search A mídia que reinventa a empresa

Decifrando o ataque de phishing, para que você não morda a isca!

Decifrando o ataque de phishing, para que você não morda a isca!

Por Ainhoa Carpio-Talleux

Em 30 de abril de 2025

Alerta vermelho em nossas caixas de entrada de e-mail: os ataques de phishing aumentaram. De acordo com os dados do APWG, os ataques de phishing aumentaram de 877.536 no segundo trimestre de 2024 para 989.123 no quarto trimestre.

Não se trata apenas de um aumento, mas de uma verdadeira maré de ataques de phishing varrendo nossas organizações. Já se foram as mensagens grosseiras, repletas de erros de ortografia, de um hacker nigeriano querendo compartilhar sua fortuna. Hoje, os criminosos cibernéticos estão implantando estratégias sofisticadas que enganam até mesmo os profissionais mais experientes.

Para lidar com isso, vamos descobrir o que é "phishing", suas diferentes formas e como evitá-lo em um ataque.

O que é um "ataque de phishing"?

Ataque de phishing: definição

Phishing é uma técnica de hacking criada para roubar informações confidenciais fingindo ser uma pessoa ou entidade confiável. É uma técnica de ataque cibernético muito comum, que afeta tanto indivíduos quanto grandes empresas. Mas, é claro, quanto maior o peixe, melhor para os hackers.

Qual é o objetivo dos ataques de phishing?

Esses hackers, ou mais precisamente "scammers" no jargão, têm vários objetivos:

  • Roubar seus dados pessoais ou profissionais.
  • Assumir a identidade do alvo para cometer fraudes.
  • Invadir um sistema de computador e instalar um cavalo de Troia ou outro software mal-intencionado.
  • Desviar dinheiro por meio de transferências bancárias fraudulentas.
  • Acessar contas pessoais e profissionais: e-mail, redes sociais, serviços da Web, etc.

Exemplo de um ataque de phishing

Em 2024, de acordo com o relatório da Arctic Wolf, 70% das empresas relataram ataques de comprometimento de e-mail comercial (BEC ) . O resultado? Quase 29% delas sofreram pelo menos um ataque bem-sucedido.

Estudo de caso de um ataque de phishing em 2025

Em fevereiro de 2023, uma empresa francesa perdeu cerca de 38 milhões de euros depois que o departamento de contabilidade respondeu a um e-mail que parecia vir dos advogados e do diretor administrativo, pedindo que eles fizessem 45 transferências em total inocência. (fonte: Radio France)

O e-mail estava perfeitamente redigido, usava os logotipos, as assinaturas e as referências internas corretas e até mencionava um projeto confidencial real em andamento na organização.

Esse ataque sofisticado mostra o quanto as técnicas de phishing se tornaram profissionais, representando uma grande ameaça à segurança cibernética da sua empresa.

O ABC de um ataque de phishing: como ele funciona

Um ataque de phishing pode assumir várias formas (veja abaixo). Mas seja qual for a forma, há vários estágios em um processo típico.

1. Preparação

O hacker reúne informações sobre seu alvo (empresa, equipe, hábitos) por meio de redes sociais ou da Web. Essa é a fase de reconhecimento. O pescador identifica o peixe para se armar com a melhor isca para colocar em seu anzol. Em outras palavras, ele personalizará o ataque, o que não garante o sucesso, mas aumentará drasticamente sua taxa de sucesso.

2. Criação da isca (bait)

Desenvolvimento de uma mensagem confiável que imite uma organização legítima. Ela pode vir de um banco, de um departamento interno de TI, de um provedor de Internet etc.

O hacker reproduzirá fielmente as características da organização:

  • A identidade visual (logotipos, carta gráfica).
  • O tom e o estilo usuais de comunicação.
  • Assinaturas oficiais e detalhes de contato.
  • Domínios da Web semelhantes (por exemplo, amazon-security.com em vez de amazon.com).

3. Distribuição (lançando o gancho)

Envio em massa ou direcionado de uma mensagem contendo um link malicioso ou um anexo infectado. Todos os dias, nada menos que 3,4 bilhões de e-mails de phishing são enviados ao redor do mundo, representando 1,2% de todos os e-mails, de acordo com a AAG.

De acordo com suas estatísticas, todos devem ter recebido um ataque de phishing pelo menos uma vez na vida. Os sortudos não terão visto o e-mail (porque ele terá ido para o spam). Os azarados serão as vítimas e perceberão isso tarde demais.

4. Manipulação

Incentivar a vítima a clicar no link ou abrir o anexo usando técnicas de engenharia social:

  • Criação de um senso de urgência ("Sua conta será bloqueada em 24 horas").
  • Uso da curiosidade ("Veja quem consultou seu perfil").
  • Exploração do medo ("Suspicious connection attempt detected").
  • Apelo à ganância ("Você ganhou um iPhone 15").

5. Compromisso

Coleta de identificadores inseridos no site falso ou instalação de código malicioso no dispositivo da vítima. Esse estágio geralmente é invisível para o usuário, que pensa estar interagindo com um serviço legítimo.

6. Exploração

Aqui, dependendo da forma de phishing, os dados são explorados de diferentes maneiras.

  • Usar dados roubados para acessar contas.
  • Fazer transferências fraudulentas.
  • Iniciar outros ataques de rede dentro da organização.

Você sabia? A inteligência artificial se tornou uma aliada formidável dos criminosos cibernéticos. As técnicas mais recentes incluem clonagem de voz (replicar a voz de um CEO por telefone) e deepfakes (criar vídeos falsos de uma pessoa confiável). Essas tecnologias tornam os ataques infinitamente mais convincentes e difíceis de serem detectados por um serviço de segurança.

Os tipos mais comuns de ataque de phishing

Com o passar dos anos, os hackers aperfeiçoaram suas técnicas para se tornarem cada vez mais específicos e eficazes.

Mas o princípio é o mesmo. O hacker é um pescador. O phishing é tanto a isca quanto o anzol. E o alvo/vítima é o peixe. Para evitar essas armadilhas, você precisa entender como elas funcionam.

Aqui estão as técnicas ou os métodos de ataque de phishing mais comumente usados.

1. Phishing por e-mail - o clássico eterno

O phishing por e-mail continua sendo o modus operandi preferido dos hackers. É o mais fácil de configurar e o mais difundido. As pessoas são as presas mais fáceis para o phishing. Basicamente, uma organização com um gerente de TI não terá problemas para evitá-lo.

Como você o reconhece?

Considerando o número de e-mails comerciais que uma empresa pode receber todos os dias ou todas as semanas, é fácil se perder. Mas há alguns sinais de alerta.

Antes de clicar em um link de e-mail ou fazer download de um arquivo, verifique o seguinte:

  • Endereço de remetente suspeito (procure além do nome exibido).
  • Erros sutis de ortografia (geralmente no domínio do remetente).
  • Saudações genéricas ("Prezado cliente" em vez de seu nome).
  • Links cujo URL revela um destino diferente quando se passa o mouse sobre eles.
  • Anexos com extensões duvidosas (.zip, .exe, .bat).

Exemplo típico : um e-mail imitando seu banco pede que você "confirme seus dados bancários após uma atualização de segurança".

2. Spear phishing - O ataque sob medida

Ao contrário do phishing em massa, o spear phishing tem como alvo indivíduos específicos com mensagens personalizadas. O hacker usa informações públicas ou internas (LinkedIn, publicações da empresa, organogramas) para criar uma mensagem totalmente personalizada para o alvo. Esse é mais um lembrete da importância de escolher as informações certas a serem divulgadas em uma rede social.

A taxa de sucesso desses ataques direcionados é 10 vezes maior do que a do phishing tradicional, porque eles são cuidadosamente elaborados e extremamente confiáveis. O spear phishing é hoje uma das principais ameaças aos dados corporativos confidenciais.

Na prática, isso pode assumir a forma de :

  • Personalização extensiva (menção de colegas, projetos atuais).
  • Referência a eventos reais na empresa (talvez adultérios).
  • Direcionamento preciso de pessoas com acesso a dados confidenciais.
  • Imitação perfeita do estilo de comunicação da organização.

Portanto, se alguém enviar: "Luke, eu sou seu pai", é um sinal.

3. Caça às baleias - A caça aos peixes grandes

Por que ir atrás do peixe pequeno quando você pode ir atrás da grande baleia branca (Moby Dick)? O Whaling visa especificamente os principais executivos de uma organização.

Esses ataques de phishing são meticulosamente preparados e extremamente confiáveis, geralmente após semanas de estudo do comportamento e do estilo de comunicação do alvo. Quanto maior o peixe, melhor a preparação.

Isso só mostra como o hacking se tornou avançado.

Os principais pontos para entender e identificar o whaling são:

  • Mensagens personalizadas que evocam as responsabilidades específicas do executivo.
  • Exploração de relações de poder dentro da empresa.
  • Demandas financeiras significativas, mas plausíveis.
  • Uso da urgência para contornar os processos de verificação.

Exemplo : um e-mail falso do CFO para o CEO solicitando a validação urgente de uma transferência para "finalizar a aquisição confidencial" que eles haviam discutido recentemente.

4. Vishing - phishing de voz

O vishing (phishing por voz) explora chamadas telefônicas para manipular as vítimas. O invasor se faz passar por um colega, suporte técnico ou parceiro bancário e usa a urgência da situação para fazer com que você revele informações confidenciais. Com a recente chegada da IA (IA de voz), essa técnica de phishing está explodindo nas novas tendências de hacking.

Técnicas comuns

  • Spoofing para exibir um número legítimo.
  • Criação de um cenário de emergência que exige ação imediata.
  • Exploração de autoridade (chamada falsa do departamento de TI ou de um superior).
  • Uso do ruído de fundo da central de atendimento para reforçar a credibilidade.

Uma palavra de advertência tecnológica:

As ferramentas de clonagem de voz baseadas em IA fizeram com que esses ataques explodissem em 2024. Uma gravação de alguns segundos da voz de um executivo (disponível em entrevistas ou webinars) agora é tudo o que é necessário para gerar conversas completas que imitam perfeitamente seu tom e entonações.

O que é mais preocupante em tudo isso? No momento, não existe uma solução pronta para detectar esse tipo de hacking. Portanto, precisamos permanecer vigilantes e acompanhar os avanços da tecnologia de IA, que está constantemente apresentando novas tendências a cada mês (ou mesmo semana).

5. Smishing - A armadilha do SMS

Quem disse que as mensagens de texto estavam saindo de moda? Os hackers certamente não! O smishing (phishing por SMS) explora mensagens de texto para induzi-lo a clicar em links maliciosos. Essa técnica aproveita o fato de que as mensagens SMS podem ser consultadas quase imediatamente pelos destinatários, e o formato curto facilita a ocultação de pistas suspeitas.

Sinais reveladores

  • Números de remetente desconhecidos ou alfanuméricos.
  • Mensagens curtas que criam um senso de urgência ("Entrega pendente", "Pagamento recusado").
  • Links encurtados que mascaram o verdadeiro URL de destino.
  • Erros sutis de ortografia ou gramática.

Em 2024, o grupo "Smishing Triad" realizou campanhas em mais de 121 países, usando cerca de 200.000 domínios para suas operações, de acordo com a WIRED. Esses ataques são particularmente eficazes devido à sua brevidade e ao senso de urgência que criam.

Dica de segurança do dia

Nunca clique diretamente em um link recebido por SMS. Se a mensagem parecer vir de uma empresa legítima (banco, correios), há duas opções. Abra você mesmo o aplicativo oficial ou digite manualmente o endereço da Web em um navegador.

Exemplo de mensagens SMS que você pode receber:

6. Clone phishing - copiar para enganar melhor

Para os atacantes, o clone phishing envolve a duplicação dos e-mails legítimos dos usuários. Eles modificam as mensagens originais incluindo links ou anexos maliciosos. Em seguida, os e-mails são enviados de contas falsificadas para parecerem autênticos. Aqui, os invasores falsificam o endereço de e-mail do remetente para enviar a mensagem clonada.

Em geral, o objetivo do clone phishing é enganar os destinatários para que forneçam informações sobre seus dados bancários ou pessoais.

Essa técnica se baseia principalmente na desatenção das vítimas. Há 36 maneiras de se proteger. Passe o mouse sobre os links antes de abri-los.

7. Pharming - hacking invisível

Esse tipo de fraude usa código malicioso para redirecionar as vítimas para sites falsos. O objetivo do hacker é roubar os identificadores e os dados confidenciais da vítima.

Os ataques de pharming ocorrem quando os criminosos cibernéticos manipulam o DNS (Sistema de Nomes de Domínio) ou comprometem o dispositivo de um usuário para redirecioná-lo a um site fraudulento.

Para sua informação, o DNS é um sistema que traduz nomes de domínio (www.example.com) em endereços IP para que os navegadores possam carregar o site correto.

Em um ataque de pharming, os invasores corrompem esse processo para redirecionar os usuários para sites maliciosos que imitam sites legítimos.

Em princípio, o pharming começa com a instalação de um código malicioso no servidor da vítima. Quando o código é concluído, a vítima é redirecionada para um site falso. A partir daí, é provável que ela compartilhe seus dados confidenciais ou detalhes de login.

Para evitar o pharming, recomendamos o uso de DNS seguro (como o Cloudflare ou o Google DNS). Você também deve usar certificados SSL e ativar o protocolo DNSSEC.

8. Phishing via redes sociais - ataques disfarçados

Se você acha que percorrer o Tiktok e o Instagram é seguro, você não entendeu o ponto. Os ataques nessas plataformas estão se multiplicando, incentivando-o a divulgar informações pessoais.

Primeiro, você recebe uma notificação por e-mail dizendo que precisa ativar uma nova conta, pois a que você já tem vai desaparecer (as famosas mensagens de Zuckerberg, sabe?). Se você morder a isca, seus dados privados serão violados.

☝️Faites Também tome cuidado com as solicitações de amizade! Algumas contas falsas não querem sua amizade, elas querem seus dados ou seu dinheiro.

9. Phishing de código QR - Quando uma simples leitura se torna uma ameaça

Os códigos QR estão em toda parte, de supermercados a sites de vendas de treinamento. Os hackers estão achando cada vez mais fácil atacá-lo usando esses códigos. Os casos mais comuns? Eles criam códigos maliciosos que redirecionam você para um site fraudulento.

Um código QR preso em um sinal de "WiFi gratuito"? É como um doce envenenado... não o escaneie!

Na prática, o phishing de código QR visa enganar os usuários para que forneçam informações confidenciais, como detalhes de login, dados bancários ou até mesmo informações sobre sua identidade.

🗣️Conseil: opte por scanners que incluam uma visualização do link (como o Google Lens) e nunca escaneie um código QR preso em um objeto público.

10. Phishing por meio de aplicativos móveis - um golpe em seu smartphone

O phishing por meio de aplicativos móveis consiste em fazer com que você instale um gadget fraudulento que se parece exatamente com o aplicativo legítimo. Uma vez instalado, ele :

  • exibe as interfaces de conexão usadas pela vítima;
  • coletará todos os dados inseridos;
  • Operar em segundo plano para monitorar a atividade do usuário.

Alguns fatores favorecem esse ataque de phishing: telas pequenas (dificultando a identificação de URLs maliciosos), notificações consultadas rapidamente e conexões automáticas.

Como você pode evitar essas armadilhas? Pare de seguir qualquer link que apareça em seu feed de notícias do Facebook!

Como você pode reconhecer e evitar um ataque de phishing?

Embora o phishing seja uma ameaça onipresente no mundo digital, os sinais também são reveladores. Às vezes, somos nós que escolhemos ser cegos: erros de ortografia e gramática, endereços de e-mail que não incluem nomes de domínio, emergências que não têm nada a ver com urgência e assim por diante.

Suponha que você receba um e-mail que diz ser do seu banco, solicitando que você verifique seus dados pessoais devido a uma " atividade suspeita". No calor do momento, você se sentiria tentado a responder! Resultado: você caiu em uma armadilha!

Agora você entendeu, mas seus funcionários ainda estão clicando e respondendo a qualquer e-mail! Mais uma vez, você está preso!

O que você pode fazer a respeito? Treinamento e conscientização da equipe! Não abrir mais anexos infectados! Ninguém mais é estupidamente redirecionado para um site fraudulento!

A introdução da autenticação de dois fatores (2FA) também constitui uma barreira adicional contra oacesso não autorizado. Mesmo que uma senha seja comprometida, a 2FA exige uma segunda verificação, o que torna muito mais difícil para os criminosos cibernéticos acessarem as contas.

Você também deve considerar soluções de segurança avançadas, como software de filtragem de e-mail. Aqui, é você quem está usando a rede para capturar os criminosos. Vamos inverter o papel, certo?

Ataque de phishing: em poucas palavras!

Em resumo, o phishing continua sendo uma das ameaças cibernéticas mais formidáveis. Como mostram os dados da Netskope, a taxa de ataques de phishing aumentou acentuadamente em 2024.

Em termos de como funciona, o phishing envolve o envio de mensagens que parecem vir de uma empresa ou site legítimo. Essas mensagens geralmente contêm um link que redireciona o usuário para um site falso que se parece com o verdadeiro. Em seguida, o usuário será solicitado a inserir informações pessoais , como detalhes de login ou número de cartão de crédito. Esse ataque pode assumir várias formas, desde as mais clássicas (phishing por e-mail) até as mais sofisticadas (whaling).

Para se proteger contra ameaças cibernéticas, é recomendável ficar mais atento e, acima de tudo, receber treinamento regular. A adoção das ferramentas certas (2FA, filtros antiphishing) também é um escudo eficaz. Dito isso, a segurança cibernética deve continuar sendo uma prioridade coletiva (empresas e funcionários) se quisermos enfrentar a engenhosidade dos criminosos cibernéticos.

O phishing está evoluindo, mas a sua vigilância também. Então, você está pronto para se tornar um peixe inteligente demais para os hackers?

Artigo traduzido do francês