Recentemente, fizemos uma provocação bastante simples aqui mesmo em nosso blog para convidar nossos seguidores a participar de um webinar. A pergunta “O phishing morreu?” pode parecer curiosa, mas gera dúvidas sobre a eficácia desse golpe de engenharia social nos dias atuais — afinal, nesses novos tempos, muitas pessoas mal utilizam o e-mail e ferramentas de segurança cibernética são capazes de bloquear a maioria das ameaças.
Pois bem: o phishing — a arte de enganar indivíduos para roubar informações confidenciais — continua ativo e em constante evolução, adaptando-se a novas tecnologias e canais de comunicação.
Embora muitos acreditem que, com o avanço das ferramentas de segurança, esse tipo de ataque estaria em declínio, a verdade é que os cibercriminosos estão cada vez mais criativos e sofisticados ao combinar engenharia social com recursos avançados de inteligência artificial (IA).
O termo “phishing” começou a ser usado nos anos 1990, quando golpistas enviavam e-mails em massa fingindo ser organizações confiáveis (bancos, provedores de serviço ou até mesmo instituições governamentais) para induzir usuários desavisados a fornecerem senhas, dados bancários ou outras informações sensíveis.
Esses ataques de engenharia social, que se aproveitavam de falhas de percepção dos usuários e de baixa maturidade em segurança digital, eram relativamente genéricos e enviavam mensagens idênticas para milhares de destinatários.
Com o passar dos anos, apareceram variações como o spear phishing (ataques direcionados a alvos específicos, com mensagens personalizadas para aumentar a taxa de sucesso) e o whaling (focado em executivos da alta hierarquia). Essas táticas mais refinadas já demonstravam, desde então, que a essência do phishing — a manipulação psicológica — era a força motriz, mais importante do que a tecnologia utilizada.
Enquanto o phishing de massa ainda existe, as variantes mais direcionadas representam hoje a maior parte dos ataques bem-sucedidos. No spear phishing, por exemplo, os invasores cooptam informações disponíveis publicamente (redes sociais, perfis corporativos) para construir e-mails que aparentam ser genuínos e relevantes para o alvo.
Um gerente financeiro pode receber uma mensagem “urgente” do diretor financeiro da própria empresa, solicitando uma transferência bancária imediata — situação em que muitos profissionais, pressionados por prazos, não questionam a legitimidade da solicitação.
Outra técnica explorada frequentemente é o clone phishing, em que o cibercriminoso replica um e-mail legítimo que a vítima recebeu anteriormente, mas substitui links ou anexos originais por versões maliciosas. Como a vítima já confia na comunicação anterior, a probabilidade de clicar nos links falsos aumenta significativamente.
Já o pharming, mais sofisticado, redireciona usuários para sites falsos, mesmo quando digitam URLs corretas, geralmente por meio da manipulação de DNS ou através de malware instalado no dispositivo da vítima.
A partir dos últimos anos, com a popularização de modelos generativos de inteligência artificial como o ChatGPT, observou-se uma clara intensificação na sofisticação das campanhas de phishing. A IA passou a ser utilizada para analisar perfis em redes sociais, atividades online e vazamentos de dados, criando mensagens hipersonalizadas capazes de enganar até usuários mais experientes.
Imagine receber um e-mail que menciona detalhes sobre sua carreira profissional, conexões profissionais e até mesmo nome de familiares próximos — a chance de você clicar em um link malicioso, acreditando que se trata de um contato legítimo, aumenta drasticamente. Além disso, a clonagem de voz por IA viabilizou um ressurgimento do vishing (phishing via chamadas de voz).
Hoje, bastam dois minutos de uma gravação para que algoritmos de deepfake reproduzam a voz de um executivo ou colega de trabalho de forma quase idêntica. Com isso, golpistas conseguem, por telefone, instruir secretárias ou assistentes a transferirem fundos para contas fraudulentas, baseando-se apenas na confiança que a voz “familiar” desperta.
O quishing — phishing por meio de QR Codes falsos — é uma das táticas emergentes mais perigosas, pois explora a propensão de muitos usuários a escanear códigos sem questionar sua origem. Códigos QR falsos podem ser incorporados em e-mails, mensagens de texto ou até mesmo exibidos fisicamente em locais públicos (em parquímetros, por exemplo), direcionando a vítima a sites de coleta de dados ou à instalação de malware sem que haja qualquer suspeita inicial.
O smishing, por sua vez, consiste no envio de mensagens SMS com links maliciosos ou instruções para contato imediato, fingindo ser notificações bancárias ou promoções imperdíveis. Com a ascensão dos aplicativos de mensagens instantâneas como WhatsApp e Telegram, o termo também passou a englobar conteúdo malicioso nessas plataformas.
Em 2024, já foram registrados casos de “zero-click smishing”, nos quais apenas o recebimento da mensagem — sem necessidade de clicar em nenhum link — é suficiente para comprometer o dispositivo, explorando vulnerabilidades em aplicativos de mensagens ou sistemas operacionais móveis.
Para driblar sistemas de filtragem de e-mails e aumentar a credibilidade, muitas campanhas de phishing híbrido começam por um e-mail aparentemente legítimo, indicando a necessidade de ligar para um determinado número de telefone para solucionar um suposto problema (na Receita Federal, banco, fornecedor etc.).
Ao ligar, a vítima é atendida por um golpista que prossegue o ataque por voz, solicitando dados adicionais ou confirmando transferências bancárias. Essa combinação entre e-mail e voz (phishing híbrido) aumenta a pressão psicológica, pois o alvo já recebeu um suposto “alerta oficial” por escrito.
Com o uso massivo de redes sociais, como Facebook, Instagram, LinkedIn e Twitter (atual X), o phishing evoluiu para incorporar DMs (mensagens diretas), stories patrocinados falsos e até mesmo comentários maliciosos com links de redirecionamento.
No YouTube, por exemplo, golpistas criam perfis falsos de influenciadores famosos e enviam solicitações de amizade em massa, pois a plataforma exibe poucas informações quando chega uma nova solicitação. Depois, enviam DMs prometendo sorteios de prêmios (dispositivos eletrônicos, eletrodomésticos, cartões-presente etc.), induzindo o usuário a clicar em links que levam a páginas de phishing.
Segundo um relatório da Avast, 90% das fraudes em dispositivos móveis e 87% das ameaças em desktops envolveram engenharia social, inclusive campanhas que utilizam deepfakes para simular figuras públicas anunciando supostas atualizações de monetização ou ofertas de parcerias.
Esses vídeos gerados por IA exibem o rosto e a voz de executivos do YouTube (como Neal Mohan, presidente da plataforma) solicitando que criadores “confirme o e-mail” para continuar a receber receita, mas, na verdade, redirecionam para sites falsos onde credenciais são roubadas.
Plataformas de anúncios legítimos (Google Ads, por exemplo) foram exploradas para veicular malvertising — a prática de criar publicidade maliciosa — , inserindo scripts que redirecionam, sem o conhecimento do usuário, a páginas infectadas ou de phishing. Esse tipo de ataque se aproveita do fato de que, ao exibir anúncios em sites com alto tráfego, a chance de infectar muitas vítimas aumenta dramaticamente.
Embora não seja algo inédito, o malvertising chama a atenção por continuar sendo relevante nos tempos atuais, quando é particularmente difícil conseguir boas colocações nos resultados de buscas de maneira ética. A capacidade dos criminosos de atingirem tal façanha é só mais um demonstrativo de como o cibercrime organizado investe tempo e dinheiro para ter retorno com suas armadilhas.
A evolução do ecossistema de crime cibernético trouxe ao mercado o conceito de phishing-como-serviço (phishing-as-a-service ou PaaS). Nessas plataformas, criminosos sem grandes conhecimentos técnicos podem adquirir, por valores relativamente baixos, kits completos de phishing, incluindo modelos de e-mails, páginas de login falsas hospedadas em servidores já configurados e até suporte técnico para manter as campanhas ativas e atualizar domínios bloqueados.
Alguns serviços de PaaS já incorporam inteligência artificial para gerar conteúdo ainda mais convincente, ajustar texto em tempo real com base nas interações da vítima e até modificar URLs automaticamente quando detectam que domínios foram bloqueados por mecanismos de proteção.
Isso pulveriza a barreira de entrada, fazendo com que até novatos consigam realizar ataques sofisticados, ampliando exponencialmente o número de campanhas em andamento.
Apesar de todo o aparato tecnológico usado pelos cibercriminosos, o coração do phishing continua sendo a engenharia social. Ou seja, a exploração de fraquezas humanas — confiança, curiosidade, urgência e medo. Mesmo com filtros de spam robustos, soluções de segurança avançadas e treinamentos corporativos, há sempre uma chance de alguém clicar no link “errado” ou atender a uma ligação que parece vir do próprio chefe.
Pesquisas indicam que 83% das organizações globais sofreram algum incidente de phishing em 2023, com perdas financeiras estimadas em bilhões de dólares, além de impactos de reputação e produtividade.
Isso reforça que, para mitigar o risco, não basta apenas tecnologia: é preciso cultura de conscientização contínua, simulações de phishing, implementação de autenticação multifator (MFA) e políticas rigorosas de validação de solicitações sensíveis.
O phishing permanece ativo, adaptando-se a novas plataformas (YouTube, WhatsApp, Telegram), tecnologias (IA, deepfake, quishing) e estratégias de engenharia social. Sua base — a manipulação psicológica — é o combustível que mantém o modelo vivo.
Enquanto houver usuários dispostos a confiar em um e-mail, mensagem ou ligação aparentemente legítima, haverá espaço para golpes bem-sucedidos.
A resposta a essa ameaça exige mais do que apenas ferramentas tecnológicas: requer um compromisso contínuo com a educação em segurança, processos internos robustos e a conscientização de que, em um mundo hiperconectado, a linha entre o real e o falso se torna cada vez mais tênue.
Portanto, nunca podemos afirmar que o phishing morreu; ao contrário, devemos assumir que ele se transformou e se tornou horizontal, agora onipresente — sempre pronto para explorar a próxima brecha de confiança humana.