Ferramentas de cibersegurança falham em detectar uma em cada cinco ataques de phishing que atingem usuários corporativos via navegador, segundo o 2026 Browser Threat Report da Menlo Security. O estudo, baseado em telemetria de milhões de sessões entre janeiro e março de 2026, revela que criminosos exploram a camada do navegador para evadir controles tradicionais de segurança empresarial.
A lacuna do navegador
Aplicativos corporativos como e-mail, SaaS, ferramentas de colaboração, assistentes de IA e sistemas financeiros migraram para o navegador. Produtos de segurança tradicionais — firewalls, filtros de URL, antimalware de endpoint — não foram projetados para inspecionar atividade dentro de uma sessão de navegação. O resultado é uma zona cega que atacantes aprenderam a explorar.
“As ferramentas que a maioria das empresas depende funcionam exatamente como foram projetadas. Esse é o problema”, afirmou Bill Robbins, CEO da Menlo Security. “Nenhuma delas foi construída para operar na camada de sessão do navegador.” A descoberta se soma a dados que mostram golpes digitais faturando US$ 442 bilhões via redes sociais e novas plataformas.
ClickFix e ataques de phishing
Os ataques de phishing não exploram apenas falhas técnicas. Eles manipulam o comportamento humano dentro do navegador. Táticas como ataques ClickFix convencem a vítima a colar código malicioso em ferramentas legítimas que não são monitoradas por soluções de segurança. Como a ação é executada pelo próprio usuário, ela bypassa controles de comportamento malicioso — o sistema interpreta como atividade legítima.
Humanos interagem regularmente com alertas no navegador como CAPTCHAs, mensagens de erro e telas de verificação do Cloudflare. Atacantes adaptaram suas técnicas de engenharia social para se camuflarem entre essas interações rotineiras. O usuário é levado a executar ações que comprometem sua própria máquina sem despertar suspeitas das ferramentas de proteção.
| Vetor de ataque | Taxa de falha | Método de evasão |
|---|---|---|
| Phishing via URL | 20% não detectados | Filtro de URL legacy sem visão de sessão |
| ClickFix (social engineering) | Ação do usuário legítima | Vítima executa o código manualmente |
| Zero-hour phishing | Assinaturas desconhecidas | Páginas criadas minutos antes do ataque |
| Fraude com IA generativa | ~600 incidentes | Conteúdo gerado por IA indistinguível |
Zero-hour e fraude com IA
O relatório registrou aumento de 130% em ataques zero-hour phishing — páginas criadas minutos antes da campanha e que ainda não constam em nenhuma base de ameaças. Essas URLs não possuem reputação negativa porque nunca existiram antes, tornando filtros baseados em listas de bloqueio completamente ineficazes.
Cerca de 600 incidentes de fraude envolvendo IA generativa foram identificados, com conteúdo praticamente indistinguível de comunicações legítimas. Modelos de linguagem produzem e-mails, páginas de login e mensagens sem os erros gramaticais que antes serviam como indicadores de phishing, dificultando a detecção mesmo por usuários treinados.
Estratégias de proteção
Organizações precisam implementar proteção dedicada à camada de sessão do navegador, não apenas no perímetro da rede. Filtros de URL baseados em reputação são insuficientes contra ataques zero-hour, como já evidenciado em casos de zero-days no Chrome explorados ativamente. Soluções de browser isolation e autenticação resistente a phishing (FIDO2, passkeys) reduzem significativamente a superfície de ataque.
Equipes de segurança devem monitorar atividades dentro do navegador, não apenas tráfego de rede. Treinamentos de conscientização precisam incluir cenários de ClickFix e ataques que manipulam CAPTCHAs e telas de verificação falsas. A adoção de IA para detecção em tempo real na camada do navegador já é uma necessidade, não um diferencial.
Fontes
- Infosecurity Magazine — pesquisa sobre falhas de detecção de phishing via navegador em ambientes corporativos
- Menlo Security — 2026 Browser Threat Report com telemetria de Q1 2026