Logo HSC-01
  • Soluções
  • Parceiros
  • Empresa
  • Materiais
  • Suporte
  • Blog
  • Contato
Free Trial

Phishing em 2025: o que mudou e como se proteger

A tendência para o phishing em 2025 é que ele continue a ser uma das ameaças mais perigosas na cibersegurança, só que de forma ainda mais sofisticada. Com o avanço de tecnologias como inteligência artificial e deepfakes, os ataques de phishing estão mais personalizados e difíceis de detectar, colocando em risco a segurança de empresas e indivíduos.

O objetivo dos criminosos, porém, continua o mesmo: enganar as vítimas para que forneçam informações confidenciais, como senhas, dados bancários e informações pessoais.

Neste artigo, vamos explorar como os ataques de phishing estão evoluindo e quais medidas as empresas podem tomar para se proteger em 2025. Confira!

Principais tópicos deste artigo

Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia

Leia o estudo de caso

O que é phishing?

Antes de tudo, é importante relembrarmos o conceito básico de phishing.

Phishing é um tipo de ataque cibernético em que criminosos tentam enganar vítimas para que forneçam informações confidenciais, como senhas, dados bancários ou informações pessoais, por meio de mensagens fraudulentas. 

Essas mensagens vêm disfarçadas de comunicações legítimas, como e-mails, mensagens de texto, ou até chamadas telefônicas. Em geral, os criminosos tentam se fazer passar por um contato confiável, como um banco, uma loja conhecida ou até um colega de trabalho.

Os ataques de phishing frequentemente incluem links para sites falsos, formulários ou anexos maliciosos que, ao serem acessados ou preenchidos, comprometem as informações da vítima.

Principais tipos de phishing

1. Phishing via e-mail

Este é o tipo mais comum de phishing. Os atacantes enviam e-mails fraudulentos se passando por empresas ou pessoas de confiança, como bancos ou prestadores de serviços. O objetivo é enganar a vítima para que ela clique em links maliciosos ou abra anexos infectados, resultando no roubo de informações pessoais ou instalação de malware.

Embora seja uma ameaça comum, o phishing por e-mail é gravíssimo e não deve ser banalizado: estima-se que ele seja a porta de entrada para cerca de 90% dos ataques cibernéticos.

2. Spear Phishing

Diferente do phishing comum, o spear phishing é altamente direcionado. Os criminosos fazem uma pesquisa detalhada sobre a vítima, coletando informações como nome, cargo e histórico de comunicação, para criar mensagens personalizadas que parecem legítimas. Esse tipo de ataque visa indivíduos ou grupos específicos e é mais difícil de detectar devido à sua personalização.

3. Vishing (Voice Phishing)

Vishing envolve ataques de phishing por meio de chamadas telefônicas. Em geral, os atacantes fingem ser representantes de empresas, como bancos ou suporte técnico. 

O objetivo é tentar convencer a vítima a acessar sistemas comprometidos, fazer downloads, concluir transferências bancárias ou fornecer informações pessoais sensíveis, como números de cartão de crédito e senhas. 

Um exemplo comum de vishing no Brasil é o golpe da falsa central de banco. Neste golpe, os criminosos entram em contato fingindo ser da central de atendimento de um banco e induzem a vítima a transferir dinheiro ou fornecer dados pessoais.

4. Smishing (SMS Phishing)

O smishing usa mensagens de texto (SMS) para enganar as vítimas. Os criminosos enviam mensagens fraudulentas disfarçadas de ofertas ou alertas urgentes, como “Sua conta foi comprometida, clique aqui para recuperar”. 

Essas mensagens geralmente incluem links maliciosos ou números de telefone falsificados, que podem inclusive ser iguais aos números oficiais de empresas conhecidas. Isso é possível graças a uma técnica chamada de “spoofing de telefone”, que detalhamos neste post.

5. Phishing via redes sociais

Os ataques de phishing também acontecem nas redes sociais, onde os criminosos criam perfis falsos ou hackeiam contas existentes para se passar por amigos ou colegas. Um golpe comum é quando os atacantes hackeiam uma conta legítima e então começam a anunciar para os seguidores a venda de produtos ou serviços falsos, que nunca serão entregues.

Outra forma de phishing nas redes sociais é por meio dos anúncios pagos, promovidos pelas próprias plataformas. Embora elas adotem mecanismos para tentar bloquear anúncios fraudulentos, alguns conseguem escapar do controle. O resultado são anúncios que levam a sites falsos e lojas que não existem de verdade.

6. Business Email Compromise (BEC)

O BEC é um tipo de phishing em que os atacantes se passam por executivos ou parceiros de negócios de alto nível para enganar funcionários e realizar transações financeiras fraudulentas. Muitas vezes, os atacantes conseguem acessar contas de e-mail comprometidas e enviar solicitações de pagamento ou outras ações que causam prejuízos financeiros significativos.

De todas as formas de phishing, o BEC é o que tem maior impacto financeiro para as empresas. Segundo dados do FBI, esse tipo de ataque já levou a perdas de mais de U$55 bilhões na última década.

7. Angler Phishing

Este tipo de phishing ocorre nas redes sociais e usa falsos perfis de suporte ao cliente. Os atacantes se passam por empresas legítimas, respondendo a reclamações de usuários e, em seguida, tentando direcioná-los para sites de phishing ou coletar informações pessoais sob o disfarce de “suporte ao cliente”.

8. Pharming

Embora não seja um tipo de phishing tradicional, o pharming redireciona as vítimas para sites falsificados, mesmo que elas digitem o endereço correto na barra de navegação. 

Isso é feito através da modificação do DNS (Sistema de Nomes de Domínio) ou da instalação de malware no computador da vítima, permitindo que os criminosos capturem as credenciais de login e outras informações.

9. Clone Phishing

No clone phishing, os atacantes copiam um e-mail legítimo que a vítima já recebeu, alteram partes do conteúdo (como o link ou anexo) para torná-lo malicioso, e reenviam esse e-mail para a vítima. Como o e-mail se parece com uma mensagem legítima, a vítima pode ser enganada facilmente.

Quer melhorar a conscientização sobre cibersegurança na sua empresa, mas não sabe por onde começar?

Quero saber mais

O que muda nas ameaças de phishing em 2025?

Basicamente, o que podemos esperar para o phishing em 2025 é que ele se torne uma ameaça ainda mais sofisticada. Isso é impulsionado principalmente por tecnologias emergentes, como inteligência artificial e automatização.

A revolução trazida pela IA generativa, com destaque para o Chat GPT, impactou profundamente também o cenário de ameaças. Na prática, os ataques de phishing evoluíram de tentativas genéricas e mal formuladas para estratégias altamente personalizadas e convincentes. 

Por consequência, detectar phishing é uma tarefa cada vez mais difícil, tanto para usuários quanto para as ferramentas de segurança. Todo esse contexto levou a um aumento também no número de ataques, complicando ainda mais o cenário.

Abaixo, listamos alguns dos principais pontos de atenção para este ano.

Ascensão da inteligência artificial

Como mencionamos, o uso de IA na criação de e-mails e mensagens fraudulentas é uma das principais mudanças no phishing de 2025. 

Ferramentas alimentadas por IA agora conseguem gerar e-mails personalizados, adaptando as mensagens de acordo com o comportamento e o histórico de interações da vítima. 

Em vez de utilizar apenas informações básicas, como nome e cargo, os atacantes agora conseguem atuar de forma mais específica, replicando até mesmo o estilo de escrita das vítimas. Isso gera mensagens muito mais convincentes, com uma aparência genuína, dificultando a distinção entre um e-mail legítimo e um falso.

Além disso, os chatbots baseados em IA estão sendo empregados para enganar as vítimas em conversas em tempo real, como quando um cliente tenta acessar suporte técnico. Esses bots são programados para simular conversas naturais, tornando mais difícil para os usuários perceberem que estão interagindo com um programa malicioso, e não com uma pessoa real.

Ataques em múltiplos canais

Os ataques não se limitam mais ao e-mail, e isso vai ficar ainda mais evidente em 2025. 

Novas tecnologias tornaram mais fácil para os criminosos atacarem em vários canais de comunicação, como mensagens de texto (smishing) e chamadas telefônicas automatizadas (vishing). Esses ataques são cada vez mais integrados e coordenados, criando uma experiência de ataque mais coesa e persistente. 

O smishing, por exemplo, envolve o envio de SMS fraudulentos com links maliciosos, frequentemente disfarçados como alertas de segurança ou ofertas imperdíveis. O objetivo é incitar a vítima a clicar e comprometer suas informações pessoais.

O vishing, por outro lado, tem se tornado uma ferramenta popular para os atacantes, pois eles conseguem imitar com precisão vozes e tons de voz humanos. Usando ferramentas avançadas de deepfake e síntese de voz, os fraudadores podem criar chamadas telefônicas que parecem vir de fontes confiáveis, como bancos, empresas ou até mesmo de executivos da empresa da vítima. 

Evolução do Business Email Compromise (BEC)

O BEC, que já era uma ameaça relevante, deve se intensificar em 2025. Como explicamos anteriormente, neste tipo de ataque o criminoso normalmente finge ser um diretor ou funcionário da empresa, e tenta enganar outros colaboradores para que eles realizem transações fraudulentas – normalmente, transferências bancárias.

Com a ajuda de IA e a coleta de dados em redes sociais, os atacantes agora têm informações detalhadas sobre os papéis e responsabilidades das vítimas dentro da organização. Isso permite que eles se façam passar por executivos de alto escalão, solicitando ações financeiras urgentes, como pagamentos para fornecedores. 

O uso de IA no BEC torna esses ataques ainda mais convincentes, adaptando-se rapidamente às defesas e comportamentos da organização.

Para se ter uma ideia, em 2024 uma empresa em Hong Kong perdeu US$25 milhões devido a um golpe sofisticado utilizando tecnologia de deepfake. No ataque, criminosos replicaram a aparência e a voz do diretor financeiro da empresa durante uma videoconferência falsa, e então convenceram um funcionário a fazer a transferência.

Integração com redes sociais e ferramentas de colaboração

Outro grande avanço no phishing de 2025 é o uso de redes sociais e plataformas de colaboração online como alvos. 

Os atacantes agora estão monitorando redes sociais e fóruns de discussão para entender os interesses e as conexões de suas vítimas. Com essas informações, eles podem criar campanhas de phishing mais eficazes, aproveitando a confiança que as pessoas têm em seus círculos sociais. 

Além disso, com o aumento do uso de ferramentas como Slack, Teams e Zoom, as empresas estão vendo novos tipos de ataques direcionados a essas plataformas. Os criminosos agora enviam convites falsificados para reuniões ou mensagens com links maliciosos, tudo disfarçado como uma interação legítima dentro do ambiente corporativo.

Como se proteger contra phishing em 2025

Com os ataques de phishing se tornando cada vez mais sofisticados, as empresas e indivíduos precisam adotar uma abordagem multifacetada para se proteger. Isso vai exigir um mix de educação contínua, tecnologia avançada e boas práticas de segurança. 

A seguir, abordamos as principais estratégias para minimizar os riscos de ser vítima de um ataque de phishing.

1. Treinamento contínuo para equipes

A principal linha de defesa contra o phishing é a educação dos usuários. Os ataques modernos são frequentemente projetados para explorar a psicologia humana e enganar até os colaboradores mais experientes. Portanto, é importante que as empresas implementem programas de treinamento contínuo sobre segurança cibernética, com foco em como identificar tentativas de phishing.

Esses treinamentos devem ser atualizados regularmente para refletir novas técnicas e incluir simulações de ataques reais, como testes de phishing. Isso ajuda os colaboradores a reconhecerem e-mails suspeitos, links fraudulentos e solicitações duvidosas. 

Além disso, a cultura de conscientização deve ser promovida em todos os níveis da organização, garantindo que todos os funcionários compreendam as consequências de um ataque de phishing bem-sucedido. Uma ferramenta que auxilia nesse processo é o MindAware, o software de conscientização em segurança da informação da HSC Labs.

2. Implementação de autenticação multifator (MFA)

Uma das formas mais eficazes de proteger as contas e sistemas contra phishing (especialmente vindo de contas comprometidas) é a autenticação multifatorial (MFA). 

Mesmo que um atacante consiga obter as credenciais de login de um funcionário, a MFA adiciona uma camada extra de segurança, exigindo algo mais do que apenas a senha para acessar os sistemas.

A MFA pode envolver o uso de códigos enviados por SMS, autenticação por aplicativos, ou biometria, como impressões digitais ou reconhecimento facial. Ao implementar a MFA, as empresas tornam mais difícil para os criminosos acessar contas, mesmo se eles tiverem informações de login roubadas.

3. Uso de ferramentas de segurança baseadas em IA

Com o aumento da sofisticação dos ataques de phishing, as ferramentas tradicionais de segurança de e-mail podem não ser suficientes.

Em 2025, é essencial adotar soluções de segurança baseadas em IA que utilizam aprendizado de máquina para analisar padrões de e-mails e identificar ameaças em tempo real. Essas ferramentas podem detectar links maliciosos, anexos comprometidos e até mesmo sinais de phishing habilitado por IA.

Soluções avançadas, como o MailInspector, são capazes de filtrar automaticamente e-mails suspeitos, verificar URLs e identificar e-mails que se passam por fontes confiáveis, mas que têm como objetivo roubar informações confidenciais. Isso ajuda a reduzir a carga de trabalho dos colaboradores e a aumentar a eficiência das defesas contra phishing.

4. Verificação de URLs e anexos

Como vimos, os ataques de phishing muitas vezes envolvem links maliciosos e anexos infectados. Mesmo que o e-mail pareça legítimo, a melhor prática é nunca clicar em links ou abrir anexos de fontes desconhecidas ou inesperadas. 

Além disso, as empresas devem garantir que seus sistemas de segurança de e-mail verifiquem, automaticamente e em tempo real, as URLs e anexos de e-mails para detectar se eles são ou não maliciosos. Essa filtragem deve valer para o momento do clique, mesmo que a mensagem já tenha sido entregue.

5. Implementação de DMARC, DKIM e SPF

A implementação dos protocolos de DMARC, DKIM e SPF são práticas essenciais para garantir que os e-mails enviados em nome da sua empresa sejam autenticados corretamente e não sejam usados por criminosos para se passar pela sua organização. Essas tecnologias ajudam a validar a identidade do remetente, garantindo que os e-mails não possam ser forjados.

A configuração adequada de DMARC oferece a capacidade de monitorar e controlar como os e-mails enviados de seu domínio são tratados pelas plataformas de e-mail, reduzindo a probabilidade de e-mails fraudulentos passarem despercebidos.

6. Atualização de sistemas de segurança

Manter os sistemas e softwares de segurança atualizados é fundamental para evitar que vulnerabilidades sejam exploradas em ataques de phishing. 

As atualizações regulares dos firewalls, anti-malware, antivírus e sistemas de e-mail garantem que os hackers não aproveitem falhas conhecidas para comprometer os sistemas.

Em 2025, com o aumento das ameaças baseadas em IA, é ainda mais importante que as empresas adotem soluções de segurança que possam ser atualizadas automaticamente para identificar novas formas de ataques de phishing.

7. Monitoramento constante e resposta a incidentes

Apesar de todas as medidas preventivas, nenhum sistema é 100% à prova de falhas. Por isso, é fundamental que as empresas mantenham uma equipe de resposta a incidentes bem treinada para lidar rapidamente com quaisquer tentativas de phishing que possam passar pelas defesas iniciais.

O monitoramento contínuo da rede e dos sistemas de e-mail permite detectar sinais de ataques em andamento, como e-mails suspeitos ou atividades anômalas, e responder de maneira eficiente para minimizar os danos.

8. Empoderamento dos usuários finais

Além da tecnologia, os usuários finais desempenham um papel fundamental na proteção contra phishing. A conscientização e o empoderamento dos colaboradores, fornecendo-lhes as ferramentas e informações necessárias para identificar ataques de phishing, são essenciais. 

Isso inclui permitir que eles tenham acesso a ferramentas de autodefesa, como gerenciadores de senhas, e a capacidade de relatar e-mails suspeitos diretamente aos administradores de TI.

Proteja sua empresa contra phishing com a HSC Labs

Em 2025, a ameaça de phishing continua a evoluir, mas com proatividade, treinamento contínuo e o uso de tecnologias avançadas, as empresas podem se proteger de maneira eficaz.

A HSC Labs está pronta para ajudar nessa missão, com uma abordagem integrada para combater phishing, com segurança de e-mail e conscientização de usuários. Fale com um especialista e saiba mais!

selo-proud-partner-gca-black

Inscreva-se para receber notícias de cybersecurity

Bloqueie ataques que passam despercebidos por Microsoft e Google

Microsoft-365-color
Google-workspace-color

Treine a sua equipe em cibersegurança

Comece Agora

Seu free trial começa aqui

Veja a HSC em ação
  • Houston, Estados Unidos
  • +1 833 208 1214
  • Porto Alegre, Brasil
  • + 55 51 3500 8255
  • Todos os direitos reservados © HSC

RECEBA NOTÍCIAS DE

Cybersecurity