IA e Phishing-as-a-Service agravam ameaças por email em 2026

A Barracuda alerta que a Inteligência Artificial (IA) e as plataformas de Phishing-as-a-Service (PhaaS) estão a transformar rapidamente o panorama das ameaças de email, aumentando tanto o volume como a sofisticação dos ataques dirigidos a empresas e utilizadores.

No relatório “Relatório de Ameaças de E-mail de 2026”, a empresa revela que analisou mais de 3,1 mil milhões de mensagens durante janeiro de 2026, concluindo que uma em cada três mensagens recebidas é atualmente maliciosa ou spam, o que reflete um aumento face ao ano anterior.

O estudo destaca o crescimento expressivo das campanhas de phishing de credenciais, impulsionadas por serviços de Phishing-as-a-Service, modelos criminosos que disponibilizam kits completos para ataques de phishing, incluindo páginas falsas de autenticação, automação e alojamento de infraestrutura.

Segundo a Barracuda, “90% das campanhas de phishing de elevado volume utilizaram kits PhaaS em 2025”, um salto significativo face aos 30% registados em 2024. A empresa sublinha que os atacantes estão também a abandonar gradualmente os anexos tradicionais em favor de campanhas baseadas em URL maliciosos, códigos QR e ataques de apropriação de contas (ATO), estratégias que permitem contornar mecanismos tradicionais de deteção.

Os ataques de phishing continuam a dominar o panorama das ameaças de email, representando 48% da atividade maliciosa identificada. Já os ataques de spoofing e falsificação de identidade representam 3,8%, enquanto os ataques de Business Email Compromise (BEC), apesar do baixo volume, continuam a ser considerados dos mais perigosos devido ao elevado impacto financeiro.

O relatório alerta ainda para o aumento dos ataques através de códigos QR maliciosos, prática conhecida como “quishing”. Segundo os dados analisados, 70% dos PDFs maliciosos e 56% dos documentos Microsoft 365 maliciosos continham códigos QR que redirecionavam os utilizadores para páginas de phishing ou conteúdos maliciosos.

A Barracuda destaca igualmente que as pequenas e médias empresas continuam particularmente vulneráveis devido a equipas reduzidas, infraestruturas de segurança menos maduras e orçamentos limitados para cibersegurança.

Entre as recomendações deixadas pela empresa estão a adoção de segurança de email em múltiplas camadas com recurso a IA, a implementação de autenticação multifator, monitorização em tempo real, automatização da resposta a incidentes e formação contínua dos utilizadores.