O e-mail segue como um dos principais pontos de entrada para ataques cibernéticos, com a Microsoft detectando 8,3 bilhões de tentativas de phishing apenas no primeiro trimestre de 2026. Os dados constam de um relatório publicado no dia 30 de abril pela Microsoft Threat Intelligence. O texto mostra que, para driblar a detecção, os atacantes passaram a inserir códigos QR em anexos PDF — estratégia que representou 65% dos ataques com QR code em janeiro e chegou a 70% em março.
Ataques com CAPTCHA e roubo de credenciais em alta
Segundo o relatório, os atacantes estão explorando cada vez mais ataques de phishing protegidos por CAPTCHA, com um aumento de 125% em março, totalizando 11,9 milhões de ataques. Nesses casos, etapas de verificação com aparência legítima são usadas para enganar usuários e evitar mecanismos automatizados de detecção. O roubo de credenciais continua sendo o principal objetivo dos ataques baseados em carga útil, representando entre 89% e 95% do total no primeiro trimestre, o que reflete uma mudança do malware tradicional para o comprometimento de identidade.
Ação contra plataforma Tycoon2FA reduziu ataques em 15%
A empresa destacou que, em março, sua Digital Crimes Unit liderou uma ação coordenada para interromper a plataforma de phishing-as-a-service Tycoon2FA. Segundo o comunicado, a interrupção reduziu em 15% a atividade dos ataques associados ao longo do restante do mês. A Microsoft recomenda que organizações revisem as configurações do Exchange Online Protection e do Defender para Office 365, ativem a limpeza automática de zero horas (ZAP) e invistam em treinamento de conscientização dos usuários com simulações de phishing.
Pontos de Atenção (origem: IA)
Recomenda-se priorizar a educação de usuários sobre riscos de QR codes em PDF, especialmente quando solicitam autenticação após CAPTCHA. É aconselhável implementar filtragem que inspecione anexos PDF e bloqueie páginas de phishing em infraestruturas PhaaS como Tycoon2FA. Pode-se considerar o reforço da MFA resistente a phishing (chaves FIDO ou Microsoft Authenticator) e avaliar a configuração de interrupção automática de ataques no Microsoft Defender XDR.
