O cenário da cibersegurança de 2026 está mais forte do que nunca, com inúmeros recursos de segurança e ferramentas de proteção. Apesar das defesas robustas ao alcance de qualquer pessoa, os golpes de phishing e os ataques de falsificação comuns continuam sendo um problema constante. Infelizmente, a realidade é que estes ataques não estão a desaparecer; eles estão simplesmente evoluindo.
Embora não possamos prever com certeza as estatísticas futuras destes tipos de ataques, os dados dos últimos cinco anos mostram tendências semelhantes, apesar dos avanços nas tecnologias de segurança. Em 2025, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) informou que os e-mails de phishing estão associados a mais de 90% dos ataques cibernéticos bem-sucedidos. Embora o número global de ataques de phishing tenha diminuído ligeiramente, a sua eficácia em termos de activos monetários roubados aumentou [PDF]. Mas por que isso acontece? Por que essas táticas ainda são eficazes mesmo com defesas elevadas?
A psicologia do phishing
Phishing é um crime cibernético multifacetado que evoluiu bastante. Os invasores estão constantemente aprimorando suas técnicas com todos os meios disponíveis, resultando em invasões mais direcionadas e furtivas. Não há nenhum indicador sólido sobre o que garante que um ataque de phishing será bem-sucedido. No entanto, uma variedade de táticas giram em torno do mesmo caminho comum: o elemento humano.
Em seu artigo Threat Vector, Sama Manchanda, consultora da Palo Alto Networks, detalha como os invasores usam teorias psicológicas para garantir a máxima eficácia ao atingir suas vítimas em potencial. Existem três etapas principais:
- A isca: Os invasores primeiro pesquisam as vítimas para descobrir exatamente o que as atrairá
- O Gancho: Eles fornecem informações atraentes projetadas para chamar a atenção da vítima
- A captura: Depois que a vítima realiza uma ação (por exemplo, clicar em um link ou inserir credenciais), o comprometimento é iniciado
Esses estágios fornecem o modelo de como os invasores exploram as emoções humanas para contornar as defesas. Os ataques mais eficazes também empregam táticas de engenharia social. A Unidade 42 observou três técnicas predominantes:
- Urgência e Medo: Os invasores combinam táticas assustadoras, como roubo de identidade, ação legal ou suspensão de conta, com extrema urgência para que as vítimas entrem em pânico e façam com que cliquem em links maliciosos ou revelem dados confidenciais sem considerar totalmente as consequências.
- Autoridade e Confiança: Os invasores se fazem passar por figuras legítimas, como executivos de empresas, funcionários de TI ou administradores universitários, para induzir a vítima a confiar neles. Essas táticas são frequentemente auxiliadas pelo uso de deepfakes de IA.
- Distração: Os invasores aproveitam as atitudes insensíveis dos indivíduos em relação a ações rotineiras, como clicar em um link ou ler um código QR. Quando os indivíduos estão com pressa ou entre tarefas, os invasores aproveitam esses momentos fugazes para atacar.
Essas táticas demonstram como os invasores dominaram os gatilhos psicológicos necessários para manipular os usuários para que entreguem ativos. Eles também servem como um lembrete claro de que a tecnologia por si só não pode impedir esses ataques. A verdadeira segurança requer uma mudança na mentalidade pessoal e um compromisso proativo com a vigilância digital.
Como o preconceito cognitivo abre a porta
Fora do kit de ferramentas de um invasor, certas características humanas inerentes podem, na verdade, aumentar a vulnerabilidade de uma pessoa. Em seu artigo sobre Threat Vector, Lisa Plaggemier, Diretora Executiva da National Cyber Security Alliance, discute como o excesso de confiança e a “ilusão de controle” criam pontos cegos perigosos.
Depois de pesquisar pessoas em todo o mundo, Plaggemier descobriu uma tendência alarmante: a grande maioria das pessoas classificou suas habilidades de detecção de phishing como quase perfeitas. Essa tendência universal de superestimar a própria experiência é exatamente o que os invasores aproveitam. Quando a confiança excede a competência real, o risco de violação aumenta exponencialmente.
Os estudos de Plaggemier destacam como os indivíduos priorizam a sua própria intuição em vez de confiar em protocolos de segurança comprovados. Ao supervalorizar hábitos pessoais, os usuários diminuem internamente o valor de controles técnicos confiáveis. Esta confiança representa um risco significativo porque pode anular o conhecimento intelectual de uma pessoa, levando-a a ignorar a lógica em favor da auto-validação. Promove a “mentalidade contrária”, onde os humanos tendem a rejeitar mensagens educacionais que contradizem a sua crença nas suas próprias capacidades. Em vez de aprender ou se adaptar às situações em tempo real, adotam uma postura defensiva. Esta reação cria um ciclo perigoso que reforça os maus hábitos e deixa espaço para compromissos.
O futuro do phishing
O avanço da IA alterou permanentemente o cenário do phishing, apagando palavras com erros ortográficos e frases estranhas que antes denunciavam os invasores. Isso, combinado com a adição de deepfakes e mimetismo de voz, tornou quase impossível distinguir um amigo de uma fraude pelos meios tradicionais. Como resultado, estes avanços levantam a questão crítica sobre como os indivíduos podem realmente permanecer protegidos.
A dura verdade é que ninguém está 100% seguro. Os invasores mais persistentes encontrarão constantemente maneiras de inovar e se ajustar. Fatores como o viés cognitivo e a “ilusão de controle” nos dizem que podemos identificar com precisão as tentativas de phishing, mas está claro que partir estritamente da intuição é uma abordagem falha. Para sobreviver à mudança da IA, devemos parar de confiar no instinto e começar a confiar em esforços consistentes, tais como:
- Mantenha uma mentalidade de confiança zero: Suponha que toda solicitação não solicitada exija verificação
- Mantenha-se informado: Acompanhe as últimas tendências de phishing e táticas baseadas em IA
- Reconheça os gatilhos psicológicos: Tenha cuidado com mensagens destinadas a criar medo ou extrema urgência
- Prática higiene cibernética: Evite clicar em links desconhecidos e mantenha as credenciais seguras
O maior conselho da unidade 42: faça uma pausa e identifique os fatos
Não importa quão convincente seja uma mensagem ou quão urgente seja um pedido, pare e avalie verdadeiramente a situação. Reservar um momento para verificar a origem antes de realizar qualquer tipo de ação pode interromper um ataque.
A segurança é uma jornada contínua e não um destino final. Ao optar por analisar as informações fornecidas em vez de sucumbir às estratégias de um invasor, você se transforma de uma vítima em potencial em um defensor ativo de sua vida digital.
