Os ataques cibernéticos que exploram vulnerabilidades de software são muito perigosos, mas geralmente fáceis de corrigir — muitas vezes exigindo apenas um patch. O phishing, no entanto, usa engenharia social para atingir pessoas em vez de sistemas. Os ataques de phishing podem evoluir e se adaptar a novas narrativas ou plataformas conforme necessário, forçando as empresas a repensarem suas estratégias.

Neste guia detalhado, abordaremos as táticas mais relevantes empregadas por campanhas de phishing atualmente, para que você possa desenvolver a melhor abordagem para proteger seu negócio contra essa ameaça.

O que você aprenderá neste guia:

• A natureza em constante evolução do phishing: Descubra como os ataques de phishing vão além de simples e-mails e agora exploram vários canais, como SMS, redes sociais e até códigos QR.
• O impacto devastador: Entenda as consequências sérias do phishing, desde infecções por ransomware e sequestro de contas até perdas financeiras significativas para as empresas.

• As táticas mais recentes: Conheça as técnicas sofisticadas que os invasores usam para evitar detecção, incluindo a ocultação de nomes de marcas e o uso de anúncios enganosos e páginas intermediárias.

• Tipos de ataques de phishing: Aprenda sobre as diferentes formas que o phishing pode assumir, como smishing, vishing, spear phishing e whaling, e saiba como reconhecê-las.

• Estratégias eficazes de defesa: Explore uma abordagem em várias camadas para combater o phishing, combinando tecnologia como filtros de spam e anti-malware com conscientização e vigilância em cibersegurança.

O que é phishing e por que ele ainda representa uma ameaça real para empresas?

Phishing é um tipo de ataque cibernético que utiliza engenharia social para enganar vítimas e induzi-las a divulgar informações sensíveis, como senhas, instalar aplicativos maliciosos em seus dispositivos ou realizar outras ações que possam ajudar os invasores a atingir seus objetivos.

O termo vem da ideia de "pescar" (fishing, em inglês), pois o hacker usa uma isca para atrair as vítimas para o golpe. A isca tradicional do phishing é um e-mail que solicita a senha do usuário enquanto finge ser de uma instituição confiável — geralmente um banco.

Atualmente, golpes de phishing são distribuídos por diversos canais, incluindo SMS, chamadas telefônicas e anúncios pagos em redes de publicidade e plataformas de mídia social. Além disso, eles podem se passar por empresas de diferentes setores, incluindo lojas online, software e veículos de mídia.

O phishing não exige vulnerabilidades de software. Em vez disso, ele geralmente tenta enganar as vítimas explorando traços e emoções humanas, como curiosidade e medo. Dito isso, cibercriminosos podem invadir servidores ou usar pagamentos fraudulentos (como cartões de crédito roubados) para obter a infraestrutura necessária para enviar mensagens de phishing ou hospedar sites fraudulentos.

Além disso, vulnerabilidades e falhas de software podem ser exploradas para tornar o golpe mais convincente. Por exemplo, hackers podem inserir código malicioso dentro de documentos para instalar malware e forjar cabeçalhos de e-mail para falsificar sua origem, especialmente quando isso pode ser feito para contornar filtros de spam ou sistemas de verificação de remetentes.

Quais são os impactos reais do phishing para empresas?

Incidentes de ransomware geralmente começam com phishing

Quando o phishing é usado para instalar malware ou roubar credenciais corporativas, pode resultar em um incidente de ransomware. Hackers frequentemente encontram maneiras de explorar qualquer acesso inicial, mesmo com privilégios baixos, para mover-se lateralmente dentro da rede, permitindo a exfiltração de dados e a violação de sistemas sensíveis.

De acordo com o IBM X-Force Threat Intelligence Index, o phishing está empatado em primeiro lugar como o vetor mais comum para acesso inicial, podendo levar a ransomware ou outras interrupções.

Embora o phishing não exija um alto nível de sofisticação técnica, seria um erro acreditar que os hackers que o utilizam não conseguem realizar operações sofisticadas.

Phishing ligado ao sequestro de contas (ATO - Account Takeover)

Credenciais são um alvo comum para ataques de phishing, seja diretamente (com uma página falsa que solicita a senha da vítima) ou indiretamente (por meio da disseminação de malware stealer, que, uma vez instalado, extrai essas informações do sistema assim que ficam disponíveis).

Credenciais roubadas permitem que hackers acessem contas de clientes, resultando em incidentes de Account Takeover (ATO). Quando criminosos realizam pedidos fraudulentos ou efetuam pagamentos sem a autorização da vítima, a empresa pode sofrer prejuízos devido a estornos (chargebacks) e outros processos legais ou técnicos.

ATO é um dos principais componentes do ecossistema de fraudes digitais, gerando bilhões em perdas anualmente.

Quais tipos de phishing existem e como identificá-los?

O phishing pode ter diferentes objetivos:

• Credenciais corporativas: O phishing pode tentar roubar senhas para acessar plataformas de Software as a Service (SaaS), infraestrutura de TI ou VPNs corporativas.

• Malware e acesso inicial: Links e anexos em mensagens de phishing podem implantar stealer malware ou trojans de acesso remoto (RATs) para obter acesso inicial à rede da empresa.

• Credenciais de usuários: Hackers podem usar credenciais de usuários finais de várias maneiras como parte de incidentes de Account Takeover (ATO).

• Ações específicas: Mensagens de phishing podem enganar usuários para que realizem ações que enfraquecem sua segurança ou a de sua organização, como alterar uma configuração, redefinir uma senha, instalar um aplicativo web progressivo e assim por diante.

Certos tipos de ataque também possuem termos específicos:

• "Fake ads" e "malvertising" são usados para descrever anúncios maliciosos.

• Smishing refere-se a golpes de phishing recebidos como mensagens SMS. Elas podem conter um link ou um número de telefone para a vítima ligar.

• Vishing está relacionado ao uso de redes telefônicas em ataques de phishing.

• Quishing é o termo usado para descrever um endereço de phishing escondido dentro de um código QR.

• Pharming é um incidente em que os invasores combinam phishing com um nome de domínio sequestrado, tornando o ataque mais convincente, pois a vítima acessa um endereço da web que parece idêntico ou quase idêntico ao URL legítimo.

• Spear phishing descreve ataques de phishing direcionados. O spear phishing pode ser enviado para apenas algumas pessoas ou até mesmo para uma única pessoa, permitindo uma mensagem especialmente elaborada para ser o mais convincente possível.

• Quando um ataque de spear phishing é direcionado a indivíduos-chave dentro de uma organização, isso pode ser chamado de "whaling", embora esse termo não seja tão comum. Como os criminosos frequentemente se movem lateralmente dentro da rede corporativa para escalar seu nível de acesso, essa distinção nem sempre é relevante. No entanto, quando as organizações não tomam as medidas necessárias para proteger credenciais privilegiadas, os hackers alcançam seus objetivos com muito mais facilidade.

De modo geral, essas distinções não são tão úteis hoje como já foram. Ataques de phishing podem empregar múltiplas camadas de engano e ofuscação. Uma mensagem SMS maliciosa pode tentar enganar o usuário para que ligue para um número de telefone, ou uma chamada inesperada pode tentar fazer com que a vítima abra um link recebido por e-mail ou SMS.

Além disso, ataques impulsionados por IA podem personalizar a mensagem de phishing para vários destinatários, reduzindo a diferença entre campanhas padrão de phishing e spear phishing.

Como proteger sua marca quando o phishing acontece fora da empresa?

Grande parte dos investimentos em defesa contra phishing foca no que acontece dentro da organização: proteger os funcionários, os sistemas, os dispositivos, os e-mails. É uma frente essencial. Mas — e quando o golpe não tenta invadir a empresa, e sim usar sua marca para enganar outras pessoas?

Esse é um cenário cada vez mais comum e muitas vezes esquecido: campanhas de phishing que usam o nome, o visual ou a credibilidade da sua empresa como isca para atingir clientes, parceiros ou usuários comuns. O ataque não atravessa firewalls, não aciona antivírus, não passa por seus servidores. Ele acontece completamente fora da sua rede corporativa.

Essa é a virada de chave para uma postura realmente completa de segurança: proteger também o ambiente externo. Isso significa monitorar usos indevidos da marca, derrubar conteúdos falsos com agilidade, orientar seu público com clareza e integrar essa frente ao seu plano de resposta a incidentes.

Como detectar o uso indevido da sua marca em golpes de phishing?

O primeiro desafio é a detecção. Quando criminosos utilizam elementos de uma marca — como nome, logotipo ou identidade visual — para aplicar golpes, eles fazem de tudo para escapar da vigilância: usam domínios recém-criados, evitam mencionar diretamente a marca no texto das páginas e apostam em canais menos visíveis, como anúncios segmentados ou mensagens em redes sociais. Em muitos casos, os sites fraudulentos sequer mencionam o nome da empresa visada em texto: o conteúdo é entregue em imagens, dificultando a atuação de ferramentas tradicionais baseadas em palavras-chave.

Quais técnicas de evasão os criminosos usam em campanhas de phishing?

Empresas e especialistas em cibersegurança vêm combatendo o phishing há anos. Hoje, plataformas de cibersegurança estão constantemente tentando localizar páginas de phishing antes mesmo de os criminosos iniciarem suas campanhas. Em resposta, hackers mudaram suas táticas várias vezes para evitar detecção.

Por que os golpistas evitam usar nomes de marcas em sites falsos?    

Como os ataques de phishing geralmente funcionam se passando por uma marca conhecida da vítima, hackers registram novos domínios que incluem o nome da marca — por exemplo, "specialcredit[marca falsificada].com" ou "blackfriday[loja falsificada].com".

Esses sites falsos podem ser detectados por meio do monitoramento de novos domínios e da análise de páginas. Dessa forma, sites ilegítimos podem ser derrubados (takedown) antes mesmo da campanha ser amplamente disseminada.

Os criminosos responderam a essa tática evitando mencionar nomes de marcas em seus domínios maliciosos: 70% dos domínios fraudulentos não contêm palavras-chave relacionadas a marcas. Mesmo se a página for escaneada, 18% dos sites de phishing não mencionam a marca nem em seu código-fonte.

Embora isso possa tornar a página mais suspeita e levar a um golpe menos eficaz, nem sempre é o caso. Muitos usuários agora navegam na internet pelo smartphone, que possui barras de endereço curtas. Como os usuários não conseguem verificar facilmente o URL completo, os criminosos usam subdomínios e outros truques que funcionam bem no ambiente móvel.

Os sites de phishing também utilizam imagens em vez de texto para mencionar marcas, o que impede soluções tradicionais de escaneamento.

A Axur usa uma combinação de algoritmos e modelos de inteligência artificial para inspecionar 40 milhões de sites diariamente. Isso nos ajuda a reconhecer marcas e identificar o nível de similaridade entre a página analisada e a presença oficial da organização na web.

Depois de identificar uma marca, nossa IA analisa cores, layout da página e vários outros fatores, como se a página solicita informações sensíveis ou possui um campo de senha.

Com essa abordagem, conseguimos encontrar páginas de phishing mesmo quando tentam ao máximo evitar detecção. Cada sinal é registrado em um data lake que pode ser consultado em nossa solução de Threat Hunting.

Como funcionam os anúncios e páginas intermediárias ("gateway pages") em casos de phishing

Enquanto alguns anúncios maliciosos dependem da execução de código dentro do navegador do usuário, o que os classificaria como malware, os criminosos se adaptaram a formatos mais padronizados, permitidos em plataformas de mídia social e mecanismos de busca, explorando truques de phishing: se passando por marcas e capturando a atenção do usuário.

Os criminosos podem usar funcionalidades de segmentação de anúncios para atingir vítimas potenciais. Isso torna a campanha mais eficaz e oculta o anúncio malicioso dos sistemas de varredura, já que nem todos verão a publicidade. Na Axur, trabalhamos constantemente para melhorar nossa visibilidade em redes de anúncios para escanear propagandas direcionadas.

Para contornar as políticas que bloqueiam seus anúncios, hackers enganam as plataformas de publicidade usando páginas intermediárias ("gateway pages") que, à primeira vista, não contêm conteúdo malicioso. Essas páginas podem se passar por sites de notícias ou outras entidades que normalmente não estão envolvidas em golpes de phishing para ganhar a confiança da vítima. Em algum momento, essas páginas intermediárias redirecionam para o site real de phishing que solicita os dados do usuário.

Como funcionam os filtros de acesso

Hackers adotam ativamente medidas para bloquear sistemas de escaneamento de acessarem suas páginas maliciosas. Um dos truques mais antigos é o "bloqueio geográfico" (geo-blocking), que permite que o site fraudulento seja acessado apenas por usuários de países específicos. Como o alvo de um golpe de phishing não pode ser facilmente determinado antecipadamente, essa estratégia impede que certos sistemas automatizados detectem o ataque.

As campanhas de phishing mais recentes geralmente combinam múltiplos filtros. Na Axur, temos observado vários golpes restritos a usuários móveis — às vezes verificando as capacidades técnicas do dispositivo, como funcionalidade de toque e tamanho da tela. Se o dispositivo não reportar os valores corretos, o navegador é redirecionado para um endereço diferente.

Nossos sistemas contornam esses filtros tentando acessar páginas suspeitas de diferentes regiões e simulando diversos dispositivos, até mesmo replicando como eles respondem ao código na página. Mantemos um registro do HTML da página e uma captura de tela do golpe, que pode ser analisada por nossa tecnologia de inspeção visual baseada em IA ou por analistas de segurança em nossa solução de Threat Hunting.

Que ações legais tomar quando sua marca é usada em ataques de phishing?

No Brasil, o uso indevido da marca em campanhas de phishing pode configurar crime e ensejar medidas civis e criminais. O artigo 189 da Lei de Propriedade Industrial protege expressamente o uso de marca registrada, e o Código Penal prevê sanções para falsidade ideológica e estelionato. Além disso, o Marco Civil da Internet permite a responsabilização de intermediários que não agirem após notificação formal.

A empresa pode iniciar pela via extrajudicial, enviando notificações de abuso e solicitação de remoção (takedown) a plataformas, provedores e, quando possível, aos responsáveis diretos. Toda ação legal deve ser acompanhada de documentação sólida: prints com data e hora, cópias do código-fonte, cabeçalhos de e-mail e relatórios técnicos, elementos que uma plataforma especializada pode coletar automaticamente.

A maioria dos provedores de hospedagem, registradores de domínio e plataformas sociais possuem processos formais de denúncia para o takedown. O problema é que cada um tem seu próprio protocolo, formato e tempo de resposta.

Nesse cenário, a automação faz diferença. A Axur automatiza a comunicação com centenas de provedores globais e consegue, em média, derrubar domínios fraudulentos em menos de 9 horas. 

Como montar uma estratégia de defesa externa contra phishing?

Como campanhas de phishing ocorrem fora da rede corporativa, muitas empresas não estão cientes desses incidentes, mesmo quando envolvem o uso indevido de suas marcas. Isso é um problema para organizações que desejam proporcionar uma experiência digital segura para seus usuários e evitar insatisfação dos clientes devido a golpes online.

Embora as empresas possam receber relatos de usuários sobre os golpes que recebem, isso raramente é suficiente para uma resposta eficaz.

A Plataforma Axur oferece uma solução completa, combinando detecção externa, denúncia, remoção (takedown) e um data lake de sinais que proporcionam às organizações visibilidade sobre as ameaças e campanhas conduzidas por cibercriminosos, mesmo quando não atingem diretamente sua rede corporativa.

• Nossos sistemas inspecionam 40 milhões de páginas da web todos os dias.

• Essa inspeção nos informa quais dessas páginas estão se passando por marcas.

• Modelos de IA verificam elementos comumente encontrados em ataques de phishing, como solicitações de informações sensíveis ou pagamentos fraudulentos.

• Incidentes que atendem a critérios predefinidos podem ser automaticamente programados para remoção e bloqueio. Isso envolve denunciar a URL de phishing e seus ativos associados para provedores de hospedagem e listas de sites maliciosos, permitindo que navegadores e soluções de segurança ajudem os usuários a evitar o golpe.

• A solução de Threat Hunting permite que analistas de cibersegurança investiguem mais a fundo incidentes complexos, auxiliando as empresas a analisar casos em que usuários foram vítimas de golpes de phishing.

Se você quer ver como nossa tecnologia pode ajudar seu negócio nesse cenário desafiador, fale com nossos especialistas.

Perguntas frequentes sobre phishing externo e uso indevido de marca

Quando e como comunicar que nossa marca está sendo usada em golpes?

A comunicação precisa ser estratégica. Notificar cedo demais, sem fatos consolidados, pode gerar pânico ou parecer que a empresa perdeu o controle. Por outro lado, omitir um incidente pode ser interpretado como negligência — e pode até violar obrigações legais ou contratuais, dependendo do setor.

A melhor prática é classificar o risco do golpe e, se houver impacto real ou iminente a terceiros, comunicar de forma objetiva e orientada à ação. As mensagens devem conter informações claras sobre os canais legítimos da empresa, o tipo de golpe detectado e instruções para evitar fraudes. Essa comunicação deve ocorrer pelos canais oficiais da marca — site, aplicativo, e-mail marketing autenticado ou perfis verificados — e estar alinhada com o jurídico, o time de segurança e a liderança de comunicação.

Quais os impactos reputacionais de golpes que usam nossa marca — e como mitigar?

Mesmo que a empresa não tenha culpa direta, o simples fato de sua marca estar envolvida em um golpe pode corroer a confiança do público. Comentários negativos se espalham em redes sociais, plataformas de reclamação e fóruns. Em alguns casos, clientes abandonam a marca por medo — especialmente em segmentos como bancos, varejo ou educação.

Mitigar esse dano exige ação rápida, visível e transparente. Demonstrar que a empresa detectou o problema, atuou com responsabilidade e orientou seu público é fundamental para preservar a credibilidade. Também é importante monitorar ativamente a repercussão e, se necessário, ativar estratégias de brand recovery e comunicação corporativa.

Como evitar que a nossa marca seja usada novamente em ataques de phishing?

Não basta apagar o incêndio — é preciso entender o padrão. Campanhas de phishing que usam marcas tendem a seguir padrões de horário, linguagem, infraestrutura e canais. Criar uma base histórica de incidentes, acompanhar tendências em comunidades clandestinas e mapear domínios similares pode revelar tentativas de reincidência antes que elas ganhem escala.

Além disso, é recomendável registrar domínios parecidos com o nome da empresa (defensive registration), implementar corretamente políticas de autenticação de e-mail (SPF, DKIM, DMARC com política de rejeição) e usar tecnologias de inspeção visual para identificar rapidamente novas tentativas de falsificação.

Como denunciar e remover rapidamente conteúdos falsos que imitam nossa marca?

A colaboração com plataformas é tanto um desafio quanto uma oportunidade. Cada ambiente — redes sociais, registradores, serviços de anúncio, plataformas de e-commerce — tem sua própria política de abuso. O tempo de resposta varia e, em alguns casos, a denúncia só é priorizada se vier de parceiros confiáveis ou se houver comprovação legal robusta.

O ideal é automatizar e padronizar esse processo. Ferramentas como a Axur já mantêm relacionamento direto com centenas de plataformas e conseguem enviar solicitações formalmente aceitas, com metadados padronizados e evidências estruturadas. Isso evita retrabalho e acelera a derrubada do conteúdo malicioso.

Quais ferramentas usar para monitorar o uso indevido da nossa marca online?

Monitorar marca não é só dar Google no nome da empresa. Ferramentas modernas de proteção digital devem escanear domínios recém-criados, redes sociais, marketplaces, fóruns e ambientes da deep/dark web. Também devem reconhecer elementos visuais da marca, como paleta de cores, padrões de layout, ícones e fontes — especialmente quando o nome não aparece no texto.

A Axur, por exemplo, combina detecção semântica, visual e comportamental para identificar abusos mesmo quando a marca é imitada de forma indireta. A plataforma também rastreia publicações de phishing em tempo real e analisa comportamentos como preenchimento de formulários suspeitos, coleta de senhas ou redirecionamentos automatizados.

Como orientar clientes e colaboradores a reconhecer phishing com nossa marca?

Parte importante da proteção de marca envolve educação. Empresas devem orientar clientes, parceiros e até colaboradores sobre como identificar golpes e onde reportá-los. Isso inclui mostrar exemplos reais de campanhas falsas, explicar como verificar domínios e remetentes legítimos, divulgar canais oficiais de contato e criar um e-mail exclusivo para denúncias (ex: phishing@empresa.com).

É importante também treinar equipes internas — especialmente atendimento e vendas — para reconhecer rapidamente situações suspeitas e acionar os canais certos. Uma comunicação ambígua da própria marca, com links encurtados ou mensagens pouco claras, pode confundir o usuário e facilitar golpes futuros.

Como incluir o uso indevido de marca em phishing no plano de resposta a incidentes?

O uso da marca em campanhas de phishing deve estar previsto nos runbooks de segurança. Isso inclui: critérios de detecção, fluxos de resposta (incluindo automações), áreas responsáveis, templates de comunicação, SLA de resposta, matriz de severidade e planos de escalonamento.

É uma situação que exige colaboração interdepartamental: jurídico, segurança, marketing, atendimento e compliance precisam atuar juntos. Simulações periódicas podem ajudar a preparar o time para responder de forma coordenada, sem ruídos, minimizando impactos.

Por isso, é essencial adotar uma estratégia de proteção de marca fora da rede corporativa — não apenas para evitar fraudes, mas para proteger a confiança da sua organização. Se quiser entender como essa defesa pode ser aplicada ao seu cenário, fale com nossos especialistas.