Uma referência analítica sobre phishing em 2026 – dados de evolução do canal, análise de impacto da IA e o que os números revelam sobre o maior vetor de ataque na fraude moderna.
O phishing representou cerca de 84% das fraudes baseadas em engenharia social em 2025.A categoria continua a ser o maior vetor único de ataques em fraudes de consumidores e empresas, com o Grupo de Trabalho Anti-Phishing documentando aproximadamente 6,4 milhões de sites de phishing únicos identificados durante o ano.
Três mudanças mensuráveis definiram a paisagem de phishing de 2025:
| Dimensão | 2022 | 2025 | Mudança |
|---|---|---|---|
| Compartilhar e-mails de phishing | 78% | 61% | - 17 ppm |
| Compartilhamento de SMS Phishing | 9% | 23% | Mais de 14pp |
| Compartilhe phishing | 8% | 11% | Mais de 3pp |
| Outros canais (QR e social) | 5% | 5% | Nenhuma mudança |
| E-mails de phishing derrotam a detecção baseada em conteúdo | ~24% | ~47% | Mais de 23pp |
| Sites de phishing ativos identificados anualmente | ~3.5M | ~6.4M | +83% |
A quota de canais calculada a partir de relatórios da APWG e da FTC que combinam dados de tentativas de phishing em várias fontes.
As mudanças revelam três padrões estruturais: o phishing expandiu-se através de novos canais em vez de simplesmente crescer em volume, a qualidade do conteúdo habilitado pela IA erodiu materialmente os sinais de detecção tradicionais e a escala absoluta das operações quase duplicou apesar da melhoria da infraestrutura de detecção.
O padrão funciona porque a maioria dos destinatários realmente tem contas com os serviços impersonados – criando alta relevância para percentagens substanciais de qualquer campanha distribuída em massa.
| Brandão | Conheça a Impersonalização da Marca | Principais pretextos |
|---|---|---|
| A Microsoft | 24% | Office 365 senha expira, suspensão da conta |
| Amazônia | 18% | Encomenda não autorizada, verificação de conta |
| A Apple | 11% | Armazenamento do iCloud, verificação do ID Apple |
| O PayPal | 9% | Limitações de conta, atividade suspeita |
| O Google | 7% | Drive Sharing, Segurança da Conta |
| NETFLIX | 5% | Fracasso de pagamento, suspensão da conta |
| Os bancos (agregados) | 14% | Verificação de contas, alertas de fraude |
| Outros | 12% | Vários varejistas, serviços |
Participação agregada de relatórios de personalização de marca.Muitas operações de phishing usam múltiplos pretextos de marca em ondas de campanhas.
A concentração em plataformas de tecnologia (Microsoft, Apple, Google) reflete seu alcance universal - praticamente todos os adultos dos EUA têm pelo menos uma conta com esses provedores. a alta participação da Amazon reflete sua posição como a plataforma de comércio eletrônico dominante, com pretextos de confirmação de pedidos alcançando alta credibilidade porque a maioria dos destinatários realmente tem pedidos recentes ou iminentes.
O subconjunto de phishing bancário mostra características distintivas: maior perda por tentativa bem-sucedida (devido ao acesso financeiro direto), maior uso de seguimento por voz após o contato inicial de e-mail / SMS, e infraestrutura mais sofisticada, incluindo números de telefone bancário falsificados.
O phishing por SMS cresceu mais rápido do que qualquer outra categoria de phishing, expandindo-se de 9% dos relatórios de phishing em 2022 para 23% em 2025.
| fator | Efeito |
|---|---|
| Infraestrutura de filtragem de e-mail | Taxas de entrega mais altas do que o e-mail |
| Contexto de urgência | Incentiva a ação rápida sobre a avaliação cuidadosa |
| Formato de mensagem curta | Limite de sinais visíveis que os usuários podem avaliar |
| Números pessoais de celular amplamente disponíveis | Infraestrutura de alvo melhorada através de violações de dados |
| Sender ID capacidades de spoofing | Pode aparecer de qualquer fonte, incluindo marcas legítimas |
| Detecção de fraude de nível de operador menos madura | Sistemas de detecção de infraestrutura de e-mail |
A distribuição de padrões de phishing de SMS 2025:
| padrão | Divulgação de Smishing Reports | Objetivo de captura típico |
|---|---|---|
| Pacote de entrega | 34% | Informações de pagamento através de "taxa de entrega" |
| Alerta bancária | 21% | Créditos da conta através do seguimento por voz |
| Autoridade Tributária | 14% | Informações Pessoais, Pagamento |
| Emergência Familiar | 11% | Wire Transfer, Pagamento com Cartão de Presente |
| Violação de tarifas / estacionamento | 9% | Informações de pagamento |
| Verificação de contas (vários) | 7% | Credenciais |
| Outros | 4% | Vários |
A predominância do padrão de entrega de pacotes reflete o alvo psicológico eficaz – a maioria dos americanos tem pacotes em trânsito a qualquer momento, criando uma alta relevância de base para as mensagens de “problema de entrega”. O enquadramento de urgência típico dessas mensagens (“Seu pacote será devolvido em 24 horas”) incentiva a ação imediata sobre verificação cuidadosa. Os pequenos montantes de taxa ($ 2,99-$ 5,99) parecem razoáveis o suficiente para derrotar os limiares de suspeita.
2025 foi o primeiro ano a mostrar impacto mensurável da IA na eficácia do phishing.Os dados revelam a inflexão em várias dimensões observáveis:
| Detecção Heurística | 2022 Eficácia | Eficiência em 2025 |
|---|---|---|
| "Erros gramaticais como sinal" | elevado | Baixa (em grande parte obsoleta) |
| “Awkward phrasing detecção” | elevado | Baixa |
| “Brand template mismatch” | moderado | Baixa (AI replica com precisão) |
| “Saudação suspeita” | moderado | Baixa (personalização em escala) |
| Verificação de busca de imagem reversa | elevado | Baixa (imagens sintéticas) |
| “Resistência ao clonagem” | N/A | Baixa (ferramentas de clonagem acessíveis) |
O paradigma tradicional de detecção de phishing baseava-se em sinais de qualidade de conteúdo de nível de superfície – typos, frases incômodas, obviamente formatação falsa.
Gramática e Frases: As ferramentas de IA produzem cópias fluentes e profissionais.O e-mail de phishing de 2025 lê-se como comunicação legítima.Os analistas de segurança de e-mail relatam que a porcentagem de e-mails de phishing que derrotam a detecção baseada em conteúdo dobrou aproximadamente desde 2023.
Design de Replicação Visual: As ferramentas de design assistidas por IA permitem uma replicação precisa da marca.A experiência visual de um e-mail de phishing de 2025 é funcionalmente idêntica à comunicação de marca legítima.
Clonagem de voz: O phishing de voz foi transformado por clonagem acessível.Os fraudadores agora podem gerar amostras de voz convincentes a partir de conteúdo de mídia social disponível publicamente.O padrão de imitação de netos (95% das vítimas 60+, perda média de US $ 9.000) aumentou drasticamente na eficácia da acessibilidade pós-IA.
Personalização em escala: As campanhas de phishing direcionadas em massa agora usam a IA para personalizar o conteúdo para os destinatários individuais com base em informações disponíveis publicamente.A barreira econômica que anteriormente limitava o phishing direcionado a alvos de alto valor foi em grande parte dissolvida. "Hi John, seu pedido recente da Amazon #ABC123 foi enviado" atinge com muito maior credibilidade do que as versões genéricas - mesmo quando os números de pedidos são fabricados.
Compromisso de e-mail de negócios (BEC) - phishing direcionado direcionado a transações financeiras de negócios - representa uma subcategoria distinta com economia operacional substancialmente diferente do phishing do consumidor.
O BEC opera através de vários padrões de ataque distintos:
| padrão | Conheça os relatórios do BEC | Perda média |
|---|---|---|
| CEO / Executivo Impersonalidade | 32% | $32,000 |
| Mudança de roteamento de pagamento do vendedor | 28% | $45,000 |
| Clientes reembolsam fraude | 17% | $18,000 |
| Requerimento de informação de HR/Payroll | 12% | $8,000 |
| Advogado / Conselheiro Jurídico Imaginação | 7% | $28,000 |
| Outros | 4% | Vários |
A sequência operacional: os fraudadores comprometem o e-mail do negócio alvo ou o e-mail do fornecedor (muitas vezes através de phishing anterior), monitoram as comunicações para entender os fluxos de trabalho de pagamento e, em seguida, injetam mensagens fraudulentas "mudançamos nossos detalhes bancários" timed para coincidir com o pagamento de fatura legítima.
O BEC difere fundamentalmente do phishing do consumidor na economia operacional. Perdas por incidente ($ 25.000-$ 45.000 médio por tipo de padrão) tornam a pesquisa direcionada economicamente viável. Onde o phishing do consumidor opera na economia de baixa conversão de distribuição em massa, o BEC opera na economia de alta conversão de pesquisa direcionada. Os dois padrões, portanto, exibem requisitos defensivos diferentes.
O phishing por voz ("vishing") cresceu juntamente com as capacidades de IA. Enquanto o volume permanece menor do que o phishing por e-mail ou SMS, as perdas por incidente são notavelmente maiores - particularmente para os demográficos mais antigos.
| padrão | Demografia primária | AVG Perda | Tendência |
|---|---|---|---|
| Suporte técnico para fraudes | 73% Idade 50+ | $1,395 | Estabilidade |
| Imaginação da criança | 95% com mais de 60 anos | $9,000+ | Clonagem de voz (AI voice cloning) |
| Medicare / Impersonalização SSA | 87% com mais de 60 anos | $1,800 | Estabilidade |
| Impressão IRS | Misturado | $1,200 | Diminuição da consciência (consciência) |
| Frases bancárias “investigador” | Misturado | $4,800 | crescendo |
As concentrações demográficas refletem a natureza direcionada de scripts específicos. a imitação de netos e as fraudes Medicare/SSA são projetadas especificamente em torno da demografia de adultos mais velhos; sua distribuição de vítimas reflete o alvo em vez de vulnerabilidade aleatória.
O aumento acentuado do padrão de imersão do neto em 2025 acompanha a acessibilidade da clonagem de voz da IA. A mecânica do padrão:
Os fraudadores podem agora gerar amostras de voz convincentes a partir de conteúdo de mídia social disponível publicamente - um vídeo público do TikTok, uma aparência de podcast ou um vídeo familiar fornece áudio suficiente para clonar.A defesa "Eu teria reconhecido que não era realmente meu neto" que protegia adultos mais velhos historicamente foi substancialmente erodida.
O padrão de fraude de suporte de tecnologia permanece estruturalmente estável, mas opera com concentração demográfica consistente. avisos pop-up, chamadas frias de "técnicos de suporte" e anúncios de motores de busca para números de telefone de suporte falso todos funnel para a instalação de software de acesso remoto, "encontros de diagnóstico" fabricados e pagamento por serviços falsos. 73% das vítimas são 50+, com a concentração demográfica refletindo tanto a infraestrutura de alvo (especificamente direcionada a adultos mais velhos) e familiaridade reduzida com como o suporte de tecnologia real opera.
Entender por que o phishing é bem sucedido – particularmente contra pessoas que “deveriam saber melhor” – informa defesa eficaz além de conselhos de detecção de superfície.
A qualidade realmente melhorou além da detecção. O quadro tradicional de ceticismo baseou-se em sinais de superfície (gramática, formatação, incomodidade). a eliminação de AI desses sinais significa que o quadro agora produz falsos negativos em altas taxas.
A pressão do tempo contorna o pensamento crítico. Quase todos os padrões de phishing eficazes incluem enquadramento de urgência.A análise do phishing bem sucedido em 2025 revela elementos consistentes de urgência:
| Tipo de Emergência | O sucesso do phishing |
|---|---|
| “A conta será suspensa em [horas]” | 34% |
| “Pago imediato necessário para evitar [consequência]” | 26% |
| "Atividade suspeita detectada - verifique agora" | 22% |
| "Oportunidade limitada expira hoje" | 11% |
| "O pacote será devolvido se não for endereçado" | 7% |
A familiaridade heurística trabalha contra a detecção. A falsificação de marca é bem-sucedida porque a maioria dos destinatários realmente tem contas com os serviços falsificados. Um e-mail de phishing "Microsoft Office 365" atinge uma percentagem substancial de destinatários que são realmente usuários do Microsoft 365. A legitimidade inicial assumida é amplificada quando o phishing alavanca o contexto - recebendo um SMS "problema de entrega" enquanto realmente espera um pacote, ou um alerta de "atividade suspeita" logo após uma atividade legítima que parece suspeita (como uma compra de viagem).
A personalização derrota a detecção genérica. O phishing que se refere a detalhes pessoais reais – nome do empregador, compras recentes, membros da família – derrota a heurística de detecção “isso parece um e-mail em massa”.A personalização habilitada pela IA em escala tornou esta abordagem economicamente viável para os fraudadores que operam campanhas de direcionamento em massa.
Vários padrões de 2025 são susceptíveis de definir a paisagem de phishing de 2026:
A sofisticação da IA continuará a superar a detecção. A trajetória de 2022-2025 mostra a detecção baseada em conteúdo deteriorando-se de ~76% de eficácia para ~53% de eficácia.
O phishing de código QR vai crescer como uma categoria. O padrão “quishing” – códigos QR em e-mails, sinalização física ou correio direcionado a sites de phishing – explora a natureza visual de códigos QR, onde os usuários não podem ver URLs de destino antes de escanear. Menus de restaurante, metrômetros de estacionamento e contextos legítimos semelhantes normalizaram o uso de código QR, fornecendo cobertura para variantes fraudulentas.
Ataques coordenados de vários canais se tornarão padrão. As operações sofisticadas de phishing estão cada vez mais coordenadas entre os canais – inicialmente, o e-mail cria contexto, o reforço de SMS e, em seguida, a chamada de voz de um “representante de suporte” que tem conhecimento das comunicações anteriores.
A clonagem de voz irá acelerar o crescimento de viches. A eficácia do padrão de imitação de netos com clonagem de voz de IA torna o padrão economicamente atraente para a expansão criminosa.Resultados esperados: mais operações direcionadas a esta demografia, perdas mais altas por incidente à medida que a clonagem melhora e erosão da defesa "Eu teria reconhecido sua voz".
A personalização continuará a democratizar ataques direcionados. A personalização em massa habilitada pela IA dissolveu a barreira econômica entre o phishing em massa e direcionado.A implicação: ataques de estilo direcionado (referindo a detalhes pessoais reais, específicos para os destinatários individuais) tornar-se-ão viáveis em escala em massa.
A conclusão analítica agregada: o phishing está estruturalmente se movendo para derrotar a defesa do consumidor em vez de enfrentá-la. Detecção através da qualidade do conteúdo, reconhecimento de modelo de marca, familiaridade de voz e suspeita de conteúdo genérico estão se deteriorando simultaneamente.
O Phishing representa cerca de 84% das fraudes baseadas em engenharia social e continua a ser o maior vetor de ataques em fraudes de consumidores e empresas.O Grupo de Trabalho Anti-Phishing documentou aproximadamente 6,4 milhões de sites de phishing únicos identificados em 2025 – um aumento de 83% em relação a ~ 3,5 milhões em 2022.
Fatores estruturais que impulsionam o crescimento: contorna a infraestrutura de filtragem de e-mails (taxas de entrega mais altas), o contexto móvel incentiva a ação rápida, os limites de formato de mensagens curtas limitam os sinais visíveis que os usuários podem avaliar, os números de celular pessoais amplamente disponíveis através de violações de dados, as capacidades de falsificação de identidade do remetente e a detecção de fraudes a nível de transportador menos maduras do que a infraestrutura de e-mail.
A participação de marca de 2025: Microsoft (24%), Amazon (18%), Apple (11%), PayPal (9%), Google (7%), Netflix (5%), bancos agregados (14%), e outros varejistas / serviços (12%).A concentração em plataformas de tecnologia reflete seu alcance universal - praticamente todos os adultos dos EUA têm contas com esses provedores, criando alta relevância de base para qualquer campanha de massa.
2025 foi o primeiro ano a mostrar impacto mensurável de IA. A eficácia da detecção baseada em conteúdo caiu de ~76% em 2022 para ~53% em 2025. Impactos específicos: gramática/fraseamento diz em grande parte eliminado, replicação visual de marca quase perfeita através do design assistido por IA, clonagem de voz permitindo chamadas de vingar convincentes, fotos de perfil sintéticas derrotando a pesquisa de imagem reversa e personalização em escala derrotando a detecção de conteúdo genérico.
As fraudes de entrega de pacotes representam 34% dos relatórios de phishing de SMS de 2025 — a maior categoria única. O padrão funciona porque a maioria dos americanos tem pacotes em trânsito a qualquer momento, criando alta relevância de base. O enquadramento de emergência ('retornado em 24 horas') incentiva a ação imediata. Pequenos montantes de taxa ($ 2,99-$ 5,99) derrotam os limiares de suspeita. O objetivo real de captura é informações de pagamento, não a pequena taxa em si.
BEC gerou US$ 1,4 bilhão em perdas de negócios nos EUA em 2025. perdas por incidente são dramaticamente maiores do que o phishing do consumidor – perdas médias por padrão: mudança de roteamento de pagamento do fornecedor (US$ 45 mil), personificação de CEO / executivo (US$ 32 mil), personificação de advogado / advogado (US$ 28 mil), fraude de reembolso do cliente (US$ 18 mil), solicitação de informações de RH / salário (US$ 8 mil).
A concentração demográfica reflete a infraestrutura de alvo em vez de vulnerabilidade aleatória. fraudes de suporte técnico: 73% idade 50+. imitação de neto: 95% idade 60+. imitação de Medicare/SSA: 87% idade 60+. Esses padrões são projetados especificamente em torno de demografia de adultos mais velhos – conteúdo de script, padrões de deferência de autoridade e suposta desconhecimento de mensagens de erro de tecnologia todos calibrar para esta coorte.
O aumento acentuado do padrão de imitação do neto em 2025 traz acessibilidade à clonagem de voz de IA. Os fraudadores agora podem gerar amostras de voz convincentes a partir de conteúdo de mídia social disponível publicamente - um vídeo público do TikTok, uma aparência de podcast ou um vídeo familiar fornece áudio suficiente para clonar. A defesa "Eu teria reconhecido sua voz" que historicamente protegido adultos mais velhos foi substancialmente erodida.
Quase todos os ataques de phishing eficazes incluem enquadramento de urgência. 2025 análise de phishing bem sucedido: 'A conta será suspensa' (34%), 'Pago imediato necessário' (26%), 'Atividade suspeita detectada - verifique agora' (22%), 'Oferta limitada em tempo expira hoje' (11%), 'Pacote será devolvido' (7%). A urgência contorna o pensamento crítico e força a tomada de decisões rápidas.
Uma categoria emergente onde os códigos QR são incorporados em e-mails, sinais físicos ou correio impresso diretamente para sites de phishing. O padrão explora a natureza visual dos códigos QR – os usuários não podem ver URLs de destino antes de escanear. Menus de restaurante, medidores de estacionamento e contextos legítimos semelhantes normalizaram o uso de códigos QR, fornecendo cobertura para variantes fraudulentas. Aproximadamente 2% de 2025 de phishing, mas a trajetória sugere um potencial de crescimento substancial.
A trajetória de eficácia de 2022-2025 mostra que a detecção baseada em conteúdo se deteriorou de ~76% para ~53%. A IA geradora derrotou sistematicamente cada sinal de conteúdo tradicional: a gramática e a expressão contam eliminados, a replicação visual da marca quase perfeita, a busca de imagem reversa derrotada por fotos sintéticas, a clonagem de voz eliminando sinais de familiaridade de áudio e a personalização na escala derrotando a detecção de conteúdo genérico.
O phishing do consumidor opera na economia de baixa conversão de distribuição em massa – milhões de mensagens com baixas taxas de sucesso geram retornos agregados.BEC opera na economia de alta conversão de pesquisa direcionada – operações de pesquisa intensiva contra objetivos de negócios específicos com alta extração por incidente.A personalização em massa habilitada pela IA está dissolvendo a barreira econômica entre esses modelos – ataques de estilo direcionado (referenciando dados pessoais reais) tornando-se viável em escala representa a grande trajetória de 2026.