Phishing em português deixou para trás os erros ortográficos. Em 2026, ataques à caixa corporativa brasileira combinam domínios lookalike, QR Code malicioso e voz clonada por inteligência artificial. Notificações ao CERT.br subiram 120% em um ano e o Brasil responde por 62% do phishing da América Latina. Identificar o golpe virou habilidade de sobrevivência.

O laboratório brasileiro de fraude

O Brasil é hoje o principal alvo de phishing da América Latina e um dos cinco maiores do mundo. Segundo o relatório trimestral da APWG, foram registrados mais de 1 milhão de ataques só no primeiro trimestre de 2025, recorde desde 2023. A Kaspersky, por sua vez, bloqueou 553 milhões de tentativas no Brasil entre julho de 2024 e julho de 2025, alta de 85% sobre o período anterior.

O que mudou não é apenas o volume, mas a qualidade. Phishing deixou de ser um e-mail mal escrito para se tornar uma indústria de alta precisão. Os criminosos redigem mensagens em vernáculo correto, clonam identidades visuais de bancos e da Receita Federal, e usam domínios com extensões como .ai e .io para conferir aparência corporativa. Conforme o sistema de acompanhamento do CERT.br, as notificações de fraude via phishing cresceram 120% no último ano, com e-commerce e Pix respondendo por 70% das tentativas.

O prejuízo se materializa em números concretos: a Febraban estimou em R$ 4,5 bilhões as perdas por engenharia social ativa (quando a própria vítima autoriza a transferência), mesmo com os bancos tendo evitado R$ 35 bilhões em fraudes com sistemas de inteligência artificial. O firewall mais caro do mundo não protege uma empresa quando o funcionário é convencido a entregar as chaves do cofre.

URL spoofing e domínios lookalike

A coluna vertebral do phishing em português é o URL spoofing: criar um endereço que imita o original de forma quase indistinguível. As técnicas mais comuns em 2026 incluem:

  • Domínios homoglifos: troca de caracteres visualmente idênticos, como ca1xa.gov.br em vez de caixa.gov.br, usando o numeral 1 no lugar da letra i.
  • Subdomínios enganosos: endereços do tipo caixa.com.br.login-seguro.net, onde o domínio real é login-seguro.net e tudo o que vem antes é apenas caminho.
  • Extensões corporativas: registros como bancodobrasil.ai ou receita.io que aparentam ser institucionais.
  • HTTPS falso: 55% dos sites de phishing agora exibem certificado SSL legítimo, e o cadeado verde do navegador deixou de servir como selo de confiança.

Agravando o quadro, 80% das URLs maliciosas voltadas ao público brasileiro em 2026 são efêmeras: duram menos de duas horas online, tempo suficiente para capturar vítimas e desaparecer antes que os filtros internacionais as indexem. Quando o analista tenta verificar a denúncia, o site já saiu do ar, mas a credencial corporativa já foi negociada em fóruns criminosos.

Quishing e o Pix instantâneo

O Quishing, phishing via QR Code, é a modalidade que mais cresce no Brasil. O vetor é simples: uma fatura de energia, internet ou boleto aparentemente legítimo chega por e-mail ou Correios, e o QR Code de pagamento leva a um domínio falso. Como o link está embutido em uma imagem, a maioria dos filtros de e-mail e antivírus não consegue inspecioná-lo.

O casamento entre Quishing e Pix ampliou o dano. Em março de 2026, o golpe da chave Pix para restituição do Imposto de Renda induziu contribuintes a cadastrar chaves em nomes de golpistas, desviando valores da restituição. A Receita Federal chegou a emitir nota pública negando a existência de qualquer taxa sobre Pix, após boatos viralizarem em redes sociais. Em outro caso recente, mais de R$ 26 milhões desviados em um ataque hacker foram distribuídos em 30 bancos e fintechs, evidência da sofisticação da rede de mulas digitais que esconde o rastro do Pix.

BEC e deepfake de voz

No ambiente corporativo, a ameaça mais cara tem nome: BEC (Business Email Compromise), a fraude do e-mail comercial. O criminoso se infiltra em uma caixa corporativa legítima, normalmente após um phishing bem-sucedido, observa negociações por semanas, e no momento certo altera dados bancários em uma fatura real. Como o e-mail vem de um remetente confiável dentro da conversa, a vítima raramente suspeita.

Em 2026, o BEC ganhou uma camada adicional de perigo com o deepfake de voz, técnica conhecida como vishing. O funcionário do financeiro recebe um áudio no WhatsApp com a voz idêntica à do dono da empresa, pedindo pagamento urgente para um fornecedor novo. A clonagem vocal por IA já exige poucos segundos de amostra e ferramentas gratuitas. Segundo o Censo CISO Advisor 2026, 9 em cada 10 PMEs brasileiras sofreram pelo menos uma tentativa de ataque via WhatsApp Web ou e-mail corporativo em 2025.

O BEC também se alimenta de credenciais vazadas que circulam em fóruns criminosos. Combater essa cadeia exige bloquear o phishing na origem.

Golpes reais brasileiros recentes

Para entender a operação, vale observar três golpes que circularam maciçamente no Brasil nos últimos meses:

  • Golpe da taxa do Pix: e-mails em nome da Receita Federal informando cobrança de taxa sobre transações acima de R$ 5 mil. O link levava a um clone do gov.br que capturava CPF e senha, permitindo ao criminoso redirecionar benefícios e restituições.
  • Clone do Banco Central: campanhas que exploram mudanças nas regras do Pix (como o MED 2.0, em vigor desde fevereiro de 2026), criando páginas falsas que prometem rastrear transações suspeitas, função que não existe.
  • BEC em gráficas e comércio: mensagens se passando por fornecedores conhecidos, pedindo atualização de dados bancários, frequentemente hospedadas no mesmo framework de phishing discutido em 236 mil golpes num só framework.

O denominador comum é a urgência fabricada: prazo de pagamento, bloqueio de conta, restituição expirando. A pressão é deliberada, e anula o senso crítico do destinatário.

Treinamento vence tecnologia cara

Ferramentas importam, mas 90% dos incidentes bem-sucedidos começam em um clique humano. Programas de conscientização continuam sendo o controle de melhor custo-benefício. Elementos que funcionam em empresas brasileiras:

  • Simulações de phishing em PT-BR: envios mensais com cenários locais (Caixa, Banco do Brasil, gov.br, Receita) e relatório individual de cliques.
  • Regra da palavra-passe: código verbal pré-acordado entre diretoria e financeiro para confirmar transferências de alto valor por áudio ou mensagem.
  • Canal de denúncia leve: um botão de reportar phishing no cliente de e-mail, com resposta do SOC em minutos. O tempo entre o clique e o vazamento costuma ser de poucos minutos.
  • MFA resistente a AiTM: o Adversary-in-the-Middle rouba o token de sessão em tempo real, ignorando o SMS. MFA por chave FIDO2 ou aplicativo com number matching oferece proteção superior.
  • Privilégio mínimo: nem todo colaborador precisa de acesso ao portal bancário, ao Open Finance ou a sistemas de folha de pagamento.

Como blindar o email corporativo

A defesa em profundidade contra phishing em português combina camadas técnicas e humanas. O essencial para qualquer empresa em 2026:

  • SPF, DKIM e DMARC configurados em modo de rejeição (p=reject), impedindo o spoofing do domínio corporativo.
  • Filtro de e-mail com análise de URL e anexo em sandbox, capaz de extrair links dentro de QR Codes.
  • DNS seguro (DoH/DoT) com feed de ameaças brasileiro, bloqueando domínios efêmeros antes que a página carregue.
  • Verificação de integridade de pagamentos: dupla aprovação e conferência telefônica com o fornecedor usando número previamente cadastrado, nunca o número que consta na mensagem.
  • Monitoramento de credenciais vazadas em fóruns criminosos, com bloqueio automático de senhas comprometidas.

Phishing em português não vai desaparecer, vai se sofisticar. A diferença entre uma empresa que perde R$ 100 mil em uma tarde e outra que registra um clique suspeito no SOC está na combinação de treinamento, tecnologia e um processo de pagamento que trata cada transferência como uma operação a ser verificada. Em um país onde o crime digital é profissional, a parceria entre usuário alerta e controles técnicos é a única resposta sustentável.