Cibercriminosos exploram confiança como principal vetor de ataque

Os cibercriminosos estão a explorar cada vez mais a confiança humana como principal vetor de ataque, em detrimento da exploração exclusiva de falhas técnicas. A conclusão é do Q4 2025 Email Threat Trends Report da VIPRE Security Group, um relatório analisou mais de 1,5 mil milhões de emails e cerca de meio milhão de mensagens de spam, identificando as principais tendências de ameaças por email no último trimestre de 2025 e antecipando os riscos dominantes para 2026.

Uma das evoluções mais significativas foi o regresso em força do callback phishing, que aumentou 500% no quarto trimestre de 2025, passando de 3% para 18% de todos os incidentes de phishing. Esta técnica aposta na interação direta com a vítima, levando-a a contactar os atacantes por telefone, explorando a manipulação psicológica em detrimento de malware tradicional.

A fraude por email empresarial - Business Email Compromise (BEC) - manteve-se como um dos métodos mais eficazes para os atacantes, representando 51% de todos os casos de fraude por email. Segundo a VIPRE, esta prevalência demonstra que muitos ambientes corporativos continuam a carecer de controlos eficazes contra ataques baseados em engenharia social.

O relatório destaca ainda uma tendência preocupante: a utilização abusiva de mecanismos de segurança legítimos. Ferramentas como CAPTCHA e verificações “I am not a robot” estão a ser usadas pelos atacantes para bloquear scanners automáticos e reforçar a aparência de legitimidade de páginas falsas de login, facilitando o roubo de credenciais.

Outro fator crítico identificado é o uso de marcas e plataformas de confiança como veículo de ataque. Contas comprometidas foram a principal fonte de spam no período analisado, com os atacantes a explorarem serviços amplamente reconhecidos, como Microsoft, Dropbox, Amazon Web Services ou Bitbucket, para alojar e distribuir conteúdos maliciosos sem levantar suspeitas.

A personificação continua a ser o tipo dominante de ataques BEC, representando 82% dos incidentes deste género. Em metade dos casos, os alvos foram CEO e executivos de topo, sobretudo em empresas de menor dimensão, onde a proximidade hierárquica facilita pedidos urgentes de transferências financeiras ou alterações de pagamentos.

Os atacantes recorrem ainda a nomes de ficheiros e assuntos de email que imitam documentos legítimos, como folhas salariais, faturas, avaliações de desempenho ou pedidos urgentes, aumentando a probabilidade de interação por parte das vítimas.

“O que os dados do quarto trimestre de 2025 revelam é uma evolução preocupante: a instrumentalização sistemática da confiança”, afirma Usman Choudhary, General Manager da VIPRE Security Group. “Os atacantes não exploram apenas vulnerabilidades técnicas, mas também a confiança nas pessoas, nas marcas conhecidas e até nos próprios mecanismos de segurança.”

Para 2026, a VIPRE antecipa um aumento de ataques BEC altamente personalizados e potenciados por IA, com especial foco em áreas financeiras e de recursos humanos. Espera-se também um crescimento de campanhas com páginas de phishing geradas por IA, ataques em múltiplas fases, exploração de plataformas cloud de confiança e utilização de técnicas de engano visual, incluindo deepfakes e falsas janelas de autenticação, tornando a segurança do email um desafio cada vez mais centrado no fator humano.