A Check Point Software destaca o crescimento dessas campanhas de ataque e as tendências de smishing e vishing para este ano
A Cyberint, empresa adquirida pela Check Point Software em agosto de 2024, detectou um aumento nas campanhas de phishing que utilizam técnicas de smishing (mensagens SMS maliciosas) e vishing (chamadas ou mensagens de voz fraudulentas) como vetores alternativos aos ataques por e-mail.
Segundo dados do relatório do Anti-Phishing Working Group -(APWG 2024), as campanhas de vishing cresceram 442% no segundo trimestre do ano passado, e o smishing segue em expansão desde o começo da década. Ambos os tipos de ameaça exploram a confiança que os usuários depositam em seus dispositivos móveis, difíceis de proteger com ferramentas tradicionais de cibersegurança.
Ataques de phishing registrados em 2024
Por meio de chamadas que simulam ser de departamentos de suporte ou mensagens SMS que se passam por bancos, fornecedores ou executivos, os atacantes conseguem enganar as vítimas para obter credenciais ou instalar malware, e essas técnicas dificultam a detecção.
Principais alvos do smishing e do vishing
Os setores mais visados no mundo incluem SaaS/Webmail, redes sociais, finanças e varejo, segundo o mesmo relatório de phishing do AWPG. Dentro desse conjunto, o setor financeiro se destaca pelo valor dos dados que gerencia: obter acesso a contas bancárias representa um objetivo especialmente lucrativo para os criminosos.
Isso se comprova no Brasil, onde os principais golpes digitais apontados pela Febraban (Federação Brasileira de Bancos) entre setembro de 2024 e março de 2025, indicam o smishing em quinto lugar e crescendo:
. Clonagem ou troca de cartão (40%)
. Golpe do WhatsApp, em que alguém se faz passar por um conhecido solicitando dinheiro (28%)
. Falsa central de atendimento (26%)
. Golpe do Pix (16%)
. Golpe via SMS (11%)
Setores mais atacados no quarto trimestre de 2024
Por sua vez, o varejo tornou-se um alvo prioritário devido ao crescimento do comércio eletrônico e à quantidade de informações pessoais que os clientes compartilham com as marcas. Essa realidade facilita campanhas de falsificação de identidade, nas quais os cibercriminosos se fazem passar por lojas legítimas. Além disso, geralmente reforçam a credibilidade desses ataques usando contas falsas em redes sociais ou plataformas de e-mail, aumentando assim a eficácia do golpe.
Os Estados Unidos continuam sendo o país mais visado por campanhas de smishing e vishing, seguidos de outras economias desenvolvidas. Embora as técnicas estejam em constante evolução, os alvos geográficos permanecem relativamente estáveis.
]Entre os incidentes mais relevantes, destaca-se o uso de vishing pelo grupo Scattered Spider, que conseguiu acessar redes corporativas no Reino Unido e nos Estados Unidos ao se passar por funcionários em chamadas para serviços de suporte. Em alguns casos, também recorreram ao SIM swapping, reforçando a identidade falsa com a ajuda de colaboradores internos em empresas de telecomunicações.
IA e mensageria em massa: dois facilitadores da fraude
O surgimento de ferramentas como o Xanthorox AI, uma plataforma de ciberataques baseada em inteligência artificial construída do zero, permitiu que os criminosos cibernéticos automatizassem e ampliassem campanhas de engenharia social. Paralelamente, serviços de mensageria como Textedly ou ClickSend, embora legais, podem ser utilizados com fins maliciosos para enviar mensagens SMS ou chamadas em massa a custos muito baixos.
A Check Point Software destaca que as estratégias de proteção devem se concentrar em detectar e bloquear o smishing e o vishing o mais cedo possível, com práticas como:
- Monitorar a dark web em busca de kits de phishing, domínios falsos e campanhas em redes como Telegram ou WhatsApp.
- Simular ataques com IA para avaliar a resposta do SOC (Centro de Operações de Segurança).
- Fortalecer a proteção de endpoints e limitar o acesso a dados sensíveis.
- Conscientizar os funcionários sobre a verificação de chamadas e SMS suspeitos.
- Eliminar credenciais desnecessárias em repositórios internos.
- Manter atualizadas as capacidades de detecção por engano (threat deception) com assinaturas e modelos comportamentais adaptados a ataques assistidos por IA e entradas multimodais (voz, imagem, código).
Para os especialistas da Check Point Software, a sofisticação e escalabilidade que a IA e os serviços de mensageria em massa proporcionam fazem com que o smishing e o vishing representem uma ameaça real para empresas e consumidores. A chave para conter essas campanhas está em se antecipar a elas por meio de tecnologia, vigilância contínua e treinamento constante.
Sobre a Check Point Software Technologies Ltd
A Check Point Software Technologies Ltd se destaca na proteção da confiança digital (digital trust), utilizando soluções de segurança cibernética com tecnologia de IA para proteger mais de 100.000 organizações em todo o mundo. Por meio de sua Plataforma Infinity e de um ecossistema aberto, a abordagem de prevenção em primeiro lugar da Check Point Software oferece eficácia de segurança líder do setor, reduzindo riscos.
Safernet capacita Polícia Federal e 800 estudantes recebem palestras de prevenção ao abuso sexual
Laboratório da Febraban abre hoje pré-inscrição para curso gratuito de cibersegurança
Segura®Joins Locked Shields 2025, theWorld’s Largest Cyber Defense Exercise
Pentest contínuo é estratégia na prevenção de ataques cibernéticos
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
