Barracuda full logo

Previsões de segurança de linha de frente 2026: As técnicas de phishing para se preparar

Tópicos:
24 nov. 2025
|
Threat Analyst Team

Antecipar ameaças impulsionadas por IA e como as táticas irão evoluir no próximo ano

Principais conclusões

  • Os kits de phishing estão a evoluir rapidamente, agora capazes de lançar milhões de ataques e a aumentar continuamente em sofisticação e evasão.
  • Para 2026, prevê-se que os kits de phishing de próxima geração utilizem ferramentas avançadas para construir perfis sociais detalhados dos alvos, contornar a autenticação multifator e empreguem IA para ataques mais direcionados e personalizados.
  • O modelo de negócio PhaaS provavelmente irá mudar para níveis de subscrição estruturados, variando desde kits básicos até campanhas altamente sofisticadas baseadas em IA.
  • Até ao final de 2026, espera-se que mais de 90% dos ataques de apropriação de credenciais sejam possibilitados por kits de phishing, representando mais de 60% de todos os incidentes de phishing.

Em 2025, o cenário de phishing foi impulsionado pelas forças combinadas de IA, kits de Phishing-as-a-Service (PhaaS) em evolução e técnicas de entrega e evasão cada vez mais sofisticadas. Neste artigo, os analistas de ameaças da Barracuda olham para o que o próximo ano poderá trazer para esta ameaça duradoura e em constante avanço.

Como o phishing evoluiu em 2025

Há um ano, a equipa previu que os kits PhaaS representariam metade de todos os ataques de roubo de credenciais até ao final de 2025, um aumento em relação a cerca de 30% em 2024. A proporção real acabou por ser ligeiramente superior a metade.

Mais significativamente, o número de kits de phishing duplicou durante 2025. Cada kit é suficientemente poderoso para lançar milhões de ataques. Estes kits estão em constante evolução, tornando-se mais sofisticados e evasivos ao longo do tempo. A equipa reportou regularmente sobre alguns dos kits de phishing mais prevalentes ao longo do ano.

Com base nestes desenvolvimentos e mais, a equipa de análise de ameaças elaborou uma série de previsões sobre como o panorama pode evoluir nos próximos 12 meses para ajudar as equipas de segurança a compreender e preparar-se para o que está por vir.

O que vem aí em 2026

Kits de Phishing 2.0

Tanto os kits de phishing estabelecidos como os emergentes utilizarão ferramentas para construir perfis sociais detalhados dos alvos. Implementarão táticas automatizadas para contornar medidas de segurança como a autenticação multifator (MFA) através do roubo de tokens de acesso ou retransmissão de autenticação via o website legítimo para quebrar proteções. Farão um uso maior de IA para desenvolver os seus kits e tornar os ataques mais personalizados e eficazes.

  • O modelo de negócio para kits PhaaS de próxima geração apresentará níveis de subscrição estruturados, que vão desde kits de phishing básicos até campanhas altamente direcionadas e sofisticadas personalizadas por IA.
  • Prevemos que, até ao final de 2026, mais de 90% dos ataques de comprometimento de credenciais serão atribuídos ao uso de kits de phishing, representando mais de 60% de todos os ataques de phishing.

Técnicas de evasão dinâmicas e cargas úteis personalizadas

Os atacantes irão mudar de táticas estáticas para abordagens dinâmicas e sensíveis ao contexto, com cargas úteis adaptadas com base no dispositivo, atividade do utilizador ou tempo para evitar a deteção automatizada.

Técnicas avançadas de evasão e anti-detecção que se espera que aumentem em volume incluem:

  • Ocultar código malicioso em ficheiros de imagem e áudio inofensivos (esteganografia).
  • ‘ClickFix’ técnicas de engenharia social onde um utilizador é enganado para executar manualmente um comando malicioso que foi secretamente copiado para a sua área de transferência.
  • Mais códigos QR divididos e aninhados em ataques e a introdução de códigos QR dinâmicos e multi-etapas.
  • Abuso generalizado de OAuth (Open Authorization) — um sistema amplamente utilizado para iniciar sessão em aplicações ou serviços sem partilhar uma palavra-passe.
  • Técnicas de evasão de URLs altamente avançadas, incluindo o uso de URIs Blob efémeros. Blob URIs são um tipo de endereço web utilizado para armazenar dados localmente na memória, e os atacantes gostam deles porque não carregam de servidores externos e podem hospedar páginas de phishing no navegador da vítima, tornando-as difíceis de detetar usando medidas tradicionais.
  • Injeção de código dinâmico e scripts maliciosos totalmente disfarçados.

campanhas auto-adaptativas baseadas em IA

  • Os atacantes utilizarão IA generativa para criar mensagens individualizadas em escala e para adaptar rapidamente as campanhas automaticamente.
  • Estes ataques potenciados por IA irão avançar rapidamente e apresentar encriptação melhorada, camadas mais profundas de ofuscação e cargas úteis adaptativas.
  • Espera-se também que os atacantes intensifiquem os seus esforços para explorar a própria IA utilizando técnicas de injeção de comandos e visando agentes de IA, com o objetivo de manipular ou comprometer ferramentas de segurança habilitadas para IA.

roubo e engano de código MFA

  • Haverá um aumento no roubo de códigos MFA através de phishing, utilizando táticas como fadiga de aprovação de push e ataques de retransmissão.
  • A engenharia social irá orientar-se para fluxos de recuperação MFA, como códigos de reposição de senha ou outras opções de recuperação de conta.
  • Os atacantes também usarão engenharia social para ataques de downgrade de MFA, tentando contornar a autenticação forte e resistente ao phishing, forçando ou enganando o utilizador a selecionar um método de autenticação alternativo que seja mais fácil de contornar.

Mais ataques irão explorar CAPTCHA

  • As campanhas avançadas de phishing estão a usar cada vez mais CAPTCHA para enganar as vítimas, fazendo-as sentir-se seguras e para ocultar a verdadeira intenção dos atacantes. A equipa espera que, até ao final de 2026, mais de 85% dos ataques de phishing utilizem CAPTCHA para escapar às ferramentas de segurança automatizadas e garantir que as interações são realizadas por um humano.
  • Os atacantes também estão a afastar-se do CAPTCHA legítimo e de confiança para alternativas falsas, e esperamos que isso aumente durante 2026.

Táticas mais polimórficas

  • Um ataque polimórfico é aquele que muda continuamente o seu conteúdo, cargas úteis, padrões de entrega ou impressões digitais técnicas, de modo que cada instância pareça diferente — tornando a deteção automatizada e as defesas baseadas em assinaturas ineficazes.
  • As técnicas populares que se espera que aumentem em uso — especialmente entre kits de phishing — incluem o uso de sequências alfanuméricas aleatórias no corpo do email ou no assunto, a ofuscação do endereço do remetente ou a utilização de cabeçalhos longos que incluem carimbos de data/hora ou nomes de destinatários no assunto, a utilização de links ligeiramente diferentes em cada email, e a variação dos nomes dos anexos.

Exploração adicional de plataformas legítimas

  • Em 2025, cerca de 10% dos ataques de phishing exploraram plataformas legítimas, consistente com 2024. A equipa espera que a proporção permaneça estática durante 2026.  
  • Os atacantes irão explorar cada vez mais as plataformas de zero-code potenciadas por IA para construir e hospedar rapidamente sites de phishing. Estas ferramentas eliminam barreiras técnicas, permitindo que os atores de ameaças lancem campanhas sofisticadas em larga escala com um esforço mínimo.

Visando serviços de proteção de URL e mascaramento de URL

  • A exploração de serviços de proteção de URLs e táticas de mascaramento de URLs, como o abuso de redirecionamentos abertos, links de marketing/rastreamento e URLs legítimas, está em ascensão, e em 2025 isso foi observado em cerca de 25% dos ataques de phishing. Antecipamos que esta tendência ascendente continuará.

Ameaças mais avançadas baseadas em malware

  • Os ataques de Malware deverão tornar-se mais sofisticados, com um aumento de malware sem ficheiros, que se esconde na memória do dispositivo, e cargas úteis polimórficas que conseguem escapar às defesas tradicionais baseadas em assinaturas.
  • Malware-como-um-Serviço irá evoluir e prosperar.

Juntamente com as novas e em evolução técnicas detalhadas acima, a equipa espera que abordagens tradicionais e duradouras, como esquemas relacionados com RH e salários, esquemas de entrega e logística, notificações falsas de MFA, esquemas de serviços fiscais e governamentais, e esquemas de partilha de ficheiros continuem.

Proteção contra técnicas em evolução

As ameaças de phishing avançaram significativamente durante 2025, tornando-se mais prolíficas, complexas e evasivas. Estas tendências continuarão ao longo de 2026 e além. A segurança de e-mail deve ser um componente crítico de uma estratégia de segurança robusta e ciber-resiliente.

Poucas organizações escapam ao impacto de um ataque de phishing ou engenharia social. A nossa mais recente pesquisa de mercado mostra que 78% das organizações sofreram uma violação de segurança de e-mail nos últimos 12 meses. Quanto mais tempo a vítima demorou a detetar e conter a ameaça, mais profundo foi o dano.

As abordagens tradicionais já não são suficientes para manter afastados os ataques de phishing avançados. As organizações precisam de uma plataforma de segurança integrada alimentada por IA, como BarracudaONE, com supervisão 24/7 e uma forte cultura de segurança.

O Relatório de Invasão de Segurança de E-mail de 2025
Threat Analyst Team

A equipa de analistas de ameaças da Barracuda concentra-se na deteção, análise e mitigação de ameaças emergentes. Dedicada a proteger os clientes de ciberataques, a equipa utiliza tecnologias avançadas e inteligência sobre ameaças para fornecer insights acionáveis e estratégias de defesa proativas.

Artigos Relacionados:
Threat Spotlight: How phishing kits evolved in 2025
Threat Spotlight: How phishing kits evolved in 2025
 8 cybersecurity predictions for 2026: Barracuda leaders share their insights
8 cybersecurity predictions for 2026: Barracuda leaders share their insights
 Os 3 webinars imperdíveis da Barracuda em 2025: Perspetivas de segurança sob demanda
Os 3 webinars imperdíveis da Barracuda em 2025: Perspetivas de segurança sob demanda
 2025 em retrospectiva: Publicações de destaque no blog da Barracuda
2025 em retrospectiva: Publicações de destaque no blog da Barracuda
Pesquisar o blogue

O Relatório de Invasão de Segurança de E-mail de 2025

Principais conclusões sobre a experiência e o impacto das violações de segurança de e-mail em organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Relatório de Insights do Cliente MSP 2025

Uma visão global sobre o que as organizações precisam e desejam dos seus provedores de serviços geridos de cibersegurança

Obtenha o relatório

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.