Phishing e spam: as campanhas mais ousadas de 2025

Analisamos os esquemas de phishing e spam mais intrigantes e sofisticados que foram interceptados por nossos especialistas ao longo de 2025.

Todos os anos, golpistas inventam novas maneiras de enganar as pessoas, e 2025 não foi exceção. No ano passado, nosso sistema antiphishing bloqueou mais de 554 milhões de acessos a links de phishing, e nosso Antivírus de E-mail bloqueou quase 145 milhões de anexos maliciosos. Para completar, quase 45% de todos os e-mails no mundo acabaram sendo spam. Detalhamos abaixo os esquemas de phishing e spam mais impressionantes do ano passado. Caso queira se aprofundar no assunto, leia o relatório completo Spam e Phishing em 2025 no Securelist.

Phishing no entretenimento

Os amantes de música e os cinéfilos foram os principais alvos de golpistas em 2025. Pessoas mal-intencionadas criaram sites para a venda de ingressos falsos, além de versões falsificadas de serviços de streaming populares.

Nesses sites falsos, os usuários recebiam ingressos “gratuitos” para grandes shows. A pegadinha? Eles só tinham que pagar uma pequena “taxa de processamento” ou o “custo de envio”. Naturalmente, o que aconteceu foi que o dinheiro ganho com esforço dos usuários foi direto para o bolso dos golpistas.

Um site de phishing que oferece ingressos "gratuitos" para o show da Lady Gaga

Ingressos gratuitos para ver a Lady Gaga? É furada!

No caso dos serviços de streaming, ocorreu o seguinte: os usuários receberam uma oferta tentadora para migrar suas listas de reprodução do Spotify para o YouTube inserindo suas credenciais do Spotify. Em outra ocasião, eles foram convidados a votar no seu artista favorito em uma enquete (uma oportunidade que a maioria dos fãs acha difícil deixar passar). Para adicionar uma camada de legitimidade, os golpistas citaram nomes como Google e Spotify. O formulário de phishing tinha como alvo várias plataformas ao mesmo tempo (Facebook, Instagram ou e-mails), e exigia que os usuários inserissem as credenciais das suas contas para votar.

Uma página de phishing disfarçada de plataforma de votação de artistas favoritos

Esta página de phishing que imita uma configuração de login múltiplo parece terrível; nenhum designer que se preze amontoaria tantos ícones diferentes em um único botão

No Brasil, os golpistas foram mais ousados: eles ofereceram aos usuários a chance de ganhar dinheiro apenas ouvindo e classificando músicas em um suposto serviço de um parceiro do Spotify. Durante o registro, os usuários tinham que fornecer o número do Pix (o sistema brasileiro de pagamento instantâneo) e, em seguida, fazer um “pagamento de verificação” único de R$ 19,90 (cerca de US$ 4) para “confirmar sua identidade”. Essa taxa representava, obviamente, uma fração dos “ganhos potenciais” prometidos. O formulário de pagamento parecia muito autêntico e solicitava dados pessoais adicionais, que provavelmente seriam coletados para ataques futuros.

Um serviço de imitação que alega pagar aos usuários para ouvir músicas no Spotify

Esse golpe se apresentou como um serviço cujo objetivo era aumentar as classificações e reproduções de músicas no Spotify, mas para começar a “ganhar”, primeiro era necessário pagar

O golpe do “namoro cultural” demonstrou muita criatividade. Depois do “match” e de algumas conversas breves em aplicativos de namoro, um novo “interesse amoroso” convidava a vítima para assistir a uma peça de teatro ou a um filme e enviava um link para comprar ingressos. Uma vez que o “pagamento” fosse concluído, o aplicativo de namoro e o site de venda de ingressos simplesmente desapareciam. Uma tática semelhante foi usada para vender ingressos para salas de fuga (escape rooms) imersivas, que ficaram muito populares recentemente; o design das páginas imitava sites reais para enganar os usuários.

Uma versão falsa de um site russo popular de venda de ingressos

Golpistas clonaram o site de um conhecido serviço de venda de ingressos da Rússia

Phishing em aplicativos de mensagens

O roubo de contas do Telegram e do WhatsApp se tornou uma das ameaças mais difundidas do ano. Os golpistas dominaram a arte de mascarar o phishing como atividades padrão do aplicativo de bate-papo e expandiram seu alcance geográfico de forma significativa.

No Telegram, as assinaturas Premium gratuitas foram a isca principal. Essas páginas de phishing só estavam disponíveis em russo e inglês, mas houve uma grande expansão para outros idiomas em 2025. As vítimas recebiam uma mensagem (geralmente da conta invadida de um amigo) oferecendo um “presente”. Para ativá-lo, o usuário precisava fazer login na sua conta do Telegram no site do invasor, o que levava imediatamente a outra conta invadida.

Outro golpe comum envolvia ofertas feitas por celebridades. Um ataque específico, disfarçado como uma oferta de NFTs, destacou-se porque operou por meio de um Telegram Mini App. Para o usuário comum, detectar um Mini App malicioso é muito mais difícil do que identificar uma URL externa suspeita.

Isca de phishing com uma suposta oferta da NFT Papakha feita por Khabib Nurmagomedov

Os golpistas lançaram uma isca de phishing com uma oferta de NFT falsa de Khabib Nurmagomedov em russo e inglês simultaneamente. No entanto, no texto em russo, eles esqueceram de remover uma pergunta da IA que gerou o texto: “Você precisa de opções mais ousadas, formais ou bem-humoradas?”, o que mostra que o trabalho foi feito às pressas e não foi revisado

Por fim, o golpe clássico vote no meu amigo utilizando aplicativos de mensagens evoluiu em 2025. Ele solicitava que as pessoas votassem no “melhor dentista da cidade” ou no “principal líder operacional”, mas, infelizmente, isso era apenas uma isca para a invasão de contas.

Outro método inteligente para sequestrar contas do WhatsApp foi descoberto na China, em que as páginas de phishing eram uma imitação perfeita da interface real do WhatsApp. As vítimas foram informadas de que, devido a alguma suposta “atividade ilegal”, elas precisavam passar por uma “verificação adicional”, o que resultou no roubo das suas contas, como você já deve ter adivinhado.

Um método chinês para sequestrar contas do WhatsApp

As vítimas foram redirecionadas para um formulário em que tinham que informar seu número de telefone, e, em seguida, inserir um código de autorização

Personificação de serviços governamentais

O phishing que imita mensagens e portais do governo é um “clássico do gênero”, mas em 2025, os golpistas adicionaram alguns elementos novos.

Na Rússia, os ataques de vishing contra usuários de serviços governamentais ganharam força. As vítimas receberam e-mails alegando que um login não autorizado havia sido feito nas suas contas, e por isso deveriam ligar para um número específico e fazer uma “verificação de segurança”. Para parecer legítimo, os e-mails continham informações técnicas falsas: endereços IP, modelo dos dispositivos e a data e hora do suposto login. Os golpistas também enviaram notificações falsas de aprovação de empréstimos: caso o destinatário não tivesse solicitado um empréstimo (e não tinha), ele deveria ligar para uma equipe de suporte falsa. Uma vez que a vítima em pânico falasse com um “operador”, a engenharia social se encarregava do resto do trabalho.

No Brasil, invasores criaram portais governamentais falsos com o objetivo de coletar números de contribuintes (CPF). Como esse número é a identificação principal para acessar serviços estaduais, bancos de dados nacionais e documentos pessoais, um CPF sequestrado viabiliza o roubo de identidade.

Um portal de serviços falso do governo brasileiro

Este portal fraudulento do governo brasileiro surpreende pela alta qualidade

Na Noruega, os golpistas visavam pessoas que desejavam renovar a carteira de motorista. Um site que imita a Administração de Estradas Públicas da Noruega coletou uma quantidade enorme de dados pessoais: desde números de placas, nomes completos, endereços e números de telefone até os números de identificação pessoal exclusivos atribuídos aos residentes. A cereja do bolo foi solicitar que os motoristas pagassem uma “taxa de substituição de licença” de 1.200 NOK (mais de US$ 125). Os golpistas colocaram as mãos em dados pessoais, informações de cartões de crédito e dinheiro. Um verdadeiro golpe triplo!

De um modo geral, motoristas são um alvo atraente: está claro que eles têm dinheiro e um carro, e temem perdê-lo. Golpistas sediados no Reino Unido tiraram vantagem desse fato ao solicitar que motoristas pagassem com urgência um imposto em atraso relativo ao veículo deles para evitar alguma “ação de execução” não especificada. Esta mensagem urgente de “aja agora!” é uma estratégia clássica de phishing para que a vítima não perceba que uma URL é suspeita ou que sua formatação é mal feita.

Uma solicitação falsa para que motoristas britânicos paguem impostos em atraso relativos a veículos

Golpistas pressionaram os britânicos a pagar impostos supostamente atrasados sobre veículos “com urgência” para evitar que algo ruim acontecesse.

Podemos usar sua identidade, por favor?

Em 2025, observamos um aumento nos ataques de phishing envolvendo verificações de Conheça seu cliente (KYC). Para reforçar a segurança, muitos serviços agora verificam os usuários por meio de biometria e documentos oficiais com foto. Os golpistas aprenderam a coletar esses dados ao falsificar as páginas de serviços populares que implementam essas verificações.

Uma página falsa do Vivid Money

Nesta página fraudulenta do Vivid Money, os golpistas realizaram a coleta sistemática de informações incrivelmente detalhadas sobre as vítimas

O que diferencia esses ataques é que, além das informações pessoais padrão, há a exigência de fotos de documentos de identidade ou do rosto da vítima, às vezes de vários ângulos. Esse tipo de perfil completo pode ser vendido em marketplaces da dark Web ou usado para fins de roubo de identidade. Falamos mais sobre esse processo na nossa postagem O que acontece com os dados roubados por meio de phishing?

Golpistas de IA

Naturalmente, os fraudadores não iriam deixar de aproveitar a disseminação da inteligência artificial. O ChatGPT tornou-se uma grande isca: fraudadores criaram páginas falsas de checkout de assinatura do ChatGPT Plus e ofereceram “prompts exclusivos” com a garantia de que o usuário iria viralizar nas mídias sociais.

Uma página de checkout falsa do ChatGPT

Este é um clone quase perfeito em pixels da página de checkout original da OpenAI

O golpe “ganhar dinheiro com IA” foi particularmente cínico. Os golpistas ofereciam renda passiva advinda de apostas supostamente feitas pelo ChatGPT: o bot faria todo o trabalho difícil enquanto o usuário apenas observaria o dinheiro cair na conta. Parece um sonho, certo? Mas para “agarrar” esta oportunidade, era necessário agir rápido. O preço especial para perder dinheiro era válido por apenas 15 minutos a partir do momento em que a página era acessada, fazendo com que as vítimas não tivessem tempo para pensar duas vezes.

Uma página de phishing que oferece ganhos com tecnologia de IA

Você tem exatamente 15 minutos para perder € 14,99! Depois disso, você perde € 39,99

Em geral, os golpistas estão adotando a IA de forma agressiva. Eles estão aproveitando deepfakes, automatizando o design de sites de alta qualidade e gerando uma cópia refinada para o envio massivo de e-mails. Até mesmo chamadas ao vivo com as vítimas estão se tornando componentes de golpes mais complexos. Esse fato foi detalhado na nossa postagem Como phishers e golpistas usam a IA.

Armadilhas disfarçadas de vagas de emprego

Quem está em busca de trabalho é o principal alvo de pessoas mal-intencionadas. Ao divulgar vagas remotas com altos salários em grandes empresas, os phishers coletavam os dados pessoais dos candidatos e às vezes até solicitavam o pagamento de pequenas “taxas de processamento de documentos” ou “comissões”.

Uma página de phishing que oferece trabalho remoto na Amazon

“Ganhe US$ 1.000 no primeiro dia” neste trabalho remoto na Amazon. Até parece!

Em configurações mais sofisticadas, os sites de phishing de “agências de emprego” solicitavam o número de telefone vinculado à conta do Telegram do usuário durante o registro. Para concluir a “inscrição”, a vítima precisava inserir um “código de confirmação”, que na verdade era um código de autorização do Telegram. Depois de inseri-lo, o site solicitava mais informações relativas ao perfil do usuário, o que claramente era apenas uma distração para impedir que ele percebesse a nova notificação de login no seu telefone. Para “verificar o usuário”, a vítima era instruída a esperar 24 horas, dando aos golpistas, que já tinham meio caminho andado, tempo suficiente para sequestrar a conta do Telegram para sempre.

A empolgação é uma mentira (mas muito convincente)

Como de costume, os golpistas foram rápidos em se inteirar de todas as manchetes que relatavam tendências em 2025, lançando campanhas de e-mail a uma velocidade vertiginosa.

Por exemplo, após o lançamento das moedas de meme $ TRUMP pelo presidente dos EUA, houve uma explosão de golpes prometendo NFTs gratuitas da “Trump Meme Coin” e dos “Trump Digital Trading Cards”. Nós já explicamos em detalhes exatamente como as moedas de meme funcionam e como (não) perder dinheiro com elas.

No segundo em que o iPhone 17 Pro chegou ao mercado, ele se tornou o prêmio oferecido em inúmeras pesquisas falsas. Depois de “ganhar”, os usuários só precisavam fornecer suas informações de contato e pagar pelo envio. Depois que esses dados bancários eram inseridos, o “vencedor” corria o risco de perder não apenas o valor do envio, mas cada centavo da sua conta.

Aproveitando a onda do Ozempic, os golpistas inundaram as caixas de entrada das pessoas com ofertas de versões falsificadas do medicamento ou de “alternativas” suspeitas das quais os farmacêuticos reais nunca tinham ouvido falar.

E durante a turnê mundial da banda de K-pop BLACKPINK, os spammers fizeram publicidade das “malas scooters iguais às que a banda usa”.

Até o casamento de Jeff Bezos no verão de 2025 foi utilizado na aplicação de golpes “nigerianos” por e-mail. Os usuários receberam supostas mensagens do próprio Bezos ou da sua ex-esposa, MacKenzie Scott. Os e-mails prometiam grandes somas de dinheiro em nome de instituições de caridade ou como “compensação” da Amazon.

Como se proteger

Como você pode ver, os golpistas não têm limites quando se trata de inventar novas maneiras de roubar o seu dinheiro e dados pessoais, ou até mesmo toda a sua identidade. Estes são apenas alguns dos exemplos mais loucos de 2025. Você pode ler uma análise completa do cenário de ameaças de phishing e spam na Securelist. Enquanto isso, aqui estão algumas dicas para evitar que você se torne uma vítima. Compartilhe-as com seus amigos e familiares, especialmente crianças, adolescentes e idosos, pois esses grupos costumam ser os principais alvos dos golpistas.

  1. Verifique a URL antes de inserir qualquer informação. Mesmo que os pixels da página pareçam perfeitos, a barra de endereço pode revelar o golpe.
  2. Não clique em links de mensagens suspeitas, mesmo se forem enviados por alguém que você conheça, pois a conta deles pode facilmente ter sido invadida.
  3. Nunca compartilhe códigos de verificação com ninguém. Eles são as chaves mestras da sua vida digital.
  4. Ative a autenticação de dois fatores sempre que puder. Isso representa um obstáculo extra essencial para os hackers.
  5. Desconfie de ofertas “boas demais para serem verdade”. iPhones grátis, dinheiro fácil e presentes de estranhos são quase sempre uma armadilha. Para relembrar, confira nossa postagem Phishing 101: o que fazer se você receber um e-mail de phishing.
  6. Instale uma proteção robusta em todos os seus dispositivos. O Kaspersky Premium bloqueia automaticamente sites de phishing, anexos maliciosos e e-mails de spam antes mesmo de você ter a chance de acessá-los. Além disso, nosso aplicativo Kaspersky for Android tem um sistema antiphishing de três camadas que consegue detectar e neutralizar links maliciosos em qualquer mensagem de qualquer aplicativo. Leia mais sobre isso na nossa postagem Uma nova camada de segurança antiphishing no Kaspersky for Android.
Dicas