Desde os primórdios da cultura digital, a engenharia social — arte de enganar pessoas para obter informações valiosas — acompanhou a evolução das tecnologias de comunicação. O termo “phishing”, que hoje invocamos quase exclusivamente para descrever e-mails fraudulentos, na verdade, é muito anterior ao auge do correio eletrônico comercial.
Ele nasceu nas salas de bate-papo da America Online (AOL) na década de 1990, quando jovens curiosos passaram a se passar por funcionários do próprio serviço, oferecendo supostos benefícios ou acesso a membros “premium” em troca da concessão de suas credenciais, ou seja, login e senha.
A analogia com “fishing” (pescaria), trocada propositalmente para “phishing” com o “ph” remanescente da cultura hacker de “phreaking”, refletia a prática de fisgar as credenciais de usuários incautos em ambientes que ainda eram considerados restritos — e, portanto, seguros — pelos próprios participantes.
Com o advento da internet global e a popularização do e-mail, esse esquema migrou naturalmente para o correio eletrônico. Nos primeiros anos dos anos 2000, criminosos digitais descobriram que podiam disparar mensagens em massa, forjando remetentes de bancos, provedores de serviço ou até de órgãos governamentais, induzindo milhares de usuários a clicar em links maliciosos e inserir seus dados em páginas falsas.
A simplicidade dessa abordagem, aliada ao baixo custo para o atacante e ao potencial de retorno em escala, consolidou o phishing como a principal ameaça no cenário da segurança da informação. Porém, ao longo do tempo, a sofisticação foi aumentando: ferramentas de automação começaram a gerar e-mails adaptados a perfis específicos (spear phishing), e os golpes tornaram-se cada vez mais difíceis de detectar para o usuário comum.
Entretanto, assim como toda prática predatória, o phishing tradicional encontrou novos caminhos para ampliar seus horizontes. À medida que os consumidores migraram boa parte de sua comunicação para o celular — seja por SMS, aplicativos de mensagens instantâneas ou mesmo via ligações de voz —, os atacantes estenderam as mesmas técnicas de engenharia social para esses canais.
Foi assim que surgiram as primeiras incursões de smishing (phishing via SMS) e vishing (phishing via chamadas de voz). No smishing, a vítima recebe uma mensagem curta, muitas vezes configurada para parecer urgente — “Seu pacote está retido na alfândega, pague aqui para liberar” — direcionando-a a um site fraudulento que coleta dados ou instala malwares.
Já no vishing, o atacante se faz passar por um atendente de banco, serviço de suporte ou órgão oficial de segurança, conduzindo uma conversa convincente para extrair senhas, números de cartão ou outros dados confidenciais.
A adesão crescente dos usuários a aplicativos de mensagens instantâneas, como WhatsApp, Telegram e Messenger, também não passou despercebida. Nessas plataformas, a confiança costuma ser ainda maior, pois as comunicações ocorrem entre contatos conhecidos ou em grupos fechados.
É comum que um número novo, clonado ou fraudado, seja percebido apenas depois de o golpe já ter sido aplicado — seja através do envio de um link malicioso, seja pela solicitação de um pagamento em dinheiro ou criptomoeda.
Em muitos casos, os criminosos aumentam a pressão usando falsas mensagens de familiares que estariam em apuros, pedindo empréstimos de emergência ou acesso a aplicativos de pagamento.
Esse tipo de golpe reflete tanto no ambiente pessoal quanto no corporativo, já que muitos times de trabalho utilizam grupos de chat para coordenar atividades, tornando difícil distinguir quando um pedido é legítimo ou quando faz parte de uma engenhosa operação de engenharia social.
Outra vertente que se popularizou com a proliferação de smartphones e a digitalização de processos de consumo são os golpes de QR Code, conhecidos como quishing. Restaurantes, bancos, lojas e até órgãos públicos passaram a usar códigos QR para compartilhar cardápios, efetuar pagamentos e divulgar campanhas.
Contudo, logo se descobriu que bastava imprimir QR Codes falsos ou alterar códigos legítimos para levar o usuário a páginas absolutamente diversas daquelas anunciadas. Nessas páginas, formulários piratas solicitam dados bancários, ou o download de aplicativos maliciosos que se instalam silenciosamente no dispositivo, abrindo portas para espionagem ou roubo de credenciais armazenadas no navegador.
A fragilidade do método está na confiança que depositamos em um simples escaneamento de imagem: muitos usuários não tomam sequer o cuidado de verificar se a URL exibida no app de leitura corresponde ao site oficial.
Enquanto isso, no universo corporativo, as empresas começaram a adotar procedimentos de simulação de phishing, simulação de smishing e simulação de vishing como parte de seus programas de conscientização e segurança.
A ideia é submeter colaboradores a cenários reais, mas controlados, nos quais eles possam vivenciar tentativas de fraude e aprender, na prática, a identificar os sinais de alerta da engenharia social: remetentes incomuns, erros de digitação, links mascarados, pedidos de confirmação de dados via canais não-oficiais e verbosidade exagerada.
Tais exercícios são fundamentais para reduzir o chamado risco humano como brecha de segurança, mas eles também enfrentam limitações: muitos usuários acabam acostumando-se com os golpes simulados e, em contrapartida, podem subestimar a gravidade de ataques verdadeiros que pareçam fora do padrão ensinado em treinamentos.
Ao mesmo tempo, a inteligência artificial — que hoje alimenta desde assistentes virtuais até sistemas de recomendação de conteúdo — foi empregada tanto na defesa quanto no ataque. As forças de segurança passaram a usar algoritmos de machine learning para identificar padrões de comportamento, filtrar e-mails suspeitos e bloquear links maliciosos em tempo real.
Por outro lado, cibercriminosos utilizam redes neurais para gerar textos cada vez mais convincentes, imitar estilos de escrita de empresas e ajustar automaticamente o discurso conforme as respostas das vítimas.
Esse fenômeno deu origem ao spear-phishing assistido por IA, no qual cada mensagem é feita sob medida, levando em conta informações extraídas de redes sociais, perfis corporativos e até de bancos de dados adquiridos no mercado clandestino. O resultado é um ataque extremamente pernicioso, capaz de vencer filtros de spam e surpreender até os usuários mais treinados.
Nesse cenário complexo e em constante transformação, a pergunta “O phishing morreu?” revela-se não apenas retórica, mas fundamental para entender a metamorfose da engenharia social.
Enquanto muitos profissionais de TI e SI ainda trabalham mistificando phishing exclusivamente com e-mail, a gama de vetores e variantes mostra que o conceito original está longe de morrer — ele apenas se reinventou.
Hoje, quando falamos em roubo de informações ou infiltração de malware, precisamos considerar não apenas o correio eletrônico, mas também SMS, telefonia, mensagens instantâneas, QR Codes e qualquer outro canal que conecte pessoas.
Para enfrentar esse desafio, é essencial adotar uma abordagem integrada de segurança, que inclua:
Em última análise, o phishing não está enterrado; ele é o camaleão que muda de pele conforme surgem novas formas de comunicação e novas tecnologias.
A única forma de exterminá-lo de vez, ou ao menos contê-lo, é tornando os potenciais alvos — sejam indivíduos, equipes de trabalho ou organizações inteiras — cada vez mais preparados para reconhecer o perigo. Afinal, na era da informação, conhecer o inimigo é a primeira e mais eficaz linha de defesa contra qualquer ataque de engenharia social.
Quer aprender mais? Acesse o videocast exclusivo "O phishing morreu? A evolução das ameaças cibernéticas e como combatê-las"!