Phishing em português deixou para trás os erros ortográficos. Em 2026, ataques à caixa corporativa brasileira combinam domínios lookalike, QR Code malicioso e voz clonada por inteligência artificial. Notificações ao CERT.br subiram 120% em um ano e o Brasil responde por 62% do phishing da América Latina. Identificar o golpe virou habilidade de sobrevivência.
O laboratório brasileiro de fraude
O Brasil é hoje o principal alvo de phishing da América Latina e um dos cinco maiores do mundo. Segundo o relatório trimestral da APWG, foram registrados mais de 1 milhão de ataques só no primeiro trimestre de 2025, recorde desde 2023. A Kaspersky, por sua vez, bloqueou 553 milhões de tentativas no Brasil entre julho de 2024 e julho de 2025, alta de 85% sobre o período anterior.
O que mudou não é apenas o volume, mas a qualidade. Phishing deixou de ser um e-mail mal escrito para se tornar uma indústria de alta precisão. Os criminosos redigem mensagens em vernáculo correto, clonam identidades visuais de bancos e da Receita Federal, e usam domínios com extensões como .ai e .io para conferir aparência corporativa. Conforme o sistema de acompanhamento do CERT.br, as notificações de fraude via phishing cresceram 120% no último ano, com e-commerce e Pix respondendo por 70% das tentativas.
O prejuízo se materializa em números concretos: a Febraban estimou em R$ 4,5 bilhões as perdas por engenharia social ativa (quando a própria vítima autoriza a transferência), mesmo com os bancos tendo evitado R$ 35 bilhões em fraudes com sistemas de inteligência artificial. O firewall mais caro do mundo não protege uma empresa quando o funcionário é convencido a entregar as chaves do cofre.
URL spoofing e domínios lookalike
A coluna vertebral do phishing em português é o URL spoofing: criar um endereço que imita o original de forma quase indistinguível. As técnicas mais comuns em 2026 incluem:
- Domínios homoglifos: troca de caracteres visualmente idênticos, como ca1xa.gov.br em vez de caixa.gov.br, usando o numeral 1 no lugar da letra i.
- Subdomínios enganosos: endereços do tipo caixa.com.br.login-seguro.net, onde o domínio real é login-seguro.net e tudo o que vem antes é apenas caminho.
- Extensões corporativas: registros como bancodobrasil.ai ou receita.io que aparentam ser institucionais.
- HTTPS falso: 55% dos sites de phishing agora exibem certificado SSL legítimo, e o cadeado verde do navegador deixou de servir como selo de confiança.
Agravando o quadro, 80% das URLs maliciosas voltadas ao público brasileiro em 2026 são efêmeras: duram menos de duas horas online, tempo suficiente para capturar vítimas e desaparecer antes que os filtros internacionais as indexem. Quando o analista tenta verificar a denúncia, o site já saiu do ar, mas a credencial corporativa já foi negociada em fóruns criminosos.
Quishing e o Pix instantâneo
O Quishing, phishing via QR Code, é a modalidade que mais cresce no Brasil. O vetor é simples: uma fatura de energia, internet ou boleto aparentemente legítimo chega por e-mail ou Correios, e o QR Code de pagamento leva a um domínio falso. Como o link está embutido em uma imagem, a maioria dos filtros de e-mail e antivírus não consegue inspecioná-lo.
O casamento entre Quishing e Pix ampliou o dano. Em março de 2026, o golpe da chave Pix para restituição do Imposto de Renda induziu contribuintes a cadastrar chaves em nomes de golpistas, desviando valores da restituição. A Receita Federal chegou a emitir nota pública negando a existência de qualquer taxa sobre Pix, após boatos viralizarem em redes sociais. Em outro caso recente, mais de R$ 26 milhões desviados em um ataque hacker foram distribuídos em 30 bancos e fintechs, evidência da sofisticação da rede de mulas digitais que esconde o rastro do Pix.
BEC e deepfake de voz
No ambiente corporativo, a ameaça mais cara tem nome: BEC (Business Email Compromise), a fraude do e-mail comercial. O criminoso se infiltra em uma caixa corporativa legítima, normalmente após um phishing bem-sucedido, observa negociações por semanas, e no momento certo altera dados bancários em uma fatura real. Como o e-mail vem de um remetente confiável dentro da conversa, a vítima raramente suspeita.
Em 2026, o BEC ganhou uma camada adicional de perigo com o deepfake de voz, técnica conhecida como vishing. O funcionário do financeiro recebe um áudio no WhatsApp com a voz idêntica à do dono da empresa, pedindo pagamento urgente para um fornecedor novo. A clonagem vocal por IA já exige poucos segundos de amostra e ferramentas gratuitas. Segundo o Censo CISO Advisor 2026, 9 em cada 10 PMEs brasileiras sofreram pelo menos uma tentativa de ataque via WhatsApp Web ou e-mail corporativo em 2025.
O BEC também se alimenta de credenciais vazadas que circulam em fóruns criminosos. Combater essa cadeia exige bloquear o phishing na origem.
Golpes reais brasileiros recentes
Para entender a operação, vale observar três golpes que circularam maciçamente no Brasil nos últimos meses:
- Golpe da taxa do Pix: e-mails em nome da Receita Federal informando cobrança de taxa sobre transações acima de R$ 5 mil. O link levava a um clone do gov.br que capturava CPF e senha, permitindo ao criminoso redirecionar benefícios e restituições.
- Clone do Banco Central: campanhas que exploram mudanças nas regras do Pix (como o MED 2.0, em vigor desde fevereiro de 2026), criando páginas falsas que prometem rastrear transações suspeitas, função que não existe.
- BEC em gráficas e comércio: mensagens se passando por fornecedores conhecidos, pedindo atualização de dados bancários, frequentemente hospedadas no mesmo framework de phishing discutido em 236 mil golpes num só framework.
O denominador comum é a urgência fabricada: prazo de pagamento, bloqueio de conta, restituição expirando. A pressão é deliberada, e anula o senso crítico do destinatário.
Treinamento vence tecnologia cara
Ferramentas importam, mas 90% dos incidentes bem-sucedidos começam em um clique humano. Programas de conscientização continuam sendo o controle de melhor custo-benefício. Elementos que funcionam em empresas brasileiras:
- Simulações de phishing em PT-BR: envios mensais com cenários locais (Caixa, Banco do Brasil, gov.br, Receita) e relatório individual de cliques.
- Regra da palavra-passe: código verbal pré-acordado entre diretoria e financeiro para confirmar transferências de alto valor por áudio ou mensagem.
- Canal de denúncia leve: um botão de reportar phishing no cliente de e-mail, com resposta do SOC em minutos. O tempo entre o clique e o vazamento costuma ser de poucos minutos.
- MFA resistente a AiTM: o Adversary-in-the-Middle rouba o token de sessão em tempo real, ignorando o SMS. MFA por chave FIDO2 ou aplicativo com number matching oferece proteção superior.
- Privilégio mínimo: nem todo colaborador precisa de acesso ao portal bancário, ao Open Finance ou a sistemas de folha de pagamento.
Como blindar o email corporativo
A defesa em profundidade contra phishing em português combina camadas técnicas e humanas. O essencial para qualquer empresa em 2026:
- SPF, DKIM e DMARC configurados em modo de rejeição (p=reject), impedindo o spoofing do domínio corporativo.
- Filtro de e-mail com análise de URL e anexo em sandbox, capaz de extrair links dentro de QR Codes.
- DNS seguro (DoH/DoT) com feed de ameaças brasileiro, bloqueando domínios efêmeros antes que a página carregue.
- Verificação de integridade de pagamentos: dupla aprovação e conferência telefônica com o fornecedor usando número previamente cadastrado, nunca o número que consta na mensagem.
- Monitoramento de credenciais vazadas em fóruns criminosos, com bloqueio automático de senhas comprometidas.
Phishing em português não vai desaparecer, vai se sofisticar. A diferença entre uma empresa que perde R$ 100 mil em uma tarde e outra que registra um clique suspeito no SOC está na combinação de treinamento, tecnologia e um processo de pagamento que trata cada transferência como uma operação a ser verificada. Em um país onde o crime digital é profissional, a parceria entre usuário alerta e controles técnicos é a única resposta sustentável.