Durante anos, os treinamentos de segurança ensinaram a mesma coisa: desconfie de e-mails com erros de português, remetentes estranhos, links suspeitos e aquela sensação de “isso está errado”. Era um bom conselho e funcionou por um tempo.
O problema é que esse modelo de ataque ficou para trás.
Em 2026, o phishing chegou a um nível em que os sinais que usávamos para identificar fraudes simplesmente não existem mais. A mensagem está escrita perfeitamente. O remetente parece legítimo. O contexto é específico para você. E, em alguns casos, você está ouvindo a voz do seu diretor pedindo uma transferência urgente — mesmo que ele esteja a quilômetros de distância e não tenha enviado mensagem nenhuma.
Bem-vindo à era do phishing com inteligência artificial.
Os números que assustam: o Brasil no centro da tempestade
Antes de entrar na mecânica do problema, os dados colocam a situação em perspectiva. O Brasil registrou 553 milhões de tentativas de phishing em 2025, com crescimento de 617% em relação ao ano anterior. Empresas brasileiras enfrentaram uma média de 2,6 mil ataques semanais no primeiro semestre de 2025.
De acordo com dados da Fortinet, o Brasil registrou 315 bilhões de tentativas de ataque em 2025 e concentrou 84% de todas as investidas contra países da América Latina, evidenciando que o ambiente digital brasileiro tornou-se um dos mais atrativos para cibercriminosos.
E o canal mais usado? O WhatsApp é vetor para 90% das mensagens fraudulentas no Brasil, e o smishing — phishing via SMS — representou quase 40% das ameaças móveis, com aumento superior a 300%.
Esses números não são sobre hackers atacando bancos ou governos. São sobre empresas como a sua, sendo alvejadas todos os dias, por ataques cada vez mais difíceis de identificar.
O que mudou: quando a IA entrou nas mãos dos criminosos
A transformação do phishing começou quando a inteligência artificial generativa se tornou acessível. As barreiras técnicas que antes limitavam a escala e a qualidade dos ataques desapareceram.
- O fim dos erros de português
O sinal mais antigo de um e-mail fraudulento era a gramática ruim. A IA generativa eliminou esse problema: LLMs, modelos de linguagem, possibilitam que atacantes desenvolvam mensagens de phishing extremamente persuasivas, desprovidas dos sinais tradicionais como gramática ruim ou construções incorretas que historicamente ajudavam na detecção humana.
- Ataques personalizados em escala
O spear phishing, ataque direcionado a uma pessoa específica, com detalhes que aumentam a credibilidade, sempre foi mais eficaz que o phishing genérico. O problema era que exigia tempo e pesquisa. Golpistas agora usam IA autônoma para criar ataques personalizados, contínuos e automatizados, que interagem com as vítimas em tempo real e ajustam a abordagem conforme a resposta recebida. O que antes levava horas de preparação agora é gerado em segundos.
- A industrialização do crime digital
Serviços criminosos incluem kits de phishing com inteligência artificial, bots que burlam sistemas de proteção e mercados para compra e venda de credenciais roubadas, fazendo com que o número de ataques cresça rapidamente e que qualquer pessoa ou empresa possa se tornar alvo, independentemente do porte ou setor.
O deepfake chegou ao ambiente corporativo
Se o phishing por texto já é preocupante, o phishing por voz e vídeo elevou o problema a outro nível completamente diferente.
O deepfake phishing é uma forma avançada de golpe digital que utiliza inteligência artificial para falsificar vozes, rostos ou vídeos de pessoas reais com alta precisão, o objetivo é enganar colaboradores e induzi-los a realizar ações indevidas, como autorizar transferências bancárias, enviar dados sensíveis ou executar comandos críticos dentro da organização.
Os casos reais ilustram o impacto. Um dos episódios mais emblemáticos envolveu um deepfake que enganou funcionários de uma empresa de engenharia no Reino Unido: acreditando participar de uma videoconferência com executivos legítimos, a equipe autorizou transferências que resultaram em um prejuízo de US$ 25 milhões.
Em 2026, ataques de vishing, phishing por voz, cresceram 449%, impulsionados por deepfakes que simulam gestores autorizando transferências.
Isso muda radicalmente o cenário de risco. Antes, uma ligação do “diretor financeiro” pedindo uma transferência urgente poderia ser verificada por um segundo canal. Hoje, a voz que você ouve pode ser sintetizada com precisão assustadora e a verificação tradicional falha.
Como um ataque de phishing com IA funciona na prática
Para proteger sua empresa, é importante entender a sequência típica de um ataque moderno:
1. Reconhecimento
Antes de qualquer mensagem ser enviada, o atacante coleta informações sobre a empresa e os alvos. LinkedIn, site corporativo, redes sociais e dados vazados em ataques anteriores formam um perfil detalhado: quem é o CEO, quem cuida do financeiro, quais são os fornecedores, qual ERP a empresa usa.
2. Personalização automatizada
Com base nessas informações, a IA gera mensagens personalizadas para cada alvo — usando o nome correto, referenciando projetos reais, imitando o tom de comunicação dos executivos da empresa.
3. O gatilho
A mensagem chega com um elemento de urgência: uma fatura em atraso, uma mudança de conta bancária de fornecedor, uma aprovação de pagamento que o gestor “precisa fazer agora antes do prazo fechar”. A urgência reduz o tempo de reflexão e aumenta a probabilidade de ação impulsiva.
4. A ação
O colaborador clica no link, abre o anexo, realiza a transferência ou fornece as credenciais. Em muitos casos, sequer percebe que foi atacado.
Por que o treinamento tradicional não é suficiente
Treinamentos de conscientização são importantes, mas precisam ser repensados para o contexto atual. Mesmo com todo o avanço da tecnologia, os relatórios de 2026 mostram algo muito claro: a maioria das fraudes acontece por causa de decisões humanas, não por falhas técnicas. Ferramentas são importantes, mas não resolvem o problema sozinhas.
O treinamento baseado em “identifique os erros no e-mail” perdeu validade quando a IA eliminou os erros. O treinamento precisa evoluir para trabalhar processos e cultura: como verificar pedidos incomuns, quais são os protocolos para autorização de pagamentos, como confirmar identidade por um canal diferente do que está sendo usado no ataque.
O que fazer para proteger sua empresa
A defesa eficaz contra phishing com IA exige uma combinação de tecnologia, processos e cultura. Não existe uma única medida que resolve, mas algumas são especialmente eficazes:
- Autenticação multifator obrigatória
Mesmo que um colaborador forneça suas credenciais em um site falso, o MFA impede que o atacante acesse o sistema. É a camada de proteção mais direta contra o comprometimento de contas.
- Verificação de identidade por canal alternativo
Qualquer pedido incomum que envolva dinheiro, dados sensíveis ou acessos críticos deve ser confirmado por um canal diferente do que chegou à solicitação. Uma ligação suspeita do “diretor” é confirmada por WhatsApp direto com ele, não respondida pela mesma ligação.
- Filtros de email com análise comportamental
Soluções como o Microsoft Defender for Office 365 analisam não apenas o conteúdo das mensagens, mas o comportamento do remetente, a reputação dos links e padrões de ataque conhecidos, identificando ameaças que passariam despercebidas por filtros tradicionais.
- Proteção de identidade e monitoramento de credenciais
Ferramentas de monitoramento identificam quando credenciais da empresa aparecem em vazamentos de dados, permitindo ação preventiva antes que sejam usadas em um ataque.
- Treinamento baseado em simulação
Simulações de phishing realistas, onde a própria empresa envia e-mails de teste para seus colaboradores, são mais eficazes do que treinamentos teóricos. Elas treinam o comportamento real, não apenas o conhecimento declarado.
- Processos rígidos para autorização financeira
Nenhuma transferência de valor significativo deve ser autorizada por um único canal de comunicação ou por um único aprovador. Processos com dupla aprovação e verificação presencial ou por videochamada ao vivo reduzem drasticamente o risco de fraude por engenharia social.
O fator humano como maior risco, e melhor defesa
Em 2026, segurança da informação não é mais apenas um tema técnico. É um tema de cultura, educação e maturidade organizacional. Pessoas bem-informadas são a defesa mais forte contra golpes digitais.
Isso tem uma implicação prática importante: a proteção contra phishing não pode ser responsabilidade exclusiva do time de TI. Ela precisa ser parte da cultura da empresa, do colaborador da operação ao CEO. Todos são alvos potenciais, e todos precisam saber como agir.
O phishing com IA não é uma ameaça futura, é a realidade do inbox corporativo hoje. Mensagens perfeitas, vozes clonadas, vídeos falsos e ataques personalizados em escala são as ferramentas que criminosos usam contra empresas brasileiras neste exato momento.
A defesa eficaz exige evolução na mesma velocidade: tecnologia atualizada, processos claros e uma cultura organizacional onde cada colaborador entende que é parte da linha de defesa.
A pergunta não é se sua empresa vai receber um ataque de phishing sofisticado. É se ela está preparada para reconhecê-lo e reagir corretamente quando isso acontecer.
Quer entender se a sua empresa está preparada para as ameaças de engenharia social de 2026? Fale com a nossa equipe e descubra onde estão os seus pontos cegos.
