🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Em 2025, assistimos a uma enorme inovação dos atacantes no que diz respeito a ataques de phishing, à medida que os atacantes continuam a apostar nas técnicas baseadas na identidade. A evolução contínua do phishing significa que ele continua sendo um dos métodos mais eficazes disponíveis para os invasores atualmente — na verdade, é indiscutivelmente mais eficaz do que nunca.
Vamos examinar mais de perto as principais tendências que definiram os ataques de phishing em 2025 e o que essas mudanças significam para as equipes de segurança em 2026.
Nº 1: Phishing se torna omnicanal
Já faz algum tempo que falamos sobre o aumento do phishing não relacionado a e-mail, mas 2025 foi o ano em que o phishing realmente se tornou omnicanal.
Embora a maior parte dos dados do setor sobre phishing ainda venha de fornecedores e ferramentas de segurança de e-mail, o cenário está começando a mudar. Aproximadamente 1 em cada 3 ataques de phishing detectados pelo Push Security foram entregues fora do email.
Existem muitos exemplos de campanhas de phishing operadas fora do e-mail, sendo os DMs do LinkedIn e a Pesquisa Google os principais canais que identificamos. Campanhas notáveis incluem:
Uma campanha direcionada contra executivos de empresas de tecnologia, veiculada por meio de contas comprometidas no LinkedIn de outros funcionários da mesma organização, enquadrada como uma oportunidade de investimento.
Uma campanha se passando por um fundo de investimento sul-americano oferecendo a oportunidade de ingressar no fundo.
Várias campanhas de malvertising capturam usuários que procuram termos de pesquisa importantes, como “Google Ads”, “TradingView” e “Onfido”.
Página falsa de fundo de private equity hospedada no Google Sites.
Página de destino personalizada de fundos de investimento hospedada no Firebase.
Link de malvertising para “Google Ads” ocupando o primeiro lugar nos resultados patrocinados.
O phishing por meio de canais que não sejam de e-mail tem uma série de vantagens. Sendo o e-mail o vetor de phishing mais bem protegido, ele evita totalmente esses controles. Não há necessidade de construir a reputação do remetente, encontrar maneiras de enganar os mecanismos de análise de conteúdo ou esperar que sua mensagem não acabe na pasta de spam.
Em comparação, os vetores que não são de e-mail praticamente não têm triagem, sua equipe de segurança não tem visibilidade e os usuários são menos propensos a antecipar possíveis phishing.
É discutível que é mais provável que um executivo de empresa se envolva com um DM do LinkedIn a partir de uma conta confiável do que com um e-mail frio. E os aplicativos de mídia social não fazem nada para analisar mensagens em busca de links de phishing. (E devido às limitações das verificações baseadas em URL quando se trata dos atuais ataques de phishing em vários estágios, isso seria extremamente difícil, mesmo que tentassem).
Os mecanismos de pesquisa também apresentam uma grande oportunidade para os invasores, estejam eles comprometendo sites existentes e de alta reputação, divulgando anúncios maliciosos ou simplesmente codificando seus próprios sites otimizados para SEO.
Esta é uma forma eficaz de lançar ataques do tipo “watering hole”, lançando uma ampla rede para coletar credenciais e acesso a contas que podem ser revendidas a outros criminosos mediante o pagamento de uma taxa, ou aproveitadas por parceiros no ecossistema cibercriminoso como parte de grandes violações cibernéticas (como os ataques recentes do coletivo criminoso “Scattered Lapsus$ Hunters”, todos os quais começaram com acesso inicial baseado em identidade).
Novo webinar: Como evoluíram os ataques de phishing em 2025
Confira o último webinar da Push Security em 17 de dezembro para saber como o phishing evoluiu em 2025, enquanto os pesquisadores da Push analisam os ataques mais interessantes com os quais lidaram no campo e o que as equipes de segurança precisam para se preparar para o phishing em 2026.
Cadastre-se agora
Nº 2: Os kits criminosos PhaaS dominam
A grande maioria dos ataques de phishing hoje usa um proxy reverso. Isso significa que eles são capazes de contornar a maioria das formas de MFA porque uma sessão é criada e roubada em tempo real como parte do ataque. Não há nenhuma desvantagem nesta abordagem em comparação com o phishing de credenciais básico que era a norma há mais de uma década.
Esses ataques Attacker-in-the-Middle são alimentados por kits criminosos de Phishing-as-a-Service (PhaaS), como Tycoon, NakedPages, Sneaky2FA, Flowerstorm, Salty2FA, juntamente com várias variações do Evilginx (nominalmente uma ferramenta para red teamers, mas amplamente utilizada pelos invasores).
Os kits PhaaS são extremamente importantes para o crime cibernético porque disponibilizam recursos sofisticados e em constante evolução para o mercado criminoso, reduzindo a barreira de entrada para criminosos que executam campanhas avançadas de phishing.
Isso não é exclusivo do phishing: ransomware como serviço, preenchimento de credenciais como serviço e muitas outras ferramentas e serviços de aluguel existem para os criminosos usarem mediante o pagamento de uma taxa.
Este ambiente competitivo alimentou a inovação dos atacantes, resultando num ambiente em que o desvio de MFA é uma aposta decisiva, a autenticação resistente ao phishing está a ser contornada através de ataques de downgrade e as técnicas de evasão de deteção estão a ser utilizadas para contornar ferramentas de segurança - desde scanners de e-mail, a ferramentas de segurança de rastreio da Web, a proxies da Web que analisam redes
Vamos examinar mais de perto as principais tendências que definiram os ataques de phishing em 2025 e o que essas mudanças significam para as equipes de segurança em 2026.
Nº 1: Phishing se torna omnicanal
Já faz algum tempo que falamos sobre o aumento do phishing não relacionado a e-mail, mas 2025 foi o ano em que o phishing realmente se tornou omnicanal.
Embora a maior parte dos dados do setor sobre phishing ainda venha de fornecedores e ferramentas de segurança de e-mail, o cenário está começando a mudar. Aproximadamente 1 em cada 3 ataques de phishing detectados pelo Push Security foram entregues fora do email.
Existem muitos exemplos de campanhas de phishing operadas fora do e-mail, sendo os DMs do LinkedIn e a Pesquisa Google os principais canais que identificamos. Campanhas notáveis incluem:
Uma campanha direcionada contra executivos de empresas de tecnologia, veiculada por meio de contas comprometidas no LinkedIn de outros funcionários da mesma organização, enquadrada como uma oportunidade de investimento.
Uma campanha se passando por um fundo de investimento sul-americano oferecendo a oportunidade de ingressar no fundo.
Várias campanhas de malvertising capturam usuários que procuram termos de pesquisa importantes, como “Google Ads”, “TradingView” e “Onfido”.
Página falsa de fundo de private equity hospedada no Google Sites.
Página de destino personalizada de fundos de investimento hospedada no Firebase.
Link de malvertising para “Google Ads” ocupando o primeiro lugar nos resultados patrocinados.
O phishing por meio de canais que não sejam de e-mail tem uma série de vantagens. Sendo o e-mail o vetor de phishing mais bem protegido, ele evita totalmente esses controles. Não há necessidade de construir a reputação do remetente, encontrar maneiras de enganar os mecanismos de análise de conteúdo ou esperar que sua mensagem não acabe na pasta de spam.
Em comparação, os vetores que não são de e-mail praticamente não têm triagem, sua equipe de segurança não tem visibilidade e os usuários são menos propensos a antecipar possíveis phishing.
É discutível que é mais provável que um executivo de empresa se envolva com um DM do LinkedIn a partir de uma conta confiável do que com um e-mail frio. E os aplicativos de mídia social não fazem nada para analisar mensagens em busca de links de phishing. (E devido às limitações das verificações baseadas em URL quando se trata dos atuais ataques de phishing em vários estágios, isso seria extremamente difícil, mesmo que tentassem).
Os mecanismos de pesquisa também apresentam uma grande oportunidade para os invasores, estejam eles comprometendo sites existentes e de alta reputação, divulgando anúncios maliciosos ou simplesmente codificando seus próprios sites otimizados para SEO.
Esta é uma forma eficaz de lançar ataques do tipo “watering hole”, lançando uma ampla rede para coletar credenciais e acesso a contas que podem ser revendidas a outros criminosos mediante o pagamento de uma taxa, ou aproveitadas por parceiros no ecossistema cibercriminoso como parte de grandes violações cibernéticas (como os ataques recentes do coletivo criminoso “Scattered Lapsus$ Hunters”, todos os quais começaram com acesso inicial baseado em identidade).
Novo webinar: Como evoluíram os ataques de phishing em 2025
Confira o último webinar da Push Security em 17 de dezembro para saber como o phishing evoluiu em 2025, enquanto os pesquisadores da Push analisam os ataques mais interessantes com os quais lidaram no campo e o que as equipes de segurança precisam para se preparar para o phishing em 2026.
Cadastre-se agora
Nº 2: Os kits criminosos PhaaS dominam
A grande maioria dos ataques de phishing hoje usa um proxy reverso. Isso significa que eles são capazes de contornar a maioria das formas de MFA porque uma sessão é criada e roubada em tempo real como parte do ataque. Não há nenhuma desvantagem nesta abordagem em comparação com o phishing de credenciais básico que era a norma há mais de uma década.
Esses ataques Attacker-in-the-Middle são alimentados por kits criminosos de Phishing-as-a-Service (PhaaS), como Tycoon, NakedPages, Sneaky2FA, Flowerstorm, Salty2FA, juntamente com várias variações do Evilginx (nominalmente uma ferramenta para red teamers, mas amplamente utilizada pelos invasores).
Os kits PhaaS são extremamente importantes para o crime cibernético porque disponibilizam recursos sofisticados e em constante evolução para o mercado criminoso, reduzindo a barreira de entrada para criminosos que executam campanhas avançadas de phishing.
Isso não é exclusivo do phishing: ransomware como serviço, preenchimento de credenciais como serviço e muitas outras ferramentas e serviços de aluguel existem para os criminosos usarem mediante o pagamento de uma taxa.
Este ambiente competitivo alimentou a inovação dos atacantes, resultando num ambiente em que o desvio de MFA é uma aposta decisiva, a autenticação resistente ao phishing está a ser contornada através de ataques de downgrade e as técnicas de evasão de deteção estão a ser utilizadas para contornar ferramentas de segurança - desde scanners de e-mail, a ferramentas de segurança de rastreio da Web, a proxies da Web que analisam redes
#samirnews #samir #news #boletimtec #principais #tendências #de #phishing #para #2025 #e #o #que #elas #significam #para #sua #estratégia #de #segurança
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário