Os ataques de phishing estão longe de desaparecer. Em 2025, o que se vê é um regresso inesperado de métodos antigos, agora renovados com truques mais refinados. O mais recente relatório da Kaspersky mostra como estas velhas técnicas estão a ganhar nova vida e a tornar-se numa dor de cabeça real para empresas e utilizadores.
Convites de calendário: uma agenda com surpresas
Quem diria que um convite de calendário podia esconder uma armadilha? Os atacantes voltaram a recorrer a este método, especialmente em ambientes empresariais. Os convites chegam por e-mail, muitas vezes sem conteúdo visível, mas com um link malicioso disfarçado na descrição do evento.
Aceitar o convite é o suficiente para que a armadilha seja armada: o evento é adicionado automaticamente ao calendário da vítima, acompanhado de lembretes persistentes que incentivam o clique num link de login falso, muitas vezes idêntico ao da Microsoft. Desativar a adição automática de eventos no calendário é o primeiro passo para evitar este tipo de golpe.
Mensagens de voz: um truque com várias camadas
Outro método ressuscitado envolve notificações falsas de mensagens de voz. O utilizador recebe um e-mail simples, com um link que promete uma mensagem importante. Ao clicar, inicia-se um processo com desafios CAPTCHA, supostamente para provar que é humano.
O destino final? Uma página de login falsa, muitas vezes igual à do Google. Aqui, os atacantes recolhem os dados de acesso com um disfarce quase perfeito.
MFA já não é suficiente
A autenticação multifatorial foi, durante muito tempo, a resposta para ataques por e-mail. Hoje, é também alvo. Os cibercriminosos estão a enviar e-mails que imitam comunicações oficiais de serviços cloud, como o pCloud, convidando o utilizador a iniciar sessão para resolver um problema técnico qualquer.
O problema real é que o link leva a um domínio falso (como pcloud.online), que imita o serviço original e recolhe credenciais e códigos OTP em tempo real.
Como se proteger do phishing em 2025
Os cibercriminosos estão a ficar mais sofisticados, mas isso não significa que as defesas devam ficar para trás. Proteger uma organização contra phishing em 2025 exige mais do que filtros de spam, é preciso estratégia, formação e tecnologia robusta.
Aposte na formação contínua
Os colaboradores continuam a ser a primeira linha de defesa. Mas também são, frequentemente, o elo mais fraco. Por isso, é essencial apostar em formações regulares em cibersegurança, com enfoque no phishing. Estas formações devem incluir simulações de ataques em ambiente real, fornecendo aos participantes experiências práticas e realistas.
É fundamental apresentar dicas objetivas para identificar e-mails maliciosos e promover exercícios que ajudem a analisar criticamente URLs e anexos suspeitos. Esta abordagem prática consolida comportamentos preventivos e aumenta significativamente a capacidade de resposta perante tentativas de fraude digital.
Observe atentamente o remetente do e-mail
Nem todo o e-mail estranho vai parar à pasta de spam. Muitos conseguem escapar aos filtros tradicionais graças a disfarces bem elaborados. Por isso, os utilizadores devem ser treinados para adoptar um olhar crítico e metódico.
Verificar com atenção a ortografia dos domínios de envio, passar o cursor sobre os links antes de clicar para confirmar o destino real e desconfiar de anexos inesperados, sobretudo quando vêm acompanhados de mensagens com carácter urgente, são práticas simples que fazem toda a diferença na prevenção de ataques.
Proteja o e-mail
O e-mail continua a ser o campo de batalha preferido dos atacantes, e é precisamente aí que deve começar a defesa. As soluções de segurança de e-mail mais avançadas permitem antecipar, detetar e bloquear ataques antes que cheguem ao utilizador final. Ferramentas como o Kaspersky SecureMail e o Kaspersky Security for Mail Servers oferecem funcionalidades essenciais, como a deteção de domínios falsificados, a análise comportamental de anexos e links suspeitos, e o bloqueio de tentativas de contorno por APIs.
No fundo, funcionam como um radar de alta precisão, capaz de identificar ameaças disfarçadas de comunicações legítimas, protegendo proativamente a infraestrutura digital das organizações.
Crie uma cultura de cibersegurança
Mais do que uma medida técnica, proteger contra phishing exige uma verdadeira mudança de mentalidade dentro das organizações. Essa transformação implica envolver todos os níveis hierárquicos na discussão sobre segurança digital, incentivar a partilha interna de casos suspeitos e reconhecer de forma ativa comportamentos preventivos entre os colaboradores.
A cibersegurança não deve ser vista como uma responsabilidade exclusiva da equipa de IT, mas como parte integrante da cultura da empresa, enraizada no dia a dia de todos.
O passado voltou, mas com mais truques
Os ataques de phishing atuais provam que a criatividade dos cibercriminosos combina perfeitamente com a arte da reciclagem digital. As técnicas não são inéditas, mas são disfarçadas com nova aparência. E como em qualquer tendência que regressa, o segredo está em saber identificar os padrões antes que se tornem um problema.