Phishing
Saiba mais sobre as últimas táticas de phishing, como elas funcionam e estratégias comprovadas para proteger sua organização contra ameaças cibernéticas.
O que é phishing
O phishing dispensa apresentações. Se você usa a internet ou um dispositivo inteligente, já viu um ataque de phishing, seja um e-mail, uma mensagem de texto, uma ligação telefônica, uma publicação em uma rede social ou todos os itens acima.
A ameaça do phishing é tão séria quanto sua reputação sugere. O surgimento da IA generativa levou a um aumento enorme em ataques de phishing usando técnicas mais sofisticadas e em um volume maior do que nunca.
Engenharia social: como o phishing transforma a confiança em uma arma
Temos a tendência de acreditar no que vemos, especialmente se vier de uma fonte confiável. Isso significa que uma parte fundamental de um ataque de phishing bem-sucedido é uma mentira convincente. Isso é engenharia social. Os invasores podem se passar por nossos colegas, amigos, autoridades policiais ou marcas confiáveis; o que for preciso para nos convencer a baixar a guarda. E funciona: 90% dos ataques cibernéticos envolvem engenharia social.¹
Leia mais: O que é phishing?
Os ataques de phishing aumentaram 58,2% ano a ano em 2023, à medida que os invasores exploraram a IA generativa para promover novas técnicas sofisticadas de fraude.
Tipos de ataques de phishing
Todos os ataques de phishing têm objetivos semelhantes: induzir as vítimas a baixar malware, seguir links maliciosos ou divulgar informações privilegiadas. Mas os phishers podem usar muitas abordagens e tipos de mídia para fazer com que seus ataques pareçam mais convincentes, pessoais ou urgentes. Veja alguns dos tipos mais comuns abaixo.
O phishing por e-mail é o tipo mais tradicional de phishing, no qual os phishers enviam e-mails fraudulentos incentivando as vítimas a agir. Esse método tem uma barreira de entrada baixa porque os e-mails são fáceis de distribuir amplamente e muitas partes deles (remetente, cabeçalhos) são fáceis de falsificar.
O vishing (phishing de voz) é realizado por telefone ou VoIP. Como uma interação direta em tempo real, o vishing influencia fortemente nosso senso de urgência e instintos sociais. Os ataques de vishing sofisticados de hoje geralmente combinam técnicas como falsificação de identificação de chamadas e deepfakes de voz. Saiba mais.
O smishing (phishing por SMS) é feito por meio de mensagens de texto ou mensagens diretas em redes sociais. Embora seja semelhante ao phishing por e-mail, o smishing pode ser altamente eficaz devido à natureza pessoal percebida das mensagens de texto e porque a maioria das pessoas lê os textos antes de excluí-los. Saiba mais.
Spear phishing é um ataque altamente direcionado a um pequeno grupo de vítimas, ou até mesmo a uma única vítima. Não sendo específico de nenhum meio, o spear phishing é personalizado, usando detalhes específicos relacionados à(s) vítima(s) para tornar suas solicitações fraudulentas mais convincentes e enganosas. Saiba mais.
O phishing de man-in-the-middle (MiTM) é um ataque avançado no qual phishers interceptam e manipulam furtivamente as comunicações entre duas partes em tempo real. Eles podem alterar mensagens, redirecionar vítimas para sites maliciosos, coletar dados sigilosos e muito mais. Saiba mais.
Identificação de ataques de phishing: tipos comuns, principais táticas e dicas de prevenção
Técnicas e táticas de phishing
Os phishers usarão todos os meios à disposição, explorando a confiança, o medo ou o simples descuido das vítimas, para incentivar a ação.
Hoje, os invasores têm mais opções disponíveis do que nunca.
Quishing (phishing de código QR)
Usa códigos QR maliciosos no lugar de hiperlinks padrão. Embora um código QR seja funcionalmente igual a um hiperlink, é menos provável que as vítimas o examinem cuidadosamente.
Comprometimento de e-mail comercial (BEC)
Usa endereços de e-mail comprometidos ou falsificados de colegas ou líderes das vítimas para solicitar informações sigilosas, transferências financeiras ou acesso privilegiado.
Typosquatting
Explora usuários que digitam URLs incorretamente, muitas vezes os levando a domínios semelhantes que copiam marcas confiáveis e populares.
Ataques de phishing com tecnologia de IA: uma ameaça crescente à cibersegurança
Phishing de deepfake
Usa voz e/ou vídeo gerados por IA para representar pessoas em quem as vítimas confiam e pode ser quase indistinguível da pessoa real. Saiba mais sobre ataques de deepfake.
Phishing assistido por LLM
Utiliza modelos de GenAI como o ChatGPT para produzir traduções precisas com o mínimo de erros, ajudando os phishers a atingir melhor as vítimas que falam outros idiomas.
43,1% dos ataques de phishing corporativos copiam a Microsoft.
Saiba mais no Relatório de phishing de 2024 da ThreatLabz.
O papel da IA no phishing
O phishing com tecnologia de IA continua aumentando
Seguindo a tendência dos últimos anos, será cada vez mais difícil para os humanos discernirem entre fraudes assistidas por IA e comunicações reais e inofensivas. Confira nossas previsões completas:
Temporada de phishing 2025: as últimas previsões reveladas
Tendências de segurança cibernética em 2025: ameaças alimentadas por IA e riscos internos
O tempo médio para um ataque de phishing bem-sucedido é de apenas 49 segundos.² Com o custo médio global de uma violação de dados se aproximando US$ 5 milhões³, a melhor maneira de combater o phishing é preveni-lo.
Estratégias de detecção e prevenção
A Zscaler fornece um conjunto de soluções para evitar ataques de phishing bem-sucedidos em todas as etapas.
O Zscaler Internet Access™ ajuda a identificar e interromper atividades maliciosas ao rotear e inspecionar todo o tráfego da internet por meio de uma plataforma zero trust baseada em proxy e nativa da nuvem, bloqueando efetivamente:
- URLs e IPs maliciosos e de risco, incluindo categorias de URL de alto risco definidas por políticas, comumente usadas para phishing
- Assinaturas de IPS desenvolvidas a partir da análise de kits e páginas de phishing realizada pela Zscaler ThreatLabz
- Novos sites de phishing identificados por varreduras de conteúdo com tecnologia de IA/ML
A Proteção Avançada contra Ameaças bloqueia todos os domínios de comando e controle (C2) conhecidos para impedir que malware se comunique ou exfiltre dados para agentes mal-intencionados.
O firewall zero trust estende a proteção de C2 a todas as portas e protocolos, incluindo destinos de C2 emergentes.
A Zscaler ITDR (detecção e resposta a ameaças de identidade) reduz o risco de ataques baseados em identidade por meio de visibilidade contínua, monitoramento de riscos e detecção de ameaças.
O Zero Trust Browser transmite conteúdo malicioso ou de risco aos usuários como pixels, oferecendo uma experiência quase nativa que elimina vazamentos de dados e impede a distribuição de ameaças ativas.
A sandbox na nuvem evita malwares desconhecidos distribuídos em cargas de segundo estágio.
A segurança de DNS protege contra ataques baseados em DNS e tentativas de exfiltração.
O Zscaler Private Access™ limita a movimentação lateral aplicando acesso de privilégio mínimo, segmentação de usuário para aplicativo e inspeção completa integrada do tráfego de aplicativos privados.
O AppProtection inspeciona cargas inteiras de aplicativos para expor ameaças.
Ferramentas
Entenda as falhas na sua segurança que podem estar deixando você exposto a phishing, botnets, downloads drive-by e muito mais:
Inicie uma análise de exposição a ameaças da internet
Dezenas de milhares de novos sites de phishing surgem todos os dias. Analise qualquer URL para confirmar se ele é seguro em apenas alguns segundos:
1. Gen Digital, Tendências de segurança cibernética do segundo trimestre de 2024.
2. Verizon, Relatório de investigações de violação de dados de 2024.
3. IBM, Relatório sobre o custo de uma violação de dados de 2024.
Zero Trust Essentials
Explore more topics
Browse our learning hubs–read up on fundamentals, use cases, benefits, and strategies.