Os golpes de e-mail mais perigosos geralmente se parecem com as mensagens mais comuns na sua caixa de entrada, dizem os especialistas.
Desde faturas falsas a mensagens urgentes que se fazem passar por funcionários de empresas, os ataques de phishing estão a tornar-se mais personalizados, mais sofisticados e mais eficazes.
Especialistas disseram Semana de notícias Apesar das campanhas de conscientização e das novas tecnologias de segurança, os cibercriminosos continuam a enganar as vítimas usando agilidade, engano e detecção cada vez maior por inteligência artificial. Eles falam sobre e-mails fraudulentos nos quais as pessoas provavelmente cairão.
“O tipo mais comum de phishing ainda é executado por e-mail, que representa cerca de 30% de todas as tentativas de phishing”, disse Dennis Vazovoy, diretor de produto da AdGuard VPN. Semana de notícias. “E-mails solicitando conta de pagamento têm aproximadamente a mesma parcela, enquanto e-mails de acompanhamento completam as três categorias principais.”
De acordo com o Internet Crime Complaint Center (IC3) do FBI, em 2021, 323.972 pessoas nos Estados Unidos relataram ter sido vítimas de phishing. O relatório mais recente do FBI de 2024 viu esse número cair para 193.407 – mas ainda supera em muito todas as outras alegações de crimes cibernéticos.
Técnicas e temas gerais
Vyazovoy explica que muitos golpes dependem de engenharia social básica – criando um senso de urgência para contornar o pensamento racional. As linhas de assunto geralmente incluem “ação necessária”, “responda agora” ou “você está disponível?” Outros se disfarçam como mensagens internas confidenciais, atualizações de contas bancárias ou convites legítimos de calendário relacionados ao trabalho.
“Uma nova tendência de phishing que tem sido associada à popularidade do trabalho remoto envolve convites de calendário falsos”, disse ele. “Esses golpes aparecem automaticamente no seu calendário sem autorização e muitas vezes incluem links disfarçados de reuniões Zoom ou atualizações de software.”
A personalização de e-mail atingiu novos patamares com a IA generativa, que permite que os golpistas imitem de perto a comunicação corporativa e os estilos de escrita, dizem os especialistas.
“O spear phishing também é uma ameaça crescente à medida que esses ataques se tornam mais sofisticados e mais difíceis de detectar”, disse Alex Garcia-Tober, CEO da empresa de segurança de e-mail Valeimail. Semana de notícias. “Hackers usando engenharia social para criar e-mails confiáveis feitos sob medida para indivíduos ou departamentos.”
O golpe de maior sucesso de todos os tempos
A coleta de credenciais e o comprometimento de e-mail comercial (BEC) continuam sendo duas das técnicas de phishing mais prejudiciais, de acordo com o especialista em segurança cibernética Michael Ko, CEO e cofundador da plataforma de autenticação e segurança de e-mail Suped.
Em golpes de coleta de credenciais, os e-mails se fazem passar por marcas confiáveis, como Microsoft, Google ou Docusign, e solicitam que os destinatários cliquem em um link fingindo urgência – como “Sua conta está bloqueada” – que leva a um portal de login falso.
Os golpes BEC, por outro lado, são mais direcionados.
“Os golpistas se fazem passar por executivos de alto nível… com um pedido urgente e confidencial para ‘pagar essas contas extras’ ou ‘transferir fundos para uma aquisição secreta'”, disse Ko. Semana de notícias.
Ko também destacou a crescente ameaça de “quishing” – phishing através de códigos QR – e “vishing”, ou phishing de voz, onde os golpistas usam vozes geradas por IA para se passarem por pessoas reais. Ele disse que as taxas de cliques em campanhas de phishing são alarmantemente altas.
“Alguns relatórios mostram que a campanha média de phishing atinge uma taxa de cliques de 17,8%”, diz Ko. “Pior ainda, ataques de ‘spear-phishing’ altamente direcionados podem enganar mais de 50% dos destinatários. O tempo médio que um usuário clica em um link malicioso é de apenas 21 segundos.”
Fraude artificialmente inteligente
A inteligência artificial reduziu a barreira de entrada dos cibercriminosos e tornou os seus ataques mais difíceis de detectar, de acordo com vários especialistas.
“Atualmente, os invasores usam métodos muito sofisticados para fazer as pessoas acreditarem que os e-mails de phishing que recebem são da empresa que estão se passando”, disse Arne Moehl, cofundador do serviço de e-mail criptografado Tuta Mail. Semana de notícias. “Eles falsificam o domínio, o endereço de e-mail de envio, fazem o e-mail parecer bem desenhado com o logotipo e as cores da empresa que se faz passar por uma empresa e muito mais.”
disse Rosario Mastrogiacomo, diretora de segurança da empresa de gerenciamento de identidade SPHERE Semana de notícias Páginas de login falsas que imitam plataformas como Microsoft 365 ou Pay Portal são agora um elemento básico das campanhas de phishing. Essas páginas geralmente aparecem depois que os usuários clicam em links incorporados em notificações de documentos compartilhados aparentemente inofensivos ou em solicitações de redefinição de senha.
“Também estamos recebendo e-mails de um executivo solicitando transferências eletrônicas, compras com vale-presente ou alterações em dados bancários”, disse Mastrogiacomo. “Eles frequentemente contornam os filtros de spam usando formatação de texto simples e linguagem adaptada aos estilos de comunicação interna.”
A ascensão de golpes multicanais, vozes falsas e ‘quishing’
O phishing evoluiu além do e-mail. Plataformas de mensagens como mensagens de texto SMS e WhatsApp são agora métodos de entrega comuns.
“Na maior parte, é o mesmo de sempre – mensagens da Microsoft, PayPal, bancos, empresas de logística… mas sem erros ortográficos e com melhor desempenho geral”, disse Artem Bovtyukh, engenheiro sênior de segurança de TI da MacPow. Semana de notícias. “E não é apenas por e-mail – o phishing por SMS é agora muito comum, assim como o phishing em aplicativos de mensagens como o WhatsApp.”
O phishing de código QR, ou “quishing”, está se tornando mais difundido, acrescentou Bovtyukh, apoiando Ko.
disse Robson Jennings, vice-presidente sênior de serviços globais e inteligência da empresa de segurança cibernética ZeroFox. Semana de notícias Os ataques mais bem-sucedidos combinam esses múltiplos vetores.
“Os e-mails de phishing tornam-se cada vez mais parte de um esquema maior”, disse Jennings. “Estamos vendo um aumento nesta técnica de engenharia social multicamadas”.
Após um e-mail de phishing inicial, os golpistas podem fazer o acompanhamento com uma mensagem de texto ou telefonema – às vezes usando vozes clonadas por IA para se passar por pessoas confiáveis na organização. Os especialistas dizem para ter cuidado com essas coisas.
Sazonalidade e exploração psicológica
Os golpistas estão bem cientes dos momentos em que as pessoas têm maior probabilidade de serem enganadas, como os feriados ou a temporada de procura de emprego.
“À medida que nos aproximamos das férias, os e-mails de phishing mais comuns explorarão marcas confiáveis e situações de emergência”, disse Shayla Rana, professora da Purdue Global, especialista em segurança cibernética e IA. Semana de notícias. “Pense em uma notificação de entrega de pacote alegando que a entrega falhou e que eles precisam de verificação de endereço.”
Rana também citou um exemplo flagrante que empregou manipulação emocional: uma campanha de phishing que se fazia passar pelo suporte do LastPass com o assunto “Solicitação legada aberta (urgente se você não estiver morto)”.
“Também existem esquemas de trabalho em casa e ofertas de emprego falsas que proliferaram”, disse Rana, “visando candidatos a emprego remotos”.
Por que as pessoas ainda caem nessa
“O phishing é um dos tipos mais comuns e eficazes de golpes por e-mail porque depende de engano e familiaridade”, disse Ann Cutler, especialista em segurança cibernética da Keeper Security. Semana de notícias.
Os invasores muitas vezes se fazem passar por colegas de trabalho, bancos ou até mesmo familiares. Uma ligeira mudança no texto – como substituir a letra “m” por “rn” – pode enganar até mesmo leitores atentos.
“Essas fraudes muitas vezes atingem o pico de frequência em torno de eventos que envolvem transações digitais”, acrescentou.
O fio condutor de todos os golpes é a manipulação psicológica – urgência, autoridade, medo e confiança.
“O principal objetivo é levar o destinatário a agir rapidamente, sem perder tempo pensando ou verificando”, diz Vyazovoy.
