Phishing-as-a-Service explicado: IA, deepfakes e defesa

1. Introdução: Phishing-as-a-Service#

O phishing está se afastando de envios massivos de e-mails em grande volume em direção a ataques mais direcionados que ainda podem ser executados em escala. Os kits de phishing prontos agora permitem que invasores relativamente inexperientes alcancem um nível de eficácia que antes era associado principalmente a ameaças persistentes avançadas (APTs) e grupos apoiados por estados.

O impacto desse problema está piorando: o estudo de Custo de uma Violação de Dados da IBM/Ponemon de 2024 relata que o custo médio anual de incidentes de phishing aumentou quase 10% para 4,88 milhões de dólares americanos, um dos saltos mais significativos desde a pandemia. Ao mesmo tempo, a tecnologia deepfake está abrindo novos caminhos para a fraude: a Right Hand Cybersecurity relata um aumento de 680% ano a ano em atividades de mídia sintética, permitindo ataques que podem contornar protocolos de verificação tradicionais. Mais de 3,4 bilhões de e-mails de phishing circulam diariamente (cerca de 1,2% do tráfego global de e-mail) e o Google bloqueia em torno de 100 milhões deles a cada dia. O Anti-Phishing Working Group registrou 1.003.924 ataques apenas no primeiro trimestre de 2025, o nível mais alto desde o final de 2023. O phishing continua sendo um impulsionador primário de danos no mundo real, contribuindo para 36% das violações de dados nos EUA e desempenhando um papel em mais de 80% dos ataques cibernéticos. Os custos médios das violações chegam a 4,88 milhões de dólares americanos, as perdas por comprometimento de e-mail corporativo alcançam 2,7 bilhões de dólares americanos anualmente e o ransomware (frequentemente iniciado através de phishing) aparece em 44% das violações.

Neste artigo, abordaremos os aspectos mais importantes sobre como o phishing mudou nos últimos anos com novas abordagens como Phishing-as-a-Service e o uso de IA. Em particular, estas são as perguntas que cobriremos no artigo:

1. O que é Phishing-as-a-Service (PhaaS)?

2. Qual papel a inteligência artificial desempenha nos ataques de phishing modernos?

3. Como as organizações podem se defender do phishing moderno (controles técnicos, gestão de risco humano e governança/política)?

2. O que é Phishing-as-a-Service (PhaaS)?#

O crime cibernético não é mais reservado a hackers especialistas. A ascensão do Phishing-as-a-Service (PhaaS) tornou as habilidades técnicas muito menos necessárias para o lançamento de ataques bem-sucedidos. Ao imitar os modelos de negócios de empresas de software legítimas, oferecendo assinaturas, suporte ao cliente e atualizações regulares, desenvolvedores criminosos tornaram o phishing acessível a quase qualquer pessoa.

2.1 Comoditização do acesso a ferramentas de phishing#

O mercado de PhaaS amadureceu em um ecossistema com diferentes níveis. No nível de entrada, invasores novatos ("script kiddies") podem alugar acesso a infraestruturas sofisticadas por taxas baixas, enquanto operadores avançados podem comprar níveis "empresariais" que oferecem hospedagem dedicada e capacidades personalizadas de evasão.

Essa estrutura econômica levou a um aumento massivo na atividade. Apenas nos primeiros dois meses de 2025, mais de um milhão de ataques baseados em PhaaS foram detectados, sinalizando uma base de usuários robusta e em expansão para esses serviços criminosos. O mercado para esses kits é principalmente hospedado no Telegram, que serve como um plano de controle criptografado e de alta disponibilidade para vendas e suporte.

Análise das plataformas de PhaaS mais populares (2025)

O gráfico a seguir ilustra o domínio esmagador de mercado do Tycoon 2FA em comparação com outros players no ecossistema:

2.2 Tycoon 2FA: Análise detalhada do kit de phishing#

O Tycoon 2FA é uma plataforma sofisticada de Phishing-as-a-Service (PhaaS) projetada para contornar a autenticação de dois fatores (2FA) e multifator (MFA). Ele visa principalmente contas do Microsoft 365 e Gmail usando uma técnica "Adversary-in-the-Middle" (AiTM). No início de 2025, o Tycoon 2FA se tornou o principal player do mercado, sendo responsável por quase 9 em cada 10 incidentes de phishing. Seu sucesso é impulsionado por sua capacidade de permanecer invisível para os filtros de segurança modernos. Em uma grande atualização de 2025, os desenvolvedores substituíram táticas mais antigas por criptografia avançada para ocultar seu código malicioso.

Especificamente, agora eles usam uma "cifra de César" para embaralhar o código e inserir caracteres invisíveis de "Hangul Filler" (Unicode 3164). Esses caracteres ficam ocultos do usuário, mas servem para confundir os scanners automatizados que procuram "assinaturas" digitais de ameaças conhecidas. Para distribuir esses kits, o Tycoon usa uma estratégia "Living off the Land", hospedando suas armadilhas em serviços confiáveis e de alta reputação como Amazon S3, Canva e Dropbox.

Como os gateways de e-mail seguro (SEGs) estão programados para confiar nesses domínios famosos, os e-mails de phishing costumam contornar totalmente os filtros. Finalmente, para garantir que não estejam sendo observados por bots de segurança, os invasores enviam os usuários por uma cadeia complexa de redirecionamentos e CAPTCHAs da Cloudflare antes que eles vejam a página de login falsa.

2.3 A mecânica do Adversary-in-the-Middle (AiTM)#

A capacidade definidora dos kits de PhaaS modernos é o ataque Adversary-in-the-Middle (AiTM). Essa técnica torna obsoleta a coleta tradicional de credenciais ao interceptar a sessão de autenticação ao vivo, contornando, assim, a autenticação multifator (MFA).

A arquitetura de um ataque AiTM difere fundamentalmente de um site clone.

1. Início do proxy: Quando uma vítima acessa o URL de phishing, o servidor PhaaS (atuando como proxy reverso) inicia uma conexão com o provedor de identidade (IdP) legítimo, como login.microsoftonline.com.

2. Espelhamento de tráfego: O proxy recupera o conteúdo de login legítimo e o encaminha para a vítima. A vítima vê a página real de login da Microsoft, embora renderizada em um domínio malicioso.

3. Retransmissão em tempo real: À medida que a vítima insere suas credenciais, o proxy as captura e as encaminha ao IdP.

4. Interceptação de MFA: Quando o IdP solicita o segundo fator (por exemplo, um código SMS ou prompt do Authenticator), o proxy espelha essa solicitação para a vítima.

5. Roubo de sessão: A vítima fornece o token de MFA. O proxy o encaminha para o IdP. O IdP valida a sessão e emite um cookie de sessão (por exemplo, ESTSAUTH ou ESTSAUTH_PERSISTENT).

6. A violação: De forma crucial, o proxy intercepta esse cookie de sessão. Ele não o passa de volta para a vítima (ou passa uma cópia mantendo o original). O invasor agora possui um cookie de sessão válido e autenticado que permite acessar a conta da vítima de qualquer dispositivo, contornando a necessidade de uma senha ou token de MFA, até que o token expire.

Kits como o Sneaky 2FA refinaram ainda mais isso ao oferecer painéis administrativos que permitem aos invasores intervir manualmente na sessão, gerenciando o ataque efetivamente em tempo real.

2.4 Infraestrutura de provedores de Phishing-as-a-Service#

Derrubar a infraestrutura de PhaaS é muito difícil devido à sua natureza descentralizada. Embora os painéis principais de "administração" possam estar hospedados em servidores em jurisdições com leis cibernéticas frouxas, os nós de "borda" (as próprias páginas de phishing) têm vida curta. O Tycoon 2FA, por exemplo, usa um Algoritmo de Geração de Domínios (DGA) para criar rapidamente milhares de domínios descartáveis. O Cloudflare Turnstile também bloqueia scanners de segurança e faz com que os sites de phishing pareçam oficiais. Como as pessoas estão acostumadas a ver essas verificações em sites reais, é mais provável que confiem na página.

As páginas do Tycoon 2FA costumam ser distribuídas via "Quishing" (phishing com código QR). O código QR contém a URL maliciosa, mantendo a ameaça efetivamente longe dos scanners de segurança de e-mail que não conseguem analisar os dados da imagem. Esse vetor teve um aumento de 25% ano a ano, visando especificamente dispositivos móveis que muitas vezes carecem dos controles de proteção de endpoint das estações de trabalho corporativas.

3. O phishing na era da inteligência artificial#

Se o PhaaS forneceu a infraestrutura para a exploração em massa, a inteligência artificial forneceu a inteligência e o conteúdo. A integração da IA generativa (GenAI) no ciclo de vida do cibercrime resolveu os dois maiores desafios dos invasores: escala e credibilidade. Os dias em que a "gramática ruim" e "saudações genéricas" atuavam como indicadores confiáveis de phishing acabaram.

3.1 "Vibe Scamming" e a armamento das ferramentas No-Code#

Um desenvolvimento significativo em 2025 é o surgimento do "vibe scamming". Essa tendência explora o ideal do "vibe coding", onde os usuários constroem softwares usando comandos em linguagem natural, para gerar ativos maliciosos.

Plataformas legítimas como a Lovable, projetadas para democratizar a criação de software, tornaram-se motores para o cibercrime. A Guardio Labs conduziu um benchmark da resistência dos agentes de IA ao abuso, descobrindo que, enquanto modelos estabelecidos como o ChatGPT tiveram uma pontuação relativamente alta (8/10) na recusa de solicitações maliciosas, plataformas mais recentes como a Lovable tiveram uma pontuação alarmantemente baixa (1,8/10). Os invasores podem simplesmente solicitar a essas ferramentas, por exemplo: "Crie um portal de login que pareça ser de um grande banco, use as marcas oficiais azul e vermelho e tenha campos para números de seguro social", e a IA gera um código de phishing perfeito em cada pixel e totalmente funcional.

Essa capacidade permite que os invasores contornem a "fadiga de modelos" dos kits de PhaaS mais antigos. Em vez de usar um modelo padrão da Microsoft que os defensores já identificaram, um vibe scammer pode gerar uma página de login única e adaptada para cada campanha ou até mesmo para cada vítima individual. A Proofpoint observou dezenas de milhares de URLs geradas pela Lovable distribuindo o Tycoon e outros malwares no início de 2025, confirmando que esta não é uma ameaça teórica, mas um vetor ativo e massivo.

3.2 A IA agêntica impulsiona a espionagem autônoma#

Além de gerar conteúdo, a IA agora também está sendo usada para executar ataques. Essa mudança da IA generativa para a "IA agêntica" representa um momento chave para a engenharia social:

Um incidente ocorreu no final de 2024 envolvendo um grupo patrocinado pelo estado chinês. Esse adversário utilizou o agente "Claude Code" da Anthropic (destinado ao desenvolvimento de software automatizado) para conduzir uma campanha de espionagem cibernética em grande escala. Ao contornar suas barreiras éticas, os invasores puderam atribuir à IA objetivos de alto nível. O agente de IA realizou, de forma autônoma, reconhecimento, escreveu um código de exploração personalizado para atingir vulnerabilidades específicas, coletou credenciais e se moveu pelas redes.

Esse multiplicador de força permite que uma pequena equipe de operadores vise centenas de organizações simultaneamente com a profundidade e a persistência de uma equipe de "red team" humana dedicada.

Experimentos conduzidos pela Hoxhunt entre 2023 e 2025 revelam a rápida evolução das capacidades de IA. Como mostrado na linha do tempo abaixo, os agentes de IA cruzaram o limite de eficácia humana no início de 2025, passando de 31% menos eficazes para 24% mais eficazes do que os engenheiros sociais de elite.

Além disso, estudos indicam que as campanhas de spear phishing apoiadas por IA podem atingir taxas de cliques (click-through rates) superiores a 50%, em comparação com taxas muito menores para campanhas genéricas. A redução de custo também é igualmente dramática. As campanhas impulsionadas por IA custam cerca de 1/30 do valor das campanhas manuais, ao mesmo tempo em que oferecem resultados superiores.

3.3 Estudo de caso: Deepfakes no "Roubo da Arup"#

Um dos impactos mais diretos da IA na segurança é a ascensão dos deepfakes, vídeos e áudios altamente realistas gerados por computador. Essas ferramentas são projetadas para enganar nossos sentidos, dificultando que as pessoas confiem em seus próprios olhos e ouvidos ao tentar verificar a identidade de uma pessoa. O roubo de 25 milhões de dólares americanos da empresa de engenharia Arup em 2024 serve como o estudo de caso definitivo para esta nova era de fraude.

O incidente da Arup (perda de 25 milhões de dólares americanos)

• A preparação: Um funcionário do escritório da Arup em Hong Kong recebeu um e-mail fingindo ser do Diretor Financeiro (CFO) do Reino Unido, solicitando uma transação financeira confidencial. O funcionário, desconfiado do pedido, fez uma pausa. Este é o procedimento correto em um modelo padrão de conscientização de segurança.

• O contorno (bypass): Para aliviar as preocupações do funcionário, os invasores iniciaram uma chamada de videoconferência.

• O engano: O funcionário entrou na chamada e encontrou não apenas o CFO, mas vários outros colegas conhecidos. Todos eles eram deepfakes, avatares gerados por IA impulsionados por tecnologia de clonagem de voz em tempo real e reencenação facial. A confirmação visual e auditiva fornecida pelo "CFO" e a prova social dos outros "colegas" superaram completamente as defesas do funcionário.

• O resultado: Convencido de que estava agindo sob ordens legítimas, o funcionário autorizou 15 transferências eletrônicas totalizando 200 milhões de dólares de Hong Kong (25,6 milhões de dólares americanos) para contas fraudulentas.

A tecnologia deepfake tornou-se comoditizada. Os mercados da dark web agora oferecem "Deepfake-as-a-Service" por apenas 50 dólares americanos para vídeos e 30 dólares americanos para clonagem de voz. A tecnologia avançou para suportar a interação em tempo real com baixa latência, tornando as chamadas de phishing ao vivo viáveis. Os ataques de phishing com deepfake aumentaram 1.633% apenas no primeiro trimestre de 2025.

4. Quishing (Phishing de código QR)#

Apesar de frequentemente ofuscado pela IA, o "Quishing" (Phishing com código QR) cresceu em paralelo, aproveitando a lacuna na segurança de dispositivos móveis. Ataques usando códigos QR maliciosos aumentaram em 25% ano a ano.

A mecânica do Quishing é projetada para contornar as defesas corporativas. Como ilustrado no fluxo de processo abaixo, o ataque aproveita uma "lacuna de segurança" onde o usuário escaneia um código QR incorporado com seu dispositivo pessoal, contornando o Gateway de E-mail Seguro (SEG) e as proteções de endpoint corporativas antes de executar o ataque no navegador do dispositivo móvel.

Os invasores estão usando cada vez mais a IA para gerar códigos QR "artísticos" que se misturam em materiais de marketing, diminuindo ainda mais a suspeita do usuário.

5. Análise de ameaças por setor e região#

O impacto dessas ameaças não é uniforme. Diferentes setores enfrentam variações distintas do PhaaS e de ataques impulsionados por IA, com base no valor dos seus ativos e na cadência das suas operações.

5.1 Phishing-as-a-Service no setor bancário e financeiro#

O setor financeiro continua sendo a indústria mais visada, respondendo pelo maior volume de ataques de phishing.

• Portais de VibeScamming: Os invasores usam ferramentas como a Lovable para criar clones efêmeros e de alta fidelidade de portais de login de bancos regionais. Esses sites costumam ficar no ar por menos de 24 horas, tornando as derrubadas (takedowns) ineficazes.

• Fraude na verificação por deepfake: Uma tendência crescente envolve invasores usando a clonagem de voz para passar pela verificação de segurança bancária (telephone banking). Ao se passarem pelo titular da conta, eles autorizam transferências ou redefinem senhas. Cidadãos idosos viram um aumento de 40% nos ataques de vishing, destacando a natureza predatória dessas campanhas.

5.2 Phishing-as-a-Service na área da saúde#

Para a área da saúde, o phishing é principalmente um vetor de acesso inicial para ransomware.

• Impacto do custo: O custo médio de uma violação no setor de saúde é de 9,77 milhões de dólares americanos, o mais alto de qualquer setor.

• Iscas operacionais: Os invasores visam a equipe hospitalar com iscas relacionadas a "Escalonamento de turnos", "Administração do portal do paciente" ou "Atualizações na folha de pagamento". A urgência de ambientes clínicos torna a equipe altamente suscetível a essas iscas operacionais.

• Cadeia de suprimentos: Os ataques costumam ter origem em contas de fornecedores comprometidas (por exemplo, fornecedores de dispositivos médicos), aproveitando a relação de confiança para não levantar suspeitas.

5.3 Phishing-as-a-Service no varejo e na manufatura#

As organizações de manufatura viram o maior número de incidentes de ransomware em 2024, desafiando a tendência global de queda.

• Tecnologia legada: A manufatura costuma depender de Tecnologia Operacional (OT) legada e sistemas Windows mais antigos, tornando-os vulneráveis a explorações conhecidas uma vez que o acesso inicial é obtido via phishing.

• Falsificação de marca: Os varejistas enfrentam o "Brandjacking", onde os invasores usam a IA para gerar avaliações falsas de produtos, faturas fraudulentas e notificações de remessas falsificadas (por exemplo, "Seu pacote está atrasado") para fazer phishing com os consumidores.

• A alta na região da Ásia-Pacífico: A região Ásia-Pacífico sofreu um aumento de 13% nos ataques em 2024, impulsionado em grande parte por ataques em centros de manufatura cruciais para a cadeia de suprimentos global.

6. Defesa estratégica e resiliência contra o PhaaS#

As defesas da última década (detecção baseada em assinaturas, listas de bloqueios e treinamento básico de usuários) estão falhando contra os ataques baseados em proxies e orientados por IA. É necessária uma mudança em direção à Defesa Centrada na Identidade e à Análise Comportamental.

6.1 Controles técnicos contra o Phishing-as-a-Service#

Para abordar os problemas de phishing, alguns vetores devem ser tratados ao mesmo tempo.

1. MFA resistente a phishing#

• Defesa: Os administradores devem impor Políticas de Acesso Condicional (Conditional Access Policies) que bloqueiem os métodos de autenticação herdados. Se o navegador de um usuário tentar realizar o downgrade para um fluxo de senha/SMS, o login deverá ser bloqueado.

• Criptografia superior: As chaves de acesso FIDO oferecem a mais alta proteção, pois vinculam fisicamente a credencial ao dispositivo, tornando os ataques de repetição remota quase impossíveis.

2. IA visual e comportamental:#

• Visão computacional: As ferramentas de segurança devem analisar a aparência renderizada de uma página da web. Mesmo se o código estiver ofuscado com cifras de César, a página renderizada parece com o login da Microsoft. Os modelos de visão computacional podem identificar essa similaridade visual e bloquear o site.

• Linhas de base comportamentais: Plataformas como Check Point e Proofpoint estão caminhando em direção a linhas de base comportamentais. Elas analisam a intenção e o contexto dos e-mails (por exemplo, "É normal o CFO pedir uma transferência eletrônica às 23h de um domingo?"). As anomalias acionam alertas, independentemente da reputação do remetente.

6.2 Gestão de risco humano (HRM)#

• Simulações de deepfakes: O treinamento de conscientização sobre segurança agora deve incluir a exposição a vídeos e áudios deepfake. Os funcionários precisam vivenciar a qualidade dessas falsificações em um ambiente seguro para entender a ameaça.

• O protocolo de "Desafio-Resposta": As organizações devem implementar um protocolo de verificação fora de banda (out-of-band) para transações financeiras. Se uma chamada de vídeo solicitar uma transferência de fundos, o funcionário deve verificá-la através de um canal secundário (por exemplo, um aplicativo de bate-papo criptografado ou uma chamada telefônica para um número interno conhecido).

• Cultura de relatórios: A métrica mais eficaz para a cultura de segurança é a taxa de relatórios. Organizações de classe mundial alcançam taxas de relatórios (reporting rates) acima de 20%. As organizações com programas de treinamento eficazes podem reduzir a suscetibilidade a phishing em 86% no prazo de um ano.

6.3 Política e governança#

• Divulgação da SEC: As novas regras de divulgação de segurança cibernética da SEC (Formulário 8-K) exigem um relato rápido dos incidentes relevantes. A violação da F5 Networks em 2024/2025, atribuída a um agente de estado-nação, destacou a complexidade dessas divulgações, em que o Departamento de Justiça pode solicitar atrasos por motivos de segurança nacional.

• Diretiva NIS2: Na Europa, a diretiva NIS2 exige relatórios de incidentes rigorosos e medidas de gerenciamento de risco, forçando as organizações a assumirem a propriedade dos riscos na cadeia de suprimentos, incluindo aqueles introduzidos por meio do phishing.

7. Como a Corbado pode ajudar#

Ao substituir as senhas e a MFA baseada em OTP por chaves de acesso baseadas no FIDO e resistentes a phishing, a Corbado garante que a autenticação esteja criptograficamente ligada ao dispositivo e à origem do usuário, tornando os ataques adversary-in-the-middle e a repetição de sessões ineficazes. As chaves de acesso não podem ser reutilizadas, passadas por proxy ou exfiltradas, mesmo por kits de PhaaS altamente sofisticados como o Tycoon 2FA.

A Corbado foi desenvolvida para ambientes empresariais do mundo real: ela se integra às pilhas de autenticação existentes, suporta implantações graduais e habilita uma MFA forte sem adicionar atrito aos usuários. O resultado é uma segurança mensuravelmente mais alta, melhores taxas de sucesso de login e uma defesa durável contra o phishing impulsionado por IA em escala.

8. Conclusão: Phishing-as-a-Service#

A trajetória do panorama das ameaças de phishing aponta para uma adaptação autônoma. Estamos indo além dos ataques "automatizados" e chegando aos "autônomos". Os futuros agentes de IA não vão apenas executar um script predefinido; eles aprenderão a partir da resposta do defensor. Se um defensor bloqueia um IP, a IA irá rotacioná-lo. Se um defensor corrige uma vulnerabilidade, a IA reescreve a exploração (exploit).

Neste artigo, também respondemos às seguintes perguntas principais:

1. O que é Phishing-as-a-Service (PhaaS)? Phishing-as-a-Service é um ecossistema criminoso em estilo SaaS no qual os kits de phishing prontos, a infraestrutura e o suporte são vendidos através de assinaturas, permitindo até mesmo que os invasores de poucas habilidades lancem ataques altamente eficazes e escaláveis, muitas vezes capazes de contornar a MFA por meio de técnicas adversary-in-the-middle.

2. Qual papel a inteligência artificial desempenha nos ataques de phishing modernos? A inteligência artificial permite que o phishing ganhe escala e se adapte gerando iscas personalizadas e altamente críveis (“vibe scamming”), alimentando ataques agênticos autônomos e viabilizando a fraude por áudio e vídeo deepfake em tempo real, que podem derrotar a verificação humana e os controles de segurança tradicionais.

3. Como as organizações podem se defender contra o phishing moderno (controles técnicos, gerenciamento de risco humano e governança/política)? As organizações devem combinar autenticação com suporte de hardware e resistente ao phishing (por exemplo, as chaves de acesso FIDO) e a detecção baseada em IA visual/comportamental com um gerenciamento de risco humano, como conscientização em relação aos deepfakes e protocolos de verificação fora de banda (out-of-band), tudo reforçado por uma governança sólida e em conformidade com o relatório de incidentes e regulamentações quanto ao risco na cadeia de fornecimento (por exemplo, as regras da SEC e NIS2).

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas Frequentes#

O que é vibe scamming e por que é uma ameaça à segurança corporativa?#

O vibe scamming explora plataformas de IA sem código (no-code), como o Lovable, para gerar páginas de phishing totalmente funcionais a partir de comandos simples em linguagem natural. A Guardio Labs descobriu que o Lovable obteve apenas 1,8/10 na recusa de solicitações maliciosas, em comparação com 8/10 do ChatGPT. A Proofpoint observou dezenas de milhares de URLs de phishing geradas pelo Lovable distribuindo malware ativo no início de 2025.

Como o Quishing contorna os gateways de segurança de e-mail corporativo?#

O Quishing incorpora URLs maliciosas dentro de imagens de códigos QR em e-mails ou PDFs, que os gateways de e-mail seguro (SEGs) não conseguem analisar. A vítima escaneia o código com um smartphone pessoal, contornando as proteções de endpoint corporativas antes que o site de phishing seja carregado no navegador do dispositivo móvel. Esse vetor de ataque cresceu 25% ano a ano e é cada vez mais difícil de detectar.

O que aconteceu no caso de fraude com deepfake da Arup e o que isso significa para a verificação de identidade?#

Em 2024, os invasores convenceram um funcionário da Arup a autorizar 15 transferências eletrônicas totalizando 200 milhões de HKD (25,6 milhões de dólares americanos) ao encenar uma videochamada na qual o CFO e vários colegas eram todos deepfakes em tempo real. O incidente mostra que a confirmação visual e de áudio em videochamadas não pode mais servir como um método de verificação confiável sem um canal secundário de confirmação fora de banda (out-of-band).

Por que as chaves de acesso FIDO são mais resistentes aos ataques de PhaaS do que o SMS ou a MFA de aplicativos autenticadores?#

As chaves de acesso FIDO estão vinculadas criptograficamente ao dispositivo específico do usuário e ao domínio de origem legítimo, de modo que um proxy reverso em um ataque AiTM não pode capturá-las ou repeti-las. Diferentemente dos códigos SMS ou tokens OTP, as chaves de acesso nunca transmitem um segredo compartilhável, tornando-as ineficazes de interceptar até mesmo para plataformas sofisticadas como o Tycoon 2FA.

Qual taxa de relatórios de phishing uma organização deve buscar para medir uma cultura de segurança forte?#

De acordo com o artigo, organizações de classe mundial alcançam taxas de relatórios de phishing acima de 20%. As organizações com programas de treinamento eficazes também podem reduzir a suscetibilidade geral ao phishing em 86% ao longo de um ano, tornando a cultura de relatórios um indicador principal da postura de segurança junto com os controles técnicos.