Idioma
ARTICLES
12 de set de 2025
Segurança cibernética

Você sabia que no primeiro trimestre de 2025, o APWG registrou 1.003.924 ataques de phishing, qual é o valor mais alto relatado desde o final de 2023? Com o fim do verão de 2025, o phishing continua dominando o cenário de ameaças cibernéticas, mas os números agora revelam um aumento ainda mais acentuado em seu impacto.

Em 2024, pesquisadores observaram um 84% aumento no número de infostealers entregues por meio de e-mails de phishing a cada semana em comparação com 2023. Os primeiros dados de 2025 são ainda mais alarmantes, mostrando uma 180% salto nos volumes semanais de phishing em relação a 2023.

Um relatório de uma empresa de cibersegurança acrescenta outra camada a esse quadro: houve um aumento de 160% nas credenciais comprometidas até agora em 2025 em comparação com o ano passado. No final de 2024, a empresa registrou 14.000 casos em um único mês em que as credenciais dos funcionários foram expostas em violações, apesar de cumprir as políticas internas de senha.

A tendência ressalta que o phishing não é mais apenas um incômodo; é um caminho direto para o roubo de credenciais, o comprometimento da conta e a interrupção dos negócios em grande escala. Portanto, neste artigo, o líder de segurança da informação da Atlaslive, Maksym Shapoval, compartilha os ataques de phishing mais recentes e como proteger sua empresa contra eles.

A ascensão do phishing em 2025

O phishing provou mais uma vez ser a arma favorita do atacante. O método é simples, mas devastador: os criminosos se fazem passar por um remetente confiável e enganam as vítimas para que entreguem informações confidenciais, como senhas, detalhes do cartão de crédito ou outros dados pessoais.

O que torna o phishing tão persistente é sua versatilidade. Ele vem não apenas por e-mail, mas também por SMS (“smishing”) ou até mesmo por chamadas de voz (“vishing”), oferecendo aos atacantes vários caminhos até seus alvos. As campanhas geralmente são projetadas para parecerem idênticas às mensagens corporativas reais, dificultando até mesmo que funcionários treinados as reconheçam.

Este verão mostrou o quão eficazes essas táticas permanecem. De gigantes da tecnologia a instituições governamentais, o phishing foi o primeiro passo em incidentes que levaram ao comprometimento de dados, perdas financeiras e danos à reputação. Os ataques são cada vez mais direcionados, bem preparados e, muitas vezes, são apenas o começo de cadeias de comprometimento mais longas que atingem profundamente os sistemas da empresa.

Em 2025, o phishing não é ruído de fundo; é a plataforma de lançamento de muitas das violações mais graves em todo o mundo.

Principais incidentes de phishing neste verão

O verão de 2025 trouxe uma série de incidentes de phishing de alto perfil, mostrando o quão versáteis e prejudiciais esses ataques podem ser.

  • Google. O gigante se tornou vítima por meio de uma cadeia de comprometimento envolvendo o sistema de CRM da Salesforce, que começou com o phishing e acabou expondo dados confidenciais.
  • Cisco. A empresa foi alvo de pesca (phishing de voz). Os atacantes enganaram funcionários por telefone, obtiveram acesso a sistemas de CRM e exfiltraram informações de clientes.
  • Reserva. A empresa tem enfrentado campanhas de phishing contínuas que estão ativas desde o final de 2024 e continuam sendo um risco persistente até hoje.
  • Autoridade fiscal do Reino Unido. Sobre 47 milhões de libras foi perdido quando 100.000 pessoas foram afetadas por um esquema de phishing em grande escala que visa roubar dados pessoais e financeiros.
  • Entidades de Milford, uma incorporadora imobiliária de luxo dos EUA, sofreu perdas de quase 19 milhões de dólares após ser vítima de um ataque de phishing.

Esses casos destacam como o phishing serve como ponto de partida comum, independentemente do setor ou tamanho. Sejam empresas multinacionais de tecnologia, instituições públicas ou empresas privadas, os atacantes continuam usando a engenharia social como porta de entrada para compromissos mais profundos.

iGaming no centro das atenções

O setor de iGaming, já sob constante escrutínio regulatório, foi alvo direto neste verão. Em julho de 2025, um dos maiores grupos de apostas do mundo confirmou uma violação significativa de dados após um ataque cibernético direcionado.

Aproximadamente 800.000 registros de usuários foram expostos, incluindo endereços IP, endereços de e-mail e registros detalhados de atividades. Embora os dados financeiros e as senhas não tenham sido afetados, os especialistas em segurança cibernética notaram rapidamente que esse tipo de informação ainda pode alimentar campanhas de phishing altamente direcionadas.

Os atacantes podem aproveitar a atividade do usuário e os dados de contato para criar iscas convincentes e personalizadas, geralmente muito mais perigosas do que tentativas genéricas de phishing.

“O incidente ressalta por que as plataformas de iGaming são alvos tão atraentes. Eles operam totalmente on-line, processam transações financeiras constantes e mantêm grandes volumes de informações pessoais, o que os torna os principais candidatos para ataques de engenharia social. Para um setor que depende de confiança e experiências digitais perfeitas, os riscos de reputação e conformidade de tais violações são substanciais.”
— Maksym Shapoval, líder de segurança da informação na Atlaslive

Para operadores de iGaming, a defesa contra phishing não pode ser tratada como opcional. Ele deve ser incorporado à segurança da plataforma, ao treinamento da equipe e às estratégias de resposta a incidentes. Esse caso é um lembrete de que, mesmo sem a exposição de dados financeiros, as informações pessoais comprometidas por si só podem desencadear ataques secundários prejudiciais.

Como as empresas podem se proteger

O phishing é eficaz porque explora as pessoas, não apenas a tecnologia. Para reduzir a exposição e limitar os danos quando ocorrem ataques, as empresas precisam de uma estratégia de defesa em várias camadas que combine autenticação, proteções técnicas e prontidão organizacional.

Autenticação e controle de acesso

  • Aplique a autenticação de dois fatores (2FA) em todos os sistemas on-line para funcionários e clientes.
  • Aplique a regra do menor privilégio: funcionários, dispositivos e laptops devem ter apenas o acesso estritamente necessário para suas funções.
  • Implemente a segmentação de rede e o acesso necessário para minimizar o movimento lateral se uma conta for comprometida.
  • Apresente uma política de aprovação a quatro olhos para todas as mudanças críticas e operações confidenciais, especialmente transações financeiras.
  • Realize auditorias regulares dos direitos de acesso e auditorias de segurança abrangentes para validar os controles.

Segurança de e-mail e domínio

  • Configure DMARC, DKIM e SPF para verificar o envio de domínios e bloquear e-mails falsificados.
  • Mantenha uma lista de domínios parecidos (“semelhantes a”) e bloqueie-os proativamente.
  • Marque claramente todos os e-mails vindos de fora da organização para reduzir o risco de erro dos funcionários.

Proteção de terminais e navegação

  • Proteja dispositivos corporativos com gerenciamento de dispositivos móveis (MDM), detecção e resposta de terminais (EDR) ou navegadores corporativos com recursos de navegação segura.
  • Monitore continuamente a integridade do terminal e a atividade de navegação em busca de sinais de cargas de phishing.

Preparação para incidentes

  • Estabeleça um único canal de denúncia para suspeitas de tentativas e incidentes de phishing.
  • Crie runbooks claros que detalhem como responder a incidentes de phishing, incluindo notificar todos os funcionários, bloquear o remetente mal-intencionado em toda a organização, revisar as listas de destinatários e entrar em contato diretamente com os usuários afetados.

Conscientização e treinamento de funcionários

Em 2023, pesquisas mostraram que 10,4% dos funcionários em todo o mundo clicaram em links maliciosos e mais de 60% deles digitaram suas senhas em sites fraudulentos. Portanto, o treinamento da equipe é sempre uma boa ideia. Veja o que você pode fazer:

  • Realize treinamentos regulares de conscientização sobre phishing para a equipe.
  • Execute simulações periódicas de phishing para que os funcionários aprendam a reconhecer e reagir a ameaças reais.
  • Promova uma cultura em que a denúncia de mensagens suspeitas seja incentivada e apoiada.

Governança e revisão contínua

  • Garanta auditorias contínuas da postura de segurança e dos direitos de acesso.
  • Crie resiliência incorporando a defesa contra phishing na política da empresa, não como uma opção, mas como uma camada necessária de segurança operacional.

A proteção eficaz contra phishing é construída a partir de muitas proteções pequenas e consistentes trabalhando juntas. Quando a autenticação, as defesas de e-mail, os controles de acesso, o treinamento da equipe e a preparação para incidentes estão alinhados, as empresas reduzem drasticamente a probabilidade de ataques de phishing bem-sucedidos e os danos que eles podem causar.

Conclusão

O verão de 2025 deixou um fato claro: o phishing ainda é o ponto de entrada para a maioria dos grandes incidentes cibernéticos, de gigantes da tecnologia a agências governamentais e até mesmo a indústria de iGaming. Esses ataques não estão desaparecendo — eles estão evoluindo, se tornando mais direcionados e, muitas vezes, servindo como a primeira etapa em cadeias de comprometimento maiores.

Para empresas, especialmente aquelas que lidam com dados confidenciais e transações financeiras, a segurança não pode mais ser tratada como opcional. Criar resiliência contra phishing significa colocar em camadas a autenticação, as defesas de e-mail, a proteção de terminais, o treinamento da equipe e os procedimentos de resposta claros nas operações diárias. As organizações que levam o phishing a sério hoje são as mais bem preparadas para proteger seus clientes, sua reputação e seu futuro amanhã.

—————

Este documento é fornecido a você apenas para sua informação e discussão. Este documento foi baseado em fontes públicas de informação e foi criado pela equipe Atlaslive para uso em marketing. Não é uma solicitação ou oferta para comprar ou vender qualquer produto relacionado a jogos de azar. Nada neste documento constitui aconselhamento jurídico ou de desenvolvimento de negócios. Este documento foi preparado a partir de fontes que a Atlaslive acredita serem confiáveis, mas não garantimos sua precisão ou integridade e não nos responsabilizamos por qualquer perda decorrente de seu uso. A Atlaslive se reserva o direito de corrigir quaisquer erros que possam estar presentes neste documento.

Table of contents

What Makes Bitcoin Attractive?
What Makes Bitcoin Attractive?
What Makes Bitcoin Attractive?
What Makes Bitcoin Attractive?
Contact us

Lead the Game with Atlaslive’s White Label

Reserve uma demonstração
Preencha o formulário
E entraremos em contato com você em breve
Obrigado! Seu envio foi recebido!
Opa! Algo deu errado ao enviar o formulário.
Fill the form
And we will contact you soon
Obrigado! Seu envio foi recebido!
Opa! Algo deu errado ao enviar o formulário.
Fill the form
And we will contact you soon
Obrigado! Seu envio foi recebido!
Opa! Algo deu errado ao enviar o formulário.
Fill the form
And we will contact you soon
Obrigado! Seu envio foi recebido!
Opa! Algo deu errado ao enviar o formulário.