Darktrace identifica mais de 32 milhões de tentativas de phishing em e-mail em 2025
A empresa de cibersegurança Darktrace revelou que seus sistemas detectaram mais de 32 milhões de e-mails de phishing apenas ao longo de 2025, um número que evidencia a escala e a persistência desse tipo de ataque no cenário digital global. O dado reforça que, apesar da evolução das tecnologias de segurança, golpes baseados em engenharia social continuam entre as principais armas do cibercrime contra empresas e usuários comuns.
Essas mensagens maliciosas se disfarçam como comunicações legítimas: notificações de bancos, grandes varejistas, provedores de nuvem, serviços de streaming ou até comunicações internas corporativas. A aparência é convincente – logos corretos, linguagem semelhante à oficial e até remetentes que imitam endereços autênticos. O objetivo central é sempre o mesmo: induzir a vítima ao erro, seja clicando em um link malicioso, baixando um anexo infectado ou entregando, voluntariamente, suas credenciais de acesso.
Segundo as análises associadas a esse volume de ataques, a sofisticação das campanhas cresceu. Criminosos utilizam técnicas refinadas de engenharia social, estudando o comportamento de vítimas e organizações, para moldar mensagens altamente personalizadas. E-mails que simulam avisos de segurança de conta, ameaças de bloqueio de serviços, faturas em atraso ou notificações de cobrança são criados justamente para provocar urgência e medo, aumentando a chance de cliques impulsivos.
O levantamento também mostra que o phishing permanece como uma das ameaças mais persistentes no ambiente corporativo. Mesmo empresas que já investem em filtros avançados, gateways seguros e soluções baseadas em inteligência artificial ainda enfrentam o desafio de impedir que mensagens maliciosas cheguem à caixa de entrada dos funcionários. Em campanhas em larga escala, mesmo uma taxa de sucesso pequena é suficiente para causar danos significativos, sobretudo quando um único clique pode abrir a porta para roubo de dados, sequestro de sistemas ou movimentações financeiras fraudulentas.
Uma das razões para essa proliferação é a automação. Hoje, qualquer criminoso com conhecimento técnico mediano consegue montar uma campanha de phishing usando kits prontos, painéis de controle simplificados e ferramentas de envio em massa. Esses recursos permitem criar e disparar mensagens em vários idiomas, com layouts profissionais, segmentando alvos por região, setor ou perfil. O custo é baixo, o risco de identificação é reduzido e o potencial de retorno financeiro permanece alto, o que torna o phishing um modelo de negócio atrativo no submundo digital.
A popularização da inteligência artificial também tem ampliado a superfície de ataque. Se, por um lado, empresas de segurança utilizam IA para detectar anomalias, comportamentos suspeitos e padrões de ataque, por outro lado, criminosos começam a utilizar modelos de linguagem para redigir e-mails impecáveis, sem erros gramaticais ou sinais óbvios de fraude. Isso enfraquece um dos mecanismos intuitivos que muitos usuários ainda usavam para se proteger: “desconfiar do português ruim” já não é tão eficaz quando os textos passam a ser gerados por algoritmos sofisticados.
Além disso, integrações de IA em ferramentas corporativas, plataformas de produtividade e sistemas de colaboração ampliam o terreno de ataque. Quanto mais softwares interconectados, mais pontos de entrada potenciais surgem. Um e-mail de phishing bem-sucedido pode, por exemplo, conceder acesso a contas que, por sua vez, estão integradas a múltiplos serviços internos, permitindo movimentação lateral dentro da infraestrutura da empresa. Isso transforma um simples clique em uma possível brecha sistêmica, com impacto em diversos setores.
Nesse contexto, a segurança não pode ser encarada como responsabilidade exclusiva das ferramentas. A cultura de conscientização é peça-chave. Treinamentos recorrentes, simulações de phishing interno e campanhas de educação digital ajudam funcionários a reconhecer sinais sutis de fraude: URLs estranhas, domínios parecidos porém falsos, pedidos de alteração imediata de senha, anexos inesperados ou mensagens que tentam contornar procedimentos formais. A ideia é transformar cada colaborador em uma camada adicional de defesa.
Ao mesmo tempo, é fundamental que as empresas olhem para a segurança de forma abrangente ao desenvolver ou contratar softwares. Muitas organizações ainda confundem ou subestimam a importância de diferentes práticas de teste de segurança, como SAST, DAST e pentest. Cada uma dessas abordagens cobre partes distintas da superfície de ataque e, quando combinadas, reduzem significativamente as chances de que uma campanha de phishing explore vulnerabilidades não detectadas.
O SAST (Static Application Security Testing) é focado na análise estática do código-fonte. Ele busca falhas de segurança diretamente na base de código, antes mesmo da aplicação ser executada. Isso permite corrigir vulnerabilidades desde as etapas iniciais de desenvolvimento, evitando que erros estruturais cheguem à produção. No contexto de phishing, falhas em validação de entrada, autenticação ou gestão de sessão podem ser exploradas por criminosos após um acesso inicial obtido por e-mail malicioso.
Já o DAST (Dynamic Application Security Testing) avalia a aplicação em funcionamento, como se fosse um atacante externo interagindo com o sistema. Testes dinâmicos simulam requisições, manipulação de parâmetros, exploração de endpoints e comportamento sob diferentes cenários. Enquanto o SAST enxerga por dentro, o DAST mostra como a aplicação se comporta “vista de fora”. Muitas vezes, um link num e-mail de phishing direciona para páginas vulneráveis a ataques de injeção, XSS ou captura de credenciais, e é nesse momento que um DAST bem implementado faria diferença.
O pentest (teste de intrusão), por sua vez, vai além dos testes automatizados e traz o olhar humano especializado. Profissionais simulam ataques reais, combinando técnicas técnicas e comportamentais para explorar a infraestrutura, os sistemas web, os endpoints e até processos internos da organização. Exigir um pentest independente antes de contratar ou implantar um software crítico é uma prática que pode evitar prejuízos severos. Esse tipo de teste costuma revelar vulnerabilidades encadeadas, brechas de configuração e falhas de lógica de negócio que ferramentas automatizadas não detectam facilmente.
Considerando o crescimento exponencial das campanhas de phishing identificadas, torna-se prudente que empresas incluam, em seus contratos de tecnologia, cláusulas que exijam testes de segurança robustos, incluindo pentest, antes da homologação de qualquer sistema. Essa postura preventiva ajuda a reduzir o impacto de um eventual comprometimento de credenciais obtidas via phishing, dificultando que um invasor avance na infraestrutura mesmo após um primeiro acesso indevido.
Para além do ambiente corporativo, usuários domésticos também precisam reforçar hábitos de segurança. Utilizar autenticação em duas etapas, evitar reutilização de senhas, desconfiar de pedidos urgentes de atualização de dados e verificar cuidadosamente o endereço de e-mail do remetente são medidas simples que reduzem a superfície de ataque individual. Em muitos casos, ataques em massa miram justamente pessoas com menor nível de proteção, que podem servir como ponto de entrada para golpes mais complexos.
O número de mais de 32 milhões de e-mails de phishing detectados em 2025 não é apenas uma estatística impressionante: é um alerta sobre a maturidade que o cibercrime atingiu. A combinação de automação, uso de inteligência artificial, kits de ataque prontos e falhas recorrentes de conscientização cria um ambiente em que campanhas maliciosas podem ser lançadas em escala industrial. A resposta, portanto, precisa ser igualmente estruturada: tecnologia avançada aliada a processos sólidos, testes de segurança abrangentes e educação contínua de todos os envolvidos.
No fim, a mensagem central é clara: enquanto houver vantagem financeira e baixo risco para os criminosos, o phishing continuará crescendo. Cabe a empresas e usuários elevar o nível de proteção, questionar mensagens suspeitas, exigir padrões rigorosos de segurança em softwares contratados e tratar a cibersegurança não como um custo, mas como um investimento essencial para a continuidade dos negócios e a proteção de dados pessoais.