Phishing em 2025: Estão as defesas dos seus clientes preparadas para a próxima vaga?

Ataques de phishing continuam a ser uma das ameaças cibernéticas mais generalizadas e prejudiciais. Ao enganar indivíduos para que revelem informações sensíveis, como credenciais de email, esses ataques não só resultam em perda financeira direta, mas também abrem caminho para crimes cibernéticos mais sofisticados.

Em 2023, apenas, o Centro de Denúncias de Crimes na Internet dos EUA (IC3) recebeu 880.418 denúncias do público americano, com perdas potenciais superiores a $12,5 mil milhões. Entretanto, líderes globais em cibersegurança como a Barracuda observaram um aumento preocupante na atividade de phishing, com táticas cada vez mais avançadas tornando estes ataques mais difíceis de detectar e mais devastadores para as vítimas.

Por exemplo, no início deste ano, a Barracuda notou a evolução do Tycoon 2FA, um kit de ferramentas de phishing-como-serviço (PhaaS) utilizado para criar ataques altamente eficazes. O Tycoon 2FA não só pode frustrar a autenticação multifator (MFA), mas também aproveita contas de email legítimas, código fonte obstrutivo e a capacidade de detetar e bloquear scripts de segurança automatizados.

Tendências de phishing que precisa conhecer

Em 2025, há cinco principais tendências de phishing das quais os MSPs precisam estar cientes e preparar-se.

Os kits de phishing como serviço (PhaaS) tornar-se-ão mais comuns, como o descrito acima. De acordo com os dados da Barracuda, 30% dos ataques de credenciais em 2024 usaram PhaaS, podendo chegar a 50% em 2025. Além disso, estas ferramentas estão a evoluir para roubar códigos MFA.

Os ataques de extorsão direcionados irão aumentar. Estes ataques direcionados apresentarão apelos emocionais mais personalizados com base numa análise das redes sociais e histórico de comunicação do destinatário, com um aumento em ataques de extorsão/sextorsão e na exigência de pagamentos de maior valor monetário. Estes ataques utilizarão cada vez mais informações públicas das redes sociais, incluindo o Google Street View e fotos pessoais partilhadas em várias plataformas vulneráveis. Isto torna-os mais fáceis de escalar e personalizar com a assistência de IA generativa.

Os ataques serão mais difíceis de detectar e parar.Os MSPs podem esperar ver uma implementação mais ampla de técnicas evasivas, como códigos QR baseados em ASCII, URIs Blob e a transferência do conteúdo de phishing do corpo do email para um anexo.Os códigos QR e o phishing por correio de voz já representam 20% das detecções de phishing, e estas táticas aumentarão à medida que os criminosos obtiverem sucesso com elas. Além disso, os atacantes incorporam conteúdo de phishing em anexos HTML ou PDF, o que deixa o corpo do email em branco ou pelo menos contém muito pouco texto que desencadearia um alerta de segurança através da análise de aprendizagem automática.

Os atacantes irão aproveitar as plataformas de criação de conteúdo e de publicação digital. De acordo com a Barracuda, aproximadamente 10% dos ataques de phishing detetados em 2024 foram hospedados em sites de CCP (plataforma de criação de conteúdo) ou DDP (publicação digital de documentos). Os atacantes também usaram estas plataformas para criar imitações que parecem legítimas de plataformas de partilha de ficheiros. Isto continuará em 2025 à medida que os atacantes utilizam estas ferramentas para reduzir o custo e a complexidade de criar páginas de phishing.

A IA será utilizada para melhorar o sucesso dos ataques de phishing. A pesquisa da Harvard Business Review em 2024 descobriu que 60% dos participantes foram vítimas de phishing automatizado por IA. A IA pode tornar estes ataques muito mais difíceis de detetar ao melhorar a qualidade do texto na mensagem maliciosa. Com a IA, os atacantes podem criar mensagens com conteúdo personalizado, gramática precisa e apelos emocionais semelhantes aos humanos, com base numa análise das redes sociais e histórico de comunicação do destinatário. A IA também pode gerar imagens deepfake, mensagens de voz e mensagens para enganar as vítimas. O FBI emitiu um aviso sobre ataques baseados em IA no ano passado, e a Harvard Business Review relatou que o phishing baseado em IA foi 60% eficaz em enganar as vítimas enquanto reduzia o custo dos ataques em 95%.

A proteção contra phishing deve evoluir

Como o phishing continua a ser uma forma relativamente barata, de baixa habilidade, rápida e fácil de comprometer utilizadores e redes com um elevado grau de sucesso, os MSPs e os seus clientes devem estar preparados para enfrentar estas tendências emergentes.

Os ataques de phishing estão a tornar-se mais variados, oportunistas e sofisticados. É essencial ter estratégias de defesa ágeis, inovadoras e em camadas múltiplas e fomentar uma cultura de segurança robusta para estar à frente desta ameaça em constante evolução.

Essas soluções devem incluir MFA, protocolos avançados de autenticação de e-mail como DMARC, e ferramentas avançadas de análise baseadas em IA que podem "aprender" as táticas usadas por atacantes e melhorar a sua capacidade de identificar e-mails maliciosos. As organizações devem também realizar sessões de formação de sensibilização sobre segurança regulares com conteúdo atualizado para educar os funcionários sobre as ameaças mais recentes e fornecer um processo claro de reporte quando identificarem um e-mail suspeito.