Por que o phishing continua sendo uma das maiores ameaças atualmente

O phishing permanece no topo do ranking de ameaças cibernéticas, evoluindo constantemente em volume e sofisticação. Phishing – golpes que enganam vítimas para revelar credenciais ou executar ações maliciosas – continua extremamente eficaz contra indivíduos e empresas.

Nos primeiros meses de 2024, 61% das atividades fraudulentas monitoradas no mundo foram ataques de phishing, consolidando a técnica como a mais utilizada por criminosos digitais. Esse predomínio já vinha desde 2023, quando o roubo de identidade via phishing representou 74% dos incidentes de fraude, um aumento de 81% em comparação a 2022. Infelizmente, o Brasil se destaca como um dos principais alvos globais desses golpes. Com alta conectividade e cultura de segurança ainda em consolidação, o país figura entre os mais visados e ativos em golpes digitais, exigindo atenção redobrada de organizações públicas e privadas

Crescimento no volume de ataques

Os números recentes confirmam que os ataques de phishing estão crescendo em escala. Em 2024, os sistemas de segurança da Kaspersky bloquearam 893 milhões de tentativas de phishing, um aumento de 26% em relação a 2023 (quando foram cerca de 710 milhões). Outros levantamentos apontam altas ainda mais dramáticas: o relatório State of Phishing 2024 da SlashNext registrou um salto de 856% nas ameaças por e-mail e mensagens maliciosas em apenas 12 meses. Mesmo que as metodologias variem, o consenso é claro – os ataques de phishing estão mais frequentes do que nunca. No Brasil, essa tendência global se reflete em escala local. O país manteve-se entre os mais atacados por phishing: foi o segundo colocado mundial em 2023 em número de tentativas bloqueadas, tendo dobrado a quantidade de ataques de phishing em relação ao ano anterior.

Ademais, relatórios indicam que o Brasil sofreu 356 bilhões de tentativas de ataques cibernéticos em 2024, abrangendo diversas ameaças digitais – um cenário alarmante no qual o phishing contribui significativamente. A temporada de férias e promoções contribui para picos nesse volume, pois golpistas exploram ofertas falsas de viagens, reservas e compras online para atrair cliques das vítimas.

Táticas cada vez mais sofisticadas

O sucesso persistente do phishing também se explica pela evolução nas táticas, impulsionada por novas tecnologias. Nos últimos dois anos, criminosos adotaram Inteligência Artificial (IA) para tornar suas iscas mais convincentes e eficazes. De acordo com a KnowBe4, ao menos 82,6% dos e-mails de phishing analisados em um período recente continham algum uso de IA. Essa automação permite criar mensagens gramaticalmente perfeitas, personalizadas e em grande escala, dificultando a detecção pelos filtros e pelos usuários finais.

Ferramentas de IA generativa conseguem imitar o tom e estilo de comunicação de pessoas ou marcas, facilitando golpes de spear phishing (phishing altamente direcionado) que se passam por executivos, colegas ou fornecedores de confiança.

Com a habilidade de adaptar linguagem local e contexto, os criminosos eliminam barreiras de idioma e aumentam as chances de enganar vítimas em qualquer setor ou país. Além da IA, outras táticas recentes dificultam a defesa. Há um crescimento de ataques do tipo Business Email Compromise (BEC), nos quais golpistas invadem ou falsificam contas de e-mail corporativas para enganar parceiros na cadeia de suprimentos ou funcionários do financeiro.

Essa modalidade altamente lucrativa expande o alcance do phishing tradicional, muitas vezes sem precisar de links maliciosos – basta um pedido fraudulento de pagamento vindo de um e-mail aparentemente legítimo. Criminosos também exploram serviços confiáveis e elementos de credibilidade: por exemplo, hospedando páginas falsas em domínios legítimos invadidos ou inserindo desafios CAPTCHA falsos em sites maliciosos para simular mecanismos de segurança e esconder formularios de roubo de credenciais.

Táticas como essas adicionam camadas de complexidade que enganam até usuários atentos, pois rompem expectativas de detecção (um site com captcha ou certificado HTTPS nem sempre é autêntico). Observa-se ainda o uso de QR codes maliciosos (impedindo inspeção de URL) e phishing kits prontos na dark web que facilitam a qualquer fraudador lançar campanhas em massa com profissionalismo.

Setores mais visados no Brasil

Nenhum segmento está imune ao phishing, mas alguns setores se destacam como alvos preferenciais no contexto brasileiro. Em 2024, grandes incidentes de segurança atingiram desde instituições financeiras até órgãos governamentais e empresas de varejo online, evidenciando a abrangência da ameaça. Por exemplo, em janeiro de 2024, bancos e financeiras no Brasil foram vítimas de ataques (inclusive ransomware após phishing inicial), chegando a ter operações interrompidas.

Em abril, um ataque de phishing direcionado a servidores do governo federal expôs dados sensíveis de cidadãos, demonstrando o risco para o setor público. Já em junho, plataformas de e-commerce sofreram invasões visando roubo de dados de cartões de crédito de clientes. O setor de saúde também entrou na mira: em agosto, hospitais e clínicas foram alvo de golpes de engenharia social buscando acessar prontuários e sistemas internos. Até mesmo grandes empresas de tecnologia com atuação no país enfrentaram, em outubro, tentativas de phishing e espionagem para roubo de propriedade intelectual.

Esses casos ilustram que os criminosos focam onde houver dados valiosos ou possibilidade de lucro, seja desviando dinheiro (financeiro, e-commerce), dados pessoais (governo, saúde) ou segredos corporativos (tecnologia). Globalmente, algumas indústrias apresentam vulnerabilidades maiores por fatores humanos. Um estudo apontou que até 41,9% dos funcionários em empresas de Saúde e Farmacêuticos clicavam em simulações de phishing antes de qualquer treinamento, a taxa mais alta entre os setores avaliados. Setores de seguro (39,2%) e varejo (36,5%) também registraram propensão elevada a cair em phishing quando não há conscientização.

Enquanto esses números refletem médias globais, eles servem de alerta para organizações brasileiras análogas (hospitais, seguradoras, comércio) reforçarem suas defesas. Vale notar que, no Brasil, alguns tipos de ataque exploram características locais – por exemplo, golpes de phishing frequentemente imitam páginas de bancos populares ou comunicados de cobrança (boleto, PIX etc.), explorando a familiaridade das vítimas com esses serviços. Também há uso indevido de marcas conhecidas: no cenário mundial de 2024, criminosos aproveitaram o nome de empresas de viagens (Booking, Airbnb) e plataformas sociais (TikTok, Telegram) para enganar usuários, tendência que também se reflete por aqui.

Os ataques de phishing acarretam consequências graves para as empresas brasileiras, tanto em perdas financeiras diretas quanto em danos reputacionais. Segundo o relatório IBM Cost of a Data Breach 2024, o custo médio de uma violação de dados no Brasil atingiu R$ 6,75 milhões – o valor mais alto já registrado no país, com aumento de ~9% em relação ao ano anterior.

Notavelmente, o phishing foi o vetor de ataque mais comum nas violações analisadas, responsável por 16% dos incidentes considerados. Ou seja, cerca de 1 em cada 6 brechas de segurança nas empresas brasileiras teve origem em um e-mail, link ou chamada telefônica de phishing. Pior: as violações iniciadas por phishing custaram em média R$ 7,75 milhões por incidente, valor acima da média geral.

Isso se explica pelo potencial do phishing servir de porta de entrada para ameaças devastadoras – por exemplo, um funcionário que cai num golpe pode involuntariamente instalar ransomware na rede corporativa ou expor credenciais críticas, levando a interrupções de negócio e multas regulatórias. Casos reais ilustram esses impactos: instituições financeiras brasileiras que sofreram ataques viram seus sistemas paralisados e clientes impossibilitados de acessar serviços temporariamente, minando a confiança e gerando prejuízos difíceis de remediar.

Além dos custos financeiros imediatos (investigação, reparo de sistemas, pagamento de resgates ou indenizações), há danos de longo prazo associados a um incidente de phishing. A reputação da empresa fica abalada – clientes e parceiros podem perder a confiança ao saber que dados vazaram. Em setores altamente regulados (como financeiro e saúde), as sanções legais e multas também pesam. Outro efeito é a disrupção operacional: muitas empresas levam dias ou semanas para restabelecer operações plenas após um ataque bem-sucedido, e o relatório da IBM indica que incidentes com dados dispersos em múltiplos ambientes demoram em média 355 dias para serem identificados e contidos.

Ou seja, um phishing não detectado pode permitir que invasores permaneçam quase um ano dentro da rede, ampliando o estrago. O custo humano interno também é significativo – equipes de TI e segurança ficam sobrecarregadas na resposta ao incidente e funcionários podem precisar de orientação (e treinamento reforçado) pós-ataque. No contexto nacional, onde o phishing é tão prevalente, esses impactos combinados resultam em perdas multimilionárias e desafios de recuperação para as organizações vítimas.

Por que essa ameaça permanece tão eficaz

Várias razões explicam por que, apesar dos avanços em segurança, o phishing continua “dando certo” para os criminosos. Em primeiro lugar, o fator humano permanece a principal vulnerabilidade. Golpes de phishing exploram emoções e comportamentos universais – urgência, curiosidade, medo, confiança –, levando pessoas bem-intencionadas a baixar a guarda. Uma simulação famosa mostrou que o tempo mediano para alguém clicar em um link malicioso é de apenas 21 segundos após receber o e-mail.

Isso significa que, em menos de meio minuto, um funcionário pode comprometer toda a rede ao clicar impulsivamente. Mesmo quando o ataque exige uma ação extra (como digitar senha numa página falsa), o processo todo leva em média 49 segundos.

Esse ritmo impressionante deixa às equipes de segurança menos de um minuto para reagir após a mensagem chegar – uma missão praticamente impossível. Assim, a pressa e a desatenção no dia a dia corporativo jogam a favor dos golpistas. Adicionalmente, muitos usuários não estão adequadamente treinados para reconhecer sinais sutis de phishing. Antes de receber qualquer treinamento de conscientização, um em cada três empregados (33,1%) clica em links de phishing nas empresas, segundo análise global da KnowBe4.

Em certos setores ou empresas maiores, essa taxa de suscetibilidade pode ultrapassar 40% dos funcionários. Ou seja, sem orientação, praticamente metade do quadro de pessoal poderia cair em armadilhas bem elaboradas. Esse fator humano é exacerbado quando o phishing é alvo e personalizado – por exemplo, um e-mail aparentemente vindo do CEO ou de um fornecedor conhecido (característico dos ataques BEC) tem alta chance de enganar mesmo colaboradores cautelosos.

Criminosos frequentemente pesquisam suas vítimas em redes sociais ou vazamentos de dados para personalizar mensagens (citando colegas pelo nome, assuntos reais da empresa, etc.), tornando a farsa extremamente convincente. Com as novas ferramentas de IA, esses e-mails falsos vêm impecáveis em português, sem os erros gritantes de antigamente, dificultando ainda mais a distinção entre um pedido legítimo e uma fraude. Outro ponto é que os golpistas se adaptam rapidamente às contramedidas. Cada vez que uma técnica de phishing se torna conhecida, eles inovam outra.

Por exemplo, quando usuários passaram a desconfiar de anexos estranhos, os atacantes migraram para links disfarçados ou pediram que a vítima colasse códigos (evitando filtros de URL). Quando as empresas adotaram autenticação em duas etapas, os phishers criaram páginas falsas que também solicitam o token OTP em tempo real. Essa corrida de gato e rato mantém o phishing sempre um passo à frente: em 2025, especialistas já o apelidam de “a ameaça cibernética mais dinâmica e acelerada” dentre as existentes.

Novos eventos e notícias também viram iscas instantâneas – durante a pandemia, vimos ondas de phishing sobre COVID-19; em 2024, golpistas exploraram lançamentos de IA generativa e até anúncios de vagas de emprego falsas para atrair vítimas. Essa capacidade de capitalizar temas atuais e emoções humanas garante que o phishing continue eficaz onde outras ameaças falham. Por fim, existe ainda a percepção de baixo risco e alto retorno para os criminosos.

Emails de phishing podem ser disparados em massa a custo quase zero, e basta uma minoria de respostas para obter um grande lucro (seja em dinheiro, dados ou acesso à rede). Muitos ataques não requerem habilidades avançadas – kits prontos e modelos de e-mail podem ser obtidos facilmente no submundo digital.

Com milhões de usuários distraídos e tecnologia que pode ser burlada ou enganada, o phishing permanece uma estratégia simples porém lucrativa para os cibercriminosos. Enquanto houver essa combinação de erro humano, engenharia social e vantagem tecnológica do atacante, a ameaça continuará presente.

Desafios para as empresas no combate ao phishing

Proteger-se contra phishing em 2024–2025 é um enorme desafio corporativo, pois exige abordar tanto aspectos técnicos quanto comportamentais. Um dos problemas é que as defesas tradicionais de e-mail já não são suficientes. Gateways de e-mail seguro e filtros antispam evoluíram, mas os atacantes também: recentes dados mostram um aumento de 47% nos ataques de phishing que conseguem furar as barreiras de e-mail e chegar às caixas de entrada.

Com mensagens cada vez mais personalizadas e variantes (os golpistas diversificam assuntos e remetentes para escapar de padrões), nenhuma solução automática bloqueia 100% das tentativas. As empresas enfrentam então a necessidade de detecção e resposta quase em tempo real – mas, como visto, se a reação não ocorrer em segundos, o estrago pode se consumar. Desenvolver sistemas de alerta e contenção tão ágeis é complexo e custoso. Outra dificuldade está em manter os colaboradores vigilantes sem gerar fadiga. A conscientização de usuários é a última linha de defesa, porém nem todas as organizações investem o suficiente nisso. No Brasil, apenas 16% das empresas treinam seus funcionários em técnicas de engenharia social (phishing, fraudes online etc.), apesar de quase todas as ameaças por e-mail envolverem esses métodos.

Mesmo entre as empresas que treinam, muitas limitam-se a uma breve palestra anual, o que não cria hábitos sólidos. Implementar programas contínuos de Security Awareness consome recursos e tempo, e medir sua eficácia pode ser complicado. Além disso, grandes empresas com milhares de funcionários enfrentam dificuldade extra para padronizar o nível de consciência: estudos indicam que organizações com >10 mil colaboradores apresentam susceptibilidade inicial a phishing significativamente maior (PPP de 40,5%) do que pequenas empresas (24,6%).

Ou seja, escalar o treinamento e manter todos atentos é um obstáculo real, ainda mais em cenários de alta rotatividade de pessoal. As limitações estruturais e de recursos também pesam. Falta de profissionais qualificados em cibersegurança e sobrecarga das equipes de TI são citadas entre os principais fatores que dificultam a defesa contra ameaças como phishing. Em 2024, empresas brasileiras relataram que a complexidade dos sistemas de segurança e a escassez de habilidades na equipe custaram, em média, adicionais R$ 615 mil e R$ 535 mil respectivamente no impacto das violações.

Isso significa que muitas organizações lidam com ambientes de segurança fragmentados, múltiplas ferramentas que não conversam bem, e times enxutos que não conseguem monitorar e responder a todos os alertas. Nesse contexto, ataques de phishing sofisticados podem passar despercebidos ou não ser contidos a tempo. Outro desafio é a superfície de ataque ampliada pela transformação digital. Com a adoção de nuvem, trabalho remoto e uso intenso de dispositivos pessoais, os pontos de entrada para phishing se multiplicaram.

Funcionários fora do perímetro tradicional podem receber mensagens de phishing em aplicativos de chat, em seus e-mails pessoais ou via SMS (smishing), e acabar comprometendo credenciais corporativas sem que a empresa perceba de imediato. A falta de controles unificados para essas múltiplas plataformas deixa lacunas exploráveis. Além disso, muitas organizações no Brasil ainda estão aprimorando políticas como DMARC e autenticação avançada de e-mail para prevenir spoofing – sem essas medidas, golpistas conseguem falsificar domínios de empresas e enganar parceiros ou clientes com relativa facilidade. Por fim, acompanhar o ritmo da ameaça é por si só desafiador.

O phishing é dinâmico: surgem novas campanhas, temas e ferramentas maliciosas quase diariamente. As empresas precisam investir em inteligência de ameaças e atualização contínua para reconhecer os sinais mais recentes de phishing (URLs maliciosos, domínios suspeitos, padrões de linguagem artificial etc.). Tecnologias emergentes como soluções de IA defensiva podem ajudar a escanear comunicações em busca de anomalias – e de fato 31% das empresas brasileiras já implementam IA e automação para prevenir ataques.

Aqueles que utilizam tais ferramentas tendem a se sair melhor: organizações com IA em cibersegurança tiveram perdas significativamente menores em casos de violação. No entanto, implementar e configurar IA de forma eficaz exige investimento e expertise, nem sempre disponíveis. Assim, muitas companhias ainda se veem um passo atrás dos criminosos, reagindo aos golpes em vez de preveni-los pró-ativamente.

Os ataques de phishing cresceram em volume, alavancaram IA generativa para aumentar sua efetividade e atingiram diversos setores críticos da economia nacional. Essa ameaça permanece tão eficaz porque explora o elo mais fraco (o usuário), aproveitando brechas de atenção e lapsos de julgamento que nenhuma tecnologia consegue eliminar por completo.

Enquanto isso, os defensores lidam com o desafio de educar pessoas, atualizar ferramentas e responder em tempo quase real a uma miríade de tentativas de fraude. Olhar adiante, para 2025, indica que o relógio continua correndo contra as equipes de segurança. A velocidade e criatividade dos ataques de phishing exigem das empresas uma postura vigilante e adaptável.

Combater essa ameaça requer uma abordagem multifacetada: tecnologia robusta, processos bem definidos e – principalmente – pessoas treinadas e conscientes. Somente transformando o maior alvo (o comportamento humano) em um aliado – através de campanhas de conscientização recorrentes, simulações de phishing e cultura de segurança –, as organizações conseguirão reduzir significativamente o risco. Como mostram os dados, programas de treinamento conseguem derrubar as taxas de clique em phishing de 30% para menos de 5% em um ano de esforço consistente.

Essa é a prova de que, apesar de todo o cenário desfavorável, é possível virar o jogo. Em última análise, o phishing continua reinando entre as ciberameaças porque ainda encontra terreno fértil para prosperar, mas com conhecimento, vigilância e investimento certo, as empresas brasileiras podem enfrentar esse inimigo de longa data de forma mais eficaz e resiliente.

mais conteúdo

6 malwares em ascensão que você precisa conhecer
6 malwares em ascensão que você precisa conhecer
Investimento em Cibersegurança: por que e como a terceirização pode fazer toda a diferença?
Investimento em Cibersegurança: por que e como a terceirização pode fazer toda a diferença?
6 Passos para implementar um Programa de Conscientização em Cibersegurança
6 Passos para implementar um Programa de Conscientização em Cibersegurança
Firewall gerenciado e MDR: o novo padrão para uma defesa cibernética eficiente
Firewall gerenciado e MDR: o novo padrão para uma defesa cibernética eficiente
Whitebox vs. Blackbox: qual abordagem de Pentest é a melhor para sua organização?
Whitebox vs. Blackbox: qual abordagem de Pentest é a melhor para sua organização?

Quer saber como o seu negócio pode se tornar nosso próximo case de sucesso?

Entre em contato agora mesmo!

Fale Conosco

Solo Iron: A vertical de cibersegurança da Solo Network projetada para proteger cada aspecto do seu negócio.

Solo Iron

Linkedin Instagram Facebook

Soluções

Parceiros

© Solo Iron - Todos os direitos reservados