Desde os primórdios da cultura digital, a engenharia social — arte de enganar pessoas para obter informações valiosas — acompanhou a evolução das tecnologias de comunicação. O termo “phishing”, que hoje invocamos quase exclusivamente para descrever e-mails fraudulentos, na verdade, é muito anterior ao auge do correio eletrônico comercial.
Ele nasceu nas salas de bate-papo da America Online (AOL) na década de 1990, quando jovens curiosos passaram a se passar por funcionários do próprio serviço, oferecendo supostos benefícios ou acesso a membros “premium” em troca da concessão de suas credenciais, ou seja, login e senha.
A analogia com “fishing” (pescaria), trocada propositalmente para “phishing” com o “ph” remanescente da cultura hacker de “phreaking”, refletia a prática de fisgar as credenciais de usuários incautos em ambientes que ainda eram considerados restritos — e, portanto, seguros — pelos próprios participantes.
A pescaria vai ao e-mail
Com o advento da internet global e a popularização do e-mail, esse esquema migrou naturalmente para o correio eletrônico. Nos primeiros anos dos anos 2000, criminosos digitais descobriram que podiam disparar mensagens em massa, forjando remetentes de bancos, provedores de serviço ou até de órgãos governamentais, induzindo milhares de usuários a clicar em links maliciosos e inserir seus dados em páginas falsas.
A simplicidade dessa abordagem, aliada ao baixo custo para o atacante e ao potencial de retorno em escala, consolidou o phishing como a principal ameaça no cenário da segurança da informação. Porém, ao longo do tempo, a sofisticação foi aumentando: ferramentas de automação começaram a gerar e-mails adaptados a perfis específicos (spear phishing), e os golpes tornaram-se cada vez mais difíceis de detectar para o usuário comum.
Novos horizontes: o telefone celular
Entretanto, assim como toda prática predatória, o phishing tradicional encontrou novos caminhos para ampliar seus horizontes. À medida que os consumidores migraram boa parte de sua comunicação para o celular — seja por SMS, aplicativos de mensagens instantâneas ou mesmo via ligações de voz —, os atacantes estenderam as mesmas técnicas de engenharia social para esses canais.
Foi assim que surgiram as primeiras incursões de smishing (phishing via SMS) e vishing (phishing via chamadas de voz). No smishing, a vítima recebe uma mensagem curta, muitas vezes configurada para parecer urgente — “Seu pacote está retido na alfândega, pague aqui para liberar” — direcionando-a a um site fraudulento que coleta dados ou instala malwares.
Já no vishing, o atacante se faz passar por um atendente de banco, serviço de suporte ou órgão oficial de segurança, conduzindo uma conversa convincente para extrair senhas, números de cartão ou outros dados confidenciais.
Os mensageiros entram em cena
A adesão crescente dos usuários a aplicativos de mensagens instantâneas, como WhatsApp, Telegram e Messenger, também não passou despercebida. Nessas plataformas, a confiança costuma ser ainda maior, pois as comunicações ocorrem entre contatos conhecidos ou em grupos fechados.
É comum que um número novo, clonado ou fraudado, seja percebido apenas depois de o golpe já ter sido aplicado — seja através do envio de um link malicioso, seja pela solicitação de um pagamento em dinheiro ou criptomoeda.
Em muitos casos, os criminosos aumentam a pressão usando falsas mensagens de familiares que estariam em apuros, pedindo empréstimos de emergência ou acesso a aplicativos de pagamento.
Esse tipo de golpe reflete tanto no ambiente pessoal quanto no corporativo, já que muitos times de trabalho utilizam grupos de chat para coordenar atividades, tornando difícil distinguir quando um pedido é legítimo ou quando faz parte de uma engenhosa operação de engenharia social.
A vez dos QR Codes
Outra vertente que se popularizou com a proliferação de smartphones e a digitalização de processos de consumo são os golpes de QR Code, conhecidos como quishing. Restaurantes, bancos, lojas e até órgãos públicos passaram a usar códigos QR para compartilhar cardápios, efetuar pagamentos e divulgar campanhas.
Contudo, logo se descobriu que bastava imprimir QR Codes falsos ou alterar códigos legítimos para levar o usuário a páginas absolutamente diversas daquelas anunciadas. Nessas páginas, formulários piratas solicitam dados bancários, ou o download de aplicativos maliciosos que se instalam silenciosamente no dispositivo, abrindo portas para espionagem ou roubo de credenciais armazenadas no navegador.
A fragilidade do método está na confiança que depositamos em um simples escaneamento de imagem: muitos usuários não tomam sequer o cuidado de verificar se a URL exibida no app de leitura corresponde ao site oficial.
Simulação de ataque: uma tática de segurança
Enquanto isso, no universo corporativo, as empresas começaram a adotar procedimentos de simulação de phishing, simulação de smishing e simulação de vishing como parte de seus programas de conscientização e segurança.
A ideia é submeter colaboradores a cenários reais, mas controlados, nos quais eles possam vivenciar tentativas de fraude e aprender, na prática, a identificar os sinais de alerta da engenharia social: remetentes incomuns, erros de digitação, links mascarados, pedidos de confirmação de dados via canais não-oficiais e verbosidade exagerada.
Tais exercícios são fundamentais para reduzir o chamado risco humano como brecha de segurança, mas eles também enfrentam limitações: muitos usuários acabam acostumando-se com os golpes simulados e, em contrapartida, podem subestimar a gravidade de ataques verdadeiros que pareçam fora do padrão ensinado em treinamentos.
O papel da IA
Ao mesmo tempo, a inteligência artificial — que hoje alimenta desde assistentes virtuais até sistemas de recomendação de conteúdo — foi empregada tanto na defesa quanto no ataque. As forças de segurança passaram a usar algoritmos de machine learning para identificar padrões de comportamento, filtrar e-mails suspeitos e bloquear links maliciosos em tempo real.
Por outro lado, cibercriminosos utilizam redes neurais para gerar textos cada vez mais convincentes, imitar estilos de escrita de empresas e ajustar automaticamente o discurso conforme as respostas das vítimas.
Esse fenômeno deu origem ao spear-phishing assistido por IA, no qual cada mensagem é feita sob medida, levando em conta informações extraídas de redes sociais, perfis corporativos e até de bancos de dados adquiridos no mercado clandestino. O resultado é um ataque extremamente pernicioso, capaz de vencer filtros de spam e surpreender até os usuários mais treinados.
Afinal, o phishing morreu?
Nesse cenário complexo e em constante transformação, a pergunta “O phishing morreu?” revela-se não apenas retórica, mas fundamental para entender a metamorfose da engenharia social.
Enquanto muitos profissionais de TI e SI ainda trabalham mistificando phishing exclusivamente com e-mail, a gama de vetores e variantes mostra que o conceito original está longe de morrer — ele apenas se reinventou.
Hoje, quando falamos em roubo de informações ou infiltração de malware, precisamos considerar não apenas o correio eletrônico, mas também SMS, telefonia, mensagens instantâneas, QR Codes e qualquer outro canal que conecte pessoas.
Como combater as novas ameaças?
Para enfrentar esse desafio, é essencial adotar uma abordagem integrada de segurança, que inclua:
- Educação contínua dos usuários: não basta um único treinamento anual; é preciso reciclagens frequentes, materiais dinâmicos e comunicação ativa sobre novas ameaças, de golpes por WhatsApp a ligações falsas.
- Simulações realistas e variáveis: as empresas devem alternar simulação de phishing, simulação de vishing e simulação de smishing, integrando esses exercícios em diferentes momentos do ano e adaptando-os às tecnologias emergentes, como QR Codes.
- Ferramentas de detecção holísticas: soluções de segurança que unifiquem o monitoramento de e-mails, SMS, voz e tráfego em aplicativos de mensagem, usando inteligência artificial para identificar anomalias e bloquear tentativas de fraude antes que alcancem as vítimas.
- Políticas de verificação: procedimentos claros de autenticação, que obriguem a confirmação de qualquer solicitação sensível — seja via um segundo canal, seja por validação física ou biométrica.
- Cultura de segurança: incentivar os funcionários a reportar imediatamente qualquer incidente suspeito, sem receio de retaliações, e celebrar as boas práticas de prevenção dentro da organização.
Em última análise, o phishing não está enterrado; ele é o camaleão que muda de pele conforme surgem novas formas de comunicação e novas tecnologias.
A única forma de exterminá-lo de vez, ou ao menos contê-lo, é tornando os potenciais alvos — sejam indivíduos, equipes de trabalho ou organizações inteiras — cada vez mais preparados para reconhecer o perigo. Afinal, na era da informação, conhecer o inimigo é a primeira e mais eficaz linha de defesa contra qualquer ataque de engenharia social.
Quer aprender ainda mais sobre o assunto e entender a importância de aprimorar seu programa de conscientização e redução do risco humano? Então não deixe de participar de nosso webinar gratuito "O phishing morreu? A evolução das ameaças cibernéticas e como combatê-las", que ocorre no dia 29 de maio às 11h!
