As 5 principais ameaças à cibersegurança de fator humano em 2025: O phishing volta a evoluir

As ameaças à cibersegurança em 2025 assumiram uma nova forma - visamas pessoas e não apenas os sistemas. Os ataques baseados em phishing são mais convincentes, mais personalizados e mais difíceis de detetar. Esta publicação explora as cinco principais ameaças de cibersegurança de fator humano deste ano e como a formação e os testes podem ajudá-lo a manter-se à frente.

Ameaça à cibersegurança

1. Ataques do tipo "Click-Fix": Um novo tipo de ameaça à cibersegurança

Os ataques Click-Fix estão a aumentar. Estas tentativas de phishing utilizam falsos pop-ups ou alertas de sistema, pedindo aos utilizadores para colarem uma "correção" no Terminal ou no Run. O que parece ser um comando útil, na realidade lança malware.

Os atacantes estão a utilizar estas tácticas em e-mails de phishing, redireccionamentos do navegador e esquemas de apoio por chat. Algumas campanhas foram também associadas a actores de estados-nação.

Defender-se contra isso:

  • Simule o phishing Click-Fix na formação dos funcionários. Temos um novo modelo de ataque para o fazer por si.

  • Avisar o pessoal para não fazer copy-paste de fontes desconhecidas.

  • Monitorizar a atividade da área de transferência associada a scripts.

2. Phishing de fornecedores: a ameaça oculta à cibersegurança na sua caixa de entrada

Os programas de formação modernos utilizam vários tipos de conteúdo para chegar aos colaboradores de forma eficaz:

O phishing de fornecedores é uma das ameaças de cibersegurança mais perigosas atualmente. Os atacantes sequestram a conta de correio eletrónico de um fornecedor de confiança e enviam mensagens maliciosas ao pessoal interno. Como o e-mail é real e a relação é de confiança, é mais provável que os utilizadores cliquem.

Em maio de 2025, um ataque de phishing a um fornecedor do grande retalhista britânico M&S causou grandes perdas financeiras e expôs deficiências nos controlos dos fornecedores.

Dicas de mitigação:

  • Incluir phishing do tipo fornecedor em simulações de sensibilização.

  • Alargar a formação a parceiros e equipas subcontratadas. Nós podemos ajudá-lo a realizar isto.

  • Verificar os pedidos através de um segundo canal de comunicação.

3. Phishing com código QR: digitalize e clique para ser invadido

Os códigos QR estão em todo o lado - desde secretárias a convites para reuniões. Mas em 2025, os ataques de phishing com códigos QR estão a aumentar. Estes códigos conduzem frequentemente a páginas de início de sessão falsas ou a scripts de recolha de tokens.

Como a ação começa num smartphone, os empregados são menos cautelosos. A ENISA identificou o phishing QR como uma das principais ameaças emergentes à cibersegurança na Europa.

Protejam o vosso povo:

  • Utilize o QR phishing nos seus testes de sensibilização.
  • Ensinar o pessoal a verificar os URLs antes de iniciar sessão.
  • Afixar orientações visuais nos escritórios próximos de espaços partilhados.

Já falámos sobre códigos QR no nosso blogue e temos os modelos de ataque e sensibilização para o ajudar a resolver este problema.

Ameaças à cibersegurança em 2025

4. Fadiga de MFA: Quando demasiados avisos levam a um clique errado

Os atacantes de phishing exploram agora os utilizadores através da fadiga do MFA. Depois de roubarem as credenciais, desencadeiam pedidos de início de sessão repetidos, esperando que o utilizador aprove um por engano.

Esta tática é especialmente comum após o horário de trabalho ou em dispositivos móveis. Foi utilizada em vários ataques de grande visibilidade em 2024 e continua a crescer.

O que fazer:

  • Formar os utilizadores sobre o funcionamento do bombardeamento MFA.

  • Simule estes ataques nos seus testes de phishing.

  • Atualizar para MFA resistente a phishing sempre que possível.

5. Sequestro de linha de correio eletrónico: Conversas de confiança tornaram-se arriscadas

Num sequestro de linha, o atacante utiliza uma conta real comprometida para responder a uma conversa de e-mail ativa. É altamente eficaz, porque a mensagem inclui o histórico e o tom genuínos do correio eletrónico.

Estes ataques de phishing são frequentemente dirigidos às equipas financeiras, jurídicas e de RH. Ultrapassam os filtros e as defesas psicológicas.

Passos defensivos:

  • Incluir cenários de sequestro de linhas nas simulações.

  • Formar os utilizadores para detectarem anexos invulgares, mesmo em tópicos de confiança.

  • Incentivar a comunicação interna rápida de respostas suspeitas.

Ameaças à cibersegurança e conformidade: Porque é que a formação é agora uma prioridade legal

A diretiva europeia NIS2 deixa claro: a sensibilização para a cibersegurança já não é opcional. Se a sua organização pertence a sectores críticos ou importantes, a NIS2 exige:

  • Formação regular dos trabalhadores

  • Ataques simulados para testar a resposta

  • Fluxos de trabalho de relatórios e respostas

As coimas por incumprimento podem atingir 10 milhões de euros ou 2% do volume de negócios global.

As organizações na Alemanha, Áustria e outros países da UE têm agora de provar que estão a levar a sério o risco humano. A implementação de formação e testes de phishing realistas - como os oferecidos por plataformas como a Lucy - é uma parte fundamental do cumprimento destas obrigações.

Considerações finais: As ameaças à cibersegurança continuarão a evoluir, por isso, treine, teste e mantenha-se à frente

As maiores ameaças à cibersegurança de 2025 não são explorações de dia zero - são técnicas de phishing inteligentes e centradas no ser humano. E estão a funcionar.

É por isso que o seu plano de defesa deve incluir:

  • Simulações realistas de phishing baseadas nas ameaças actuais

  • Formação de sensibilização baseada em funções, adaptada por departamento

  • Testes contínuos, especialmente para riscos de terceiros

Ferramentas como a Lucy Security permitem-lhe realizar testes de phishing direcionados, personalizar conteúdos e acompanhar as melhorias ao longo do tempo.

Já não se trata apenas de apanhar o phish. Trata-se de provar que se consegue.

Contacte-nos se quiser discutir mais aprofundadamente estes desafios e as suas necessidades.

O nosso canal do YouTube também disponibiliza muitos vídeos úteis sobre estes temas, incluindo sobre como clonar ataques.