma corajosa e brilhante as novas e emergentes ameaças, eles desenvolveram muitas de suas estratégias favoritas em uma era passada, definida pelas migrações para a nuvem e pelos serviços digitais. Essa era acabou. Como resultado, as ferramentas na caixa de ferramentas de muitos CISOs estão começando a perder a eficácia e a se tornar obsoletas.

Em nenhum lugar isso é mais evidente do que na luta contra phishing, que custa às empresas em todo o mundo mais de US$ 50 bilhões por ano.

O primeiro ataque de phishing da era moderna ocorreu na década de 1990, quando os usuários da internet discada estavam descobrindo a maravilha do e-mail pela primeira vez. Décadas depois, o e-mail continua sendo o método de ataque predileto dos cibercriminosos. Na verdade, mais de 90% dos ataques cibernéticos bem-sucedidos começam com um e-mail de phishing, de acordo com a Agência de Segurança Cibernética & de Infraestrutura (CISA).

Mas os e-mails de phishing de hoje não são os mesmos de ontem. Eles não são apenas mais numerosos, também são mais persuasivos. Estima-se que os cibercriminosos enviem bilhões de e-mails de phishing todos os dias. A inteligência artificial é uma das principais razões, de acordo com pesquisadores da Universidade de Columbia. Em julho de 2025, foi publicado um estudo histórico que demonstra que mais de 51% dos e-mails de spam agora são gerados usando IA.

"Nossos resultados mostram que os invasores estão usando a IA principalmente para melhorar a qualidade do e-mail, reduzindo erros de digitação e erros gramaticais, em vez de alterar as estratégias de ataque", disse o autor principal do estudo, Wei Hao, em um comunicado de imprensa “Isso torna o spam mais difícil de detectar e potencialmente mais convincente para os destinatários”

Para CISOs que estão usando táticas antigas para combater novas versões de phishing, é como tentar apagar um incêndio de grandes proporções com uma mangueira de jardim.

E a IA não é o único problema. Para aumentar seu alcance e seus retornos, os criminosos cibernéticos estão cada vez mais recorrendo a novos e diversos canais de comunicação para executar seus ataques de phishing, incluindo mensagens de texto, chamadas de voz, códigos QR e mídias sociais. Para impedir o phishing em todas essas frentes, os CISOs precisam investir mais em práticas de segurança modernas, como automação, análise de ameaças em tempo real e treinamento.

Como as táticas de phishing estão evoluindo

Já não é suficiente configurar filtros de spam para detectar e-mails de phishing. Hoje, os invasores usam vários outros métodos para capturar suas vítimas. Em ascensão como vetores de ataque estão, por exemplo, o smishing, o vishing, o quishing, as plataformas de comunicação empresarial e as mídias sociais, que ignoram muitos dos métodos usuais de detecção e mitigação que os CISOs e suas equipes tradicionalmente usam para impedir ataques de phishing.

A chegada de ataques de phishing “multicanal” marca uma nova era no crime cibernético. Entender como os criminosos cibernéticos estão operando nesta nova era é essencial para os CISOs que desejam acompanhar a evolução das ameaças. Existem três aspectos do phishing moderno, especificamente, que os CISOs mais eficazes reconhecem: IA, engenharia social e coleta de informações.

  1. Phishing com IA

    Os ataques de phishing se tornaram mais difíceis de reconhecer graças à IA que, como os pesquisadores da Universidade de Columbia apontaram corretamente, corrige os erros de ortografia e gramática que antes eram sinais reveladores de phishing.

    No entanto, a IA não torna apenas os golpistas melhores escritores. Ela também os torna melhores vendedores. Com a ajuda de ferramentas de IA generativa e agêntica, os invasores podem criar mensagens de phishing personalizadas para grupos e indivíduos específicos. Deepfakes de IA e clonagem de voz, por exemplo, são elementos-chave do arsenal dos invasores modernos, permitindo que criem images e vídeos tão realistas que até mesmo especialistas têm dificuldade em distinguir o real do falso.

    Imagine o tipo de dano que poderia ser causado a uma empresa por um invasor que enviasse aos funcionários um anexo em PDF carregado com malware a partir do endereço de e-mail falsificado do CEO da empresa, seguido de uma chamada telefônica com voz clonada. Esse tipo de ataque de phishing já está acontecendo hoje.

    À medida que a IA se torna mais comum, qualquer pessoa pode criar uma campanha de phishing bem-sucedida. Criminosos cibernéticos podem usar IA para aumentar a escala de um ataque de phishing em vários vetores. No outro extremo do espectro, um funcionário com pouca experiência técnica pode usar a IA para criar um kit de spearphishing para atacar ativos dentro da organização, criando novas áreas de risco interno.

    E há o elemento velocidade: criminosos cibernéticos que usam IA podem criar campanhas e mensagens de phishing mais rápido do que nunca, e podem usar essa velocidade e eficiência aumentadas para lançar mais ataques de phishing em mais lugares e contra mais alvos.

  2. Engenharia social

    A manipulação psicológica, também conhecida como engenharia social, é tão essencial para o phishing moderno quanto a tecnologia. Para induzir suas vítimas a realizar as ações desejadas, como enviar dinheiro ou compartilhar informações privadas, os invasores exploram rotineiramente emoções como medo (por exemplo, ser bloqueado de uma conta a menos que uma ação seja tomada), culpa (por exemplo, sentir a necessidade de responder a uma mensagem amigável de um remetente desconhecido) ou entusiasmo (por exemplo, receber uma mensagem direta no LinkedIn sobre a oferta de emprego “perfeita”).

    Os invasores exploram a confiança que os indivíduos depositam em empresas muito conhecidas, líderes seniores e até mesmo em conhecidos. Ataques de phishing, que são mais difíceis de detectar, ocorrem cada vez mais durante os períodos de maior estresse para as empresas, por exemplo, durante a temporada de festas de final de ano, na época de entrega de imposto de renda e no final do ano fiscal, pois os invasores sabem que os funcionários estão mais propensos a cometer erros quando estão ocupados.

  3. Coleta de informações

    Tradicionalmente, o motivo por trás da maioria dos ataques cibernéticos era financeiro. E esse continua sendo o objetivo principal para muitos invasores. Mas os criminosos cibernéticos de hoje não praticam phishing apenas por dinheiro. Eles também praticam phishing para obter informações. Na verdade, o número de infostealers, malware projetados para roubar secretamente informações confidenciais, incluindo informações pessoais, senhas, capturas de tela e documentos privados, entregues por meio de e-mails de phishing aumentou 84% entre 2024 e 2025. O IBM Institute for Business Value (IBV) relatou isso em seu relatório “IBM X-Force 2025 Threat Intelligence Index”.

    “O phishing surgiu como um vetor de infecção obscuro para comprometimento de contas válidas”, relata a IBM IBV, que afirma que quase um em cada três ataques cibernéticos ocorre usando contas válidas “Um aumento repentino de e-mails de phishing que distribuem malware infostealer e phishing de credenciais impulsiona essa tendência, que pode ser atribuída a agentes maliciosos que utilizam IA para escalar ataques.”

    Os invasores que usam phishing para coletar credenciais de login, como nomes de usuário e senhas, podem vender informações para obter ganhos financeiros ou usá-las para se infiltrar em redes para fins de espionagem ou para lançar ataques maiores e mais furtivos.

    Em ambos os casos, os maiores prêmios são propriedade intelectual sigilosa, segredos de governo e coleta de credenciais de funcionários de alto escalão. Estados-nação, por exemplo, podem usar o phishing como ponto de partida para se infiltrar nos telefones e redes de políticos, empresas de defesa e veículos de comunicação. Eles e outros agentes mal-intencionados podem usar o phishing para obter acesso a infraestruturas críticas ou segredos comerciais. Considere o caso de 2024 de um grupo de hackers com apoio russo, que lançou um ataque de phishing em busca de informações confidenciais do governo dos EUA. No início de 2025, um grupo de espionagem chinês lançou ataques de phishing semelhantes contra entidades de manufatura, cadeia de suprimentos e empresas de tecnologia em Taiwan para coletar dados de inteligência.

    Seja buscando dinheiro ou informações, o phishing multicanal permite que os invasores alcancem uma rede mais ampla. Embora o phishing em redes sociais atinja um grande público com uma única publicação, um ataque de smishing ou quishing, por exemplo, pode alcançar um alto volume de usuários com uma maior probabilidade de engajamento.

Etapas de combate ao phishing para CISOs

Claramente, os criminosos cibernéticos estão evoluindo. Para manter o ritmo, os CISOs também devem evoluir. O ChatGPT disse:As habilidades técnicas e o senso de negócios que tradicionalmente definiam suas funções não são mais suficientes. Em resposta à IA, à engenharia social e à coleta de informações que estão alimentando os ataques de phishing multicanal, os CISOs devem pensar de forma diferente e cultivar habilidades interpessoais que complementarão seus conhecimentos técnicos.

Entre as habilidades interpessoais mais importantes que os CISOs devem cultivar e desenvolver, por exemplo, estão: habilidades de inteligência emocional, que podem ajudar a reconhecer por que os funcionários podem cair em iscas de phishing e criar um ambiente não punitivo onde se sintam seguros para relatar tentativas de phishing; habilidades de liderança, que podem ajudar a influenciar funcionários e colegas a criar uma cultura que priorize a segurança; habilidades de pensamento crítico, que podem ajudar a determinar onde os ataques são mais prováveis de ocorrer e quais táticas os invasores provavelmente usarão; e habilidades de comunicação e colaboração, que podem ser aproveitadas para educar os funcionários sobre táticas de phishing não convencionais e envolvê-los em esforços anti-phishing em toda a empresa.

No entanto, não basta apenas pensar de forma diferente se você não agir de forma diferente também. Mesmo que desenvolvam novas habilidades e perspectivas que os ajudarão a identificar ameaças em potencial, os CISOs devem adotar novas práticas antiphishing que tornarão suas organizações mais resilientes a ameaças, independentemente do canal ou modo de ataque.

Automação, análise de ameaças em tempo real e treinamento são as três práticas com maior potencial de impacto contra o phishing multicanal:

1. Automação: empregar ferramentas de segurança baseadas em IA

Os criminosos cibernéticos não são os únicos que podem usar a IA para obter maior escala e sofisticação. As empresas podem implantá-la de forma semelhante para impedir ataques, em vez de lançá-los.

De fato, existem ferramentas de phishing de IA cujo objetivo específico é mitigar ataques. Existem grandes modelos de linguagem (LLMs), por exemplo, cujo objetivo explícito é detectar sinais de phishing em e-mails, mensagens de texto, postagens em redes sociais e outros fóruns. Usando o processamento de linguagem natural, eles podem analisar textos em busca de linguagem suspeita e outros sinais de alerta, alertando automaticamente sobre possíveis ameaças. Existem outros LLMs que são treinados para procurar anomalias, por exemplo, desvios em horários e locais típicos de login, e ainda outros que usam visão computacional para detectar images suspeitas, como logotipos de marcas falsos e códigos QR maliciosos.

Os CISOs interessados em usar ferramentas de segurança baseadas em IA devem procurar alguns recursos importantes nas soluções que estão considerando. Os recursos antiphishing importantes incluem:

  • Análise de sentimentos e conversas, que oferece às organizações a capacidade mencionada anteriormente de aproveitar o processamento de linguagem natural para a detecção automatizada de ameaças em texto.

  • Autenticação adaptável, que ajusta dinamicamente os requisitos de autenticação em resposta ao comportamento de alto risco do usuário.

  • Resposta automatizada a incidentes, que permite que as organizações detectem e automaticamente isolem mensagens ou dispositivos suspeitos em sua rede.

  • Inteligência contra ameaças, que cruza indicadores de phishing com informações sobre ameaças atuais para identificar ataques precocemente.

2. Análise de ameaças em tempo real: isolar possíveis perigos

Um dos recursos mais importantes a serem procurados em ferramentas de segurança baseadas em IA é a análise de ameaças em tempo real, que pode ajudar as organizações a identificar e conter ameaças rapidamente antes que elas atinjam seus alvos humanos.

Entre os indicadores de phishing que as organizações podem monitorar em tempo real, estão:

  • Comportamento suspeito de remetentes, incluindo domínios falsificados, endereços de e-mail semelhantes e novos remetentes que tentam repentinamente entrar em contato com vários funcionários.

  • URLs e domínios suspeitos, incluindo aqueles com reputações ruins, links desconhecidos, cadeias de redirecionamento e páginas de coleta de credenciais.

  • Anexos maliciosos, incluindo arquivos com macros, executáveis e scripts ofuscados.

  • Comportamento de risco do usuário, incluindo clicar em links desconhecidos, baixar arquivos de fontes suspeitas e fazer login em locais incomuns ou em horários incomuns.

3. Treinamento: aumentar a conscientização sobre segurança

Como os golpes de phishing têm como alvo o comportamento e o erro humanos, o treinamento para ajudar os funcionários a reconhecer sinais de phishing em diferentes vetores de ataque é uma medida preventiva essencial e eficaz.

Ao projetar um programa de treinamento antiphishing, tenha em mente as seguintes práticas recomendadas:

  • O treinamento anual de compliance não é suficiente; como as ameaças de phishing são dinâmicas e estão em constante mudança, o treinamento deve ser frequente e contínuo para garantir que os funcionários tenham as informações mais atuais e precisas.

  • Os funcionários estão ocupados e o phishing é complexo. Para lidar com os poucos períodos atenção, priorize módulos de aprendizagem breves, fáceis de entender e focados em vez de cursos de treinamento longos e exaustivos.

  • Para aumentar a retenção, torne o aprendizado o mais relevante e prático possível, concentrando-se no aprendizado contextual, incluindo treinamento baseado em cenários e simulações realistas que imitam táticas de phishing reais. O feedback em tempo real quando os funcionários são vítimas de ataques simulados também é útil.

  • O treinamento deve ser obrigatório para todos, incluindo os executivos seniores, que são alvos de alto valor e, frequentemente, recebem treinamento insuficiente em medidas de segurança cibernética.

  • Acompanhar o progresso ao longo do tempo, incluindo métricas como taxas de cliques, taxas de relatório e tempo de resposta, é fundamental. Isso pode ajudar as empresas a identificar e corrigir deficiências, recompensando e incentivando a melhoria.

E se um ataque de phishing for bem-sucedido?

Como os cibercriminosos são muito inteligentes e persistentes, nada é totalmente à prova de falhas. Portanto, a resposta a ameaças é tão importante quanto a prevenção delas.

Se um invasor for bem-sucedido, os CISOs podem usar técnicas como Zero Trust e menor privilégio para mitigar o risco e evitar danos. Essas soluções criam zonas isoladas dentro de uma rede que exigem verificação contínua e, como resultado, limitam a capacidade de invasores se movimentarem livremente.

A resiliência requer vigilância

O phishing pode ser uma tática de golpe antiga, mas também é eficaz, e é por isso que os cibercriminosos continuam a usá-lo mesmo com a evolução da tecnologia. Além do e-mail, atualmente, os invasores estão utilizando novos vetores, como mensagens de texto e videoconferências, para aumentar o sucesso do phishing.

O Cloudflare Email Security é a proteção de primeira linha contra táticas de phishing tradicionais. O Cloudflare One expande a proteção para vetores de ataque de phishing mais recentes usando Zero Trust. Ao entender como são os ataques de phishing em plataformas e aplicativos, incluindo o impacto do phishing de IA, os CISOs e suas equipes de segurança podem projetar sistemas que abordam vulnerabilidades antes que elas se tornem riscos.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Saiba mais sobre esse assunto

Saiba mais sobre quais ataques de phishing seus sistemas de segurança de e-mail atuais não detectam com uma avaliação de risco de phishing gratuita.


Principais conclusões

Após ler este artigo, você entenderá:

  • Como os ataques de phishing têm evoluído

  • Três etapas de proteção anti-phishing para CISOs

  • Estratégias para sair na frente e neutralizar ameaças de phishing modernas

Recursos relacionados

Receba um resumo mensal das informações mais populares da internet.

Assine o theNET

COMECE A USAR

SOLUÇÕES

SUPORTE

CONFORMIDADE

INTERESSE PÚBLICO

EMPRESA

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum