Especialistas BI.ZONE: IA e deepfakes tornaram o phishing em 2026 mais preciso e perigoso

O phishing em 2026 se tornou consideravelmente mais inteligente: e-mails em massa continuam existindo, mas o principal crescimento agora está em ataques personalizados e multietapas com IA e deepfakes. Especialistas da BI.ZONE afirmam que a tecnologia mudou a embalagem da fraude, mas não a lógica fundamental da defesa: verificação, um segundo canal de comunicação e 2FA continuam resolvendo muito.

Como o Phishing Mudou

A IA reduziu dramaticamente os custos de preparação de ataques. Enquanto os atacantes costumavam ser forçados a produzir em massa e-mails genéricos, agora eles coletam dados abertos sobre uma pessoa e personalizam a mensagem de acordo com seu trabalho, círculo social e serviços familiares. Deepfakes amplificam o efeito: uma voz falsificada, um rosto similar e uma maneira de falar familiar ajudam a construir confiança mais rapidamente.

Cenários funcionam particularmente bem quando o atacante se passa por um parente, colega ou chefe e exige ação imediata. Os canais também se tornaram mais precisos. Para atingir um público em massa, os fraudadores se voltam para redes sociais e mensageiros, criam chats temáticos, enviam mensagens privadas e deixam links em comentários.

Mas para os negócios, o e-mail permanece o ponto de entrada crítico: de acordo com dados da BI.ZONE, 64% dos ataques direcionados a empresas na Rússia e CEI começam com e-mails de phishing. Chamadas de telefone e vídeo adicionam o que o texto não tem—pressão, senso de urgência e a ilusão de contato pessoal, o que faz a vítima decidir impulsivamente mais rápido.

Quais Esquemas Funcionam

De acordo com observações da BI.ZONE, desde outubro de 2025 houve um aumento notável no interesse dos fraudadores em contas de mensageiros e portais pessoais de serviços governamentais. Em paralelo, o esquema Ghost invoice está crescendo: atacantes registram domínios semelhantes aos sites de grandes empresas, enviam ofertas comerciais e introduzem faturas falsas. Para a vítima, parece uma compra rotineira, mas para a empresa sendo copiada, termina em dano reputacional. Daí vem o conjunto dos cenários mais eficazes atualmente usados com mais frequência.

• Notificações falsas de bancos, serviços de impostos e serviços governamentais
• Falso Chefe, quando um funcionário recebe mensagem de um "gerente" e é preparado para uma ligação de "aplicadores da lei" ou regulador
• Esquemas TOAD, onde a vítima é solicitada a ligar de volta por si mesma, contornando chamadas anti-spam
• Códigos QR em locais lotados levando a formulários falsos
• Aplicativos móveis de phishing imitando serviços originais

Uma tendência separada é a industrialização do phishing. Phishing-as-a-Service reduz a barreira de entrada: plataformas prontas ajudam a implantar páginas falsas, adaptá-las ao comportamento do usuário e até contornar alguns cenários de MFA. Combinado com IA generativa, isso transforma o phishing em uma linha de montagem. Ao mesmo tempo, o número de sites de phishing no primeiro trimestre de 2026 caiu para 12.500 contra 17.500 um ano antes, mas isso não significa que as ameaças diminuíram: fraudadores estão se mudando para ataques mais complexos e lucrativos multietapas.

O Que Ajuda a Defender

Para o usuário médio, regras básicas ainda são mais eficazes do que qualquer medida exótica. É importante clicar apenas em endereços oficiais, não abrir anexos e links de mensagens inesperadas e verificar novamente solicitações urgentes através de outro canal de comunicação. Se você receber uma mensagem de voz ou vídeo de uma pessoa familiarizada pedindo dinheiro, precisa procurar por inconsistências: expressões faciais estranhas, entonação não natural, qualidade de gravação baixa, fraseados incomuns. E é claro que é melhor ativar autenticação de dois fatores por meio de um aplicativo em vez de confiar apenas em SMS.

"Se algo parecer suspeito—é melhor verificar novamente através de

canais oficiais."

Para empresas, a defesa há muito tempo vai além de anti-spam. Você precisa de canais de comunicação seguros, treinamento regular de funcionários e verificações adicionais em processos críticos. O princípio da "segunda mão" funciona bem, quando uma transferência, mudança de detalhes ou concessão de acesso é confirmada por outro funcionário confiável.

Além disso, você precisa de ferramentas para detectar deepfakes, regulamentos claros e resposta rápida a incidentes antes que o ataque tenha tempo de passar por todos os estágios da cadeia. Esquemas multietapas são particularmente perigosos porque cada etapa individual pode parecer inofensiva. Primeiro vem uma "transferência errônea", depois a intimidação começa, depois a vítima é persuadida a transferir dinheiro adiante ou entregá-lo a um mensageiro.

Em outros cenários, o SMS bombing é usado: uma pessoa é inundada de mensagens e depois recebe uma ligação em nome do banco oferecendo urgentemente "salvar" sua conta. Tal teatro de pressão é projetado não para vulnerabilidade técnica, mas para fadiga e ansiedade.

O Que Isso Significa

O phishing em 2026 não é mais apenas um e-mail falso, mas uma economia de serviços de fraude, amplificada por IA, deepfakes e plataformas prontas. De acordo com a estimativa da BI.ZONE, apenas em 2025, o dano de tais esquemas ultrapassou 18 bilhões de rublos. Para usuários e empresas, a conclusão é simples: o vencedor não é aquele com as ferramentas mais na moda, mas aquele cuja verificação, disciplina e ceticismo saudável agem mais rápido.