Cibersegurança

Um adolescente de 19 anos foi detido em Barcelona, Espanha, após ser acusado de roubar 64 milhões de registros de dados de nove empresas por meio de invasões digitais. A polícia espanhola revelou que o jovem utilizava seis contas e cinco pseudônimos para ocultar suas atividades criminosas, além de tentar vender as credenciais em fóruns online. Os dados vazados incluem informações pessoais como nomes, endereços, e-mails e números de telefone, mas ainda não se sabe quantas pessoas foram afetadas. As investigações começaram em junho e culminaram na apreensão de computadores e carteiras de criptomoedas do suspeito, que continham fundos obtidos com a venda das informações. O adolescente enfrenta acusações de crimes cibernéticos, acesso não autorizado a informações privadas e violação de privacidade.

O Escritório do Comissário de Informação do Reino Unido (ICO) multou a LastPass em £1,2 milhões (cerca de $1,6 milhões) devido a um vazamento de dados ocorrido em 2022, que comprometeu informações de 1,6 milhão de usuários. O ICO apontou que a LastPass não implementou medidas de segurança adequadas, resultando em dois incidentes de violação de dados. O ataque começou com a obtenção de credenciais criptografadas após a invasão de um laptop da empresa, que tinha acesso ao ambiente de desenvolvimento da LastPass. O invasor, utilizando um keylogger, conseguiu acessar o banco de dados de backup da LastPass, roubando informações pessoais como nomes, e-mails, números de telefone e URLs de sites armazenados. Embora a LastPass utilize um formato de criptografia de conhecimento zero, o que significa que as senhas armazenadas não foram confirmadas como descriptografadas, a exposição de dados pessoais é uma preocupação significativa. O Comissário de Informação do Reino Unido, John Edwards, enfatizou a importância de que empresas que oferecem gerenciadores de senhas garantam a segurança dos dados de seus clientes, alertando para a necessidade de revisão urgente dos sistemas de segurança. Este incidente destaca a vulnerabilidade de sistemas amplamente utilizados e a necessidade de medidas de proteção robustas.

Entre janeiro e novembro de 2025, o grupo de ransomware Akira reivindicou 683 ataques, tornando-se a segunda variante mais ativa do ano, atrás do Qilin, que teve 864 ataques no mesmo período. Este número já supera mais do que o dobro dos 272 ataques registrados em 2024. A atividade do Akira apresentou dois picos notáveis, com um aumento significativo no primeiro trimestre de 2025, seguido por uma queda entre abril e julho, e um novo aumento nos últimos meses, impulsionado pela exploração de vulnerabilidades do SonicWall SSL VPN (CVE-2024-40766). O FBI e outras agências dos EUA emitiram um alerta sobre a atividade do Akira, destacando a ameaça iminente à infraestrutura crítica. Até setembro de 2025, o grupo alegou ter arrecadado aproximadamente 244,17 milhões de dólares em resgates. Os alvos principais incluem pequenas e médias empresas, com um foco crescente em fabricantes, enquanto os ataques ao setor educacional diminuíram drasticamente. Os Estados Unidos foram o país mais afetado, com 455 ataques, seguidos por Alemanha e Canadá. O Akira também é conhecido por suas altas demandas de resgate, com casos documentados de valores que chegam a 1,4 milhão de dólares.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8110, está sendo ativamente explorada em mais de 700 instâncias do Gogs, um serviço de Git auto-hospedado. Com uma pontuação CVSS de 8.7, a falha permite a execução local de código devido a um manuseio inadequado de links simbólicos na API de atualização de arquivos. A vulnerabilidade foi descoberta acidentalmente em julho de 2025 durante uma investigação de infecção por malware. Os atacantes podem explorar essa falha para sobrescrever arquivos críticos no servidor e obter acesso SSH. Além disso, a Wiz, empresa de segurança em nuvem, observou que os atacantes deixaram repositórios comprometidos visíveis, indicando uma campanha de estilo ‘smash-and-grab’. Com cerca de 1.400 instâncias expostas, é crucial que os usuários desativem o registro aberto e limitem a exposição à internet. A Wiz também alertou sobre o uso de Tokens de Acesso Pessoal do GitHub como pontos de entrada para acessar ambientes de nuvem, destacando a necessidade de vigilância contínua e ações corretivas imediatas.

O grupo de ameaças persistentes avançadas (APT) conhecido como WIRTE tem sido responsável por ataques direcionados a entidades governamentais e diplomáticas no Oriente Médio desde 2020, utilizando uma nova suíte de malware chamada AshTag. A Palo Alto Networks está monitorando essa atividade sob o nome de Ashen Lepus, que recentemente ampliou seu foco para países como Omã e Marrocos, além de já ter atuado na Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito. Durante o conflito Israel-Hamas, o Ashen Lepus manteve suas operações, ao contrário de outros grupos que diminuíram suas atividades. O malware AshTag, um backdoor modular em .NET, permite execução remota de comandos e coleta de informações, disfarçando-se como uma ferramenta legítima. As táticas incluem o uso de e-mails de phishing com documentos relacionados a assuntos geopolíticos, levando a downloads de arquivos maliciosos que instalam o malware. A exfiltração de dados foi observada, com documentos diplomáticos sendo transferidos para servidores controlados pelos atacantes. A continuidade das operações do Ashen Lepus destaca a determinação do grupo em coletar inteligência, mesmo em tempos de conflito.

O uso da Automação de Processos Robóticos (RPA) tem crescido nas empresas, trazendo eficiência e segurança, mas também desafios significativos na gestão de identidades não humanas (NHIs). À medida que os bots começam a superar o número de funcionários humanos, a gestão do ciclo de vida das identidades se torna crucial para mitigar riscos de segurança. A RPA impacta a Gestão de Identidade e Acesso (IAM) ao gerenciar identidades de bots, garantir acesso com privilégios mínimos e assegurar a auditabilidade. Os benefícios incluem maior eficiência, precisão e segurança, além de suporte à conformidade regulatória. No entanto, surgem desafios como a gestão de bots, aumento da superfície de ataque e dificuldades de integração com sistemas legados. Para garantir a segurança da RPA dentro da IAM, as empresas devem priorizar identidades de bots, utilizar gerenciadores de segredos, implementar Gestão de Acesso Privilegiado (PAM) e fortalecer a autenticação com autenticação multifator (MFA). Essas práticas ajudam a manter um ambiente seguro e alinhado aos princípios de segurança de confiança zero.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Windows chamado NANOREMOTE, que utiliza a API do Google Drive para suas operações de comando e controle (C2). De acordo com o Elastic Security Labs, o malware apresenta semelhanças de código com outro implante conhecido como FINALDRAFT, que utiliza a API do Microsoft Graph. O NANOREMOTE é projetado para facilitar o roubo de dados e a transferência de arquivos de forma discreta, utilizando um sistema de gerenciamento de tarefas que permite pausar, retomar e cancelar transferências de arquivos. Acredita-se que o grupo por trás do NANOREMOTE, conhecido como REF7707, esteja vinculado a atividades de espionagem cibernética, com alvos em setores como governo, defesa e telecomunicações na Ásia e América do Sul. O vetor de acesso inicial para o NANOREMOTE ainda não é conhecido, mas um loader chamado WMLOADER foi identificado como parte da cadeia de ataque. O malware é escrito em C++ e possui funcionalidades que incluem execução de arquivos e coleta de informações do host. A utilização de uma chave de criptografia comum entre NANOREMOTE e FINALDRAFT sugere uma possível conexão entre os dois malwares, indicando um ambiente de desenvolvimento compartilhado.

O cenário de cibersegurança apresenta um aumento significativo nas ameaças digitais, com hackers infiltrando malware em downloads de filmes, extensões de navegador e atualizações de software. Um novo botnet, Broadside, baseado na variante Mirai, está explorando uma vulnerabilidade crítica em dispositivos TBK DVR, visando o setor de logística marítima. Além disso, o Centro Nacional de Cibersegurança do Reino Unido alertou que falhas em aplicações de inteligência artificial generativa podem nunca ser totalmente mitigadas. Em uma operação da Europol, 193 indivíduos foram presos por envolvimento em redes de ‘violência como serviço’, enquanto na Polônia, três ucranianos foram detidos por tentativas de sabotagem de sistemas de TI. Na Espanha, um jovem hacker foi preso por roubar 64 milhões de registros de dados. A Rússia desmantelou uma operação que utilizava malware para roubar milhões de clientes bancários. Por fim, uma nova backdoor chamada GhostPenguin foi descoberta, capaz de coletar informações de sistemas Linux. Esses eventos destacam a necessidade urgente de medidas de segurança robustas e vigilância contínua.

A Huntress alertou sobre uma nova vulnerabilidade ativa nos produtos CentreStack e Triofox da Gladinet, que resulta do uso de chaves criptográficas hard-coded. Até o momento, nove organizações, incluindo aquelas nos setores de saúde e tecnologia, foram afetadas. A falha permite que atacantes acessem o arquivo web.config, possibilitando a deserialização de ViewState e a execução remota de código. A função ‘GenerateSecKey()’, presente no arquivo ‘GladCtrl64.dll’, gera chaves criptográficas que nunca mudam, tornando-as vulneráveis a ataques. Os invasores podem explorar essa falha enviando requisições URL específicas para o endpoint ‘/storage/filesvr.dn’, criando tickets de acesso que nunca expiram. A Huntress recomenda que as organizações afetadas atualizem para a versão mais recente do software e verifiquem logs em busca de atividades suspeitas. Caso sejam detectados indicadores de comprometimento, é essencial rotacionar a chave da máquina seguindo um procedimento específico. A situação é crítica, e as empresas devem agir rapidamente para mitigar os riscos associados a essa vulnerabilidade.

No dia 11 de dezembro de 2025, o Google lançou atualizações de segurança para o navegador Chrome, abordando três falhas de segurança, sendo uma delas considerada de alta severidade e já em exploração ativa. A vulnerabilidade, identificada pelo ID do rastreador de problemas do Chromium ‘466192044’, não teve detalhes divulgados sobre seu identificador CVE, componente afetado ou natureza da falha, a fim de proteger os usuários e evitar que atacantes desenvolvam suas próprias explorações. Desde o início do ano, o Google já corrigiu oito falhas zero-day no Chrome, que foram exploradas ou demonstradas como prova de conceito. Além disso, duas outras vulnerabilidades de severidade média foram abordadas. Os usuários são aconselhados a atualizar seus navegadores para as versões mais recentes para garantir a segurança. A atualização é especialmente relevante para usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, que também devem aplicar as correções assim que disponíveis.

O ‘golpe do cartão trocado’ é uma nova modalidade de fraude que vem se espalhando pelo Brasil, onde criminosos trocam o cartão de crédito da vítima por um idêntico, utilizando-o para realizar compras até que o golpe seja descoberto. Um caso notório ocorreu com Lucas Hiroshi, um influenciador digital que perdeu R$ 4.000 após ser enganado por um ambulante em São Paulo. O golpe se deu quando o vendedor alegou que a função de aproximação da maquininha não estava funcionando e pediu o cartão físico. Durante o processo de pagamento, o cartão foi trocado por um semelhante, resultando em compras fraudulentas. Para se proteger, especialistas recomendam que os consumidores nunca entreguem o cartão ao vendedor, verifiquem sempre o visor da maquininha e monitorem suas faturas regularmente. Além disso, é aconselhável desativar o pagamento por aproximação se o cartão não for utilizado com frequência. O aumento desse tipo de golpe destaca a necessidade de atenção redobrada ao usar cartões de crédito e débito em transações cotidianas.

Uma vulnerabilidade crítica no WinRAR, software amplamente utilizado para compactação e extração de arquivos, está sendo explorada ativamente por grupos de hackers, conforme alerta da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Identificada como CVE-2025-6218, a falha é do tipo travessia de diretório, permitindo a execução de códigos maliciosos através da inserção de caracteres enganosos que burlam o sistema operacional. Para que a exploração ocorra, a vítima deve acessar um arquivo ou página comprometida.

Uma vulnerabilidade crítica, identificada como React2Shell (CVE-2025-55182), foi recentemente explorada por grupos de hackers patrocinados pelo Estado norte-coreano, além de grupos chineses. Essa falha afeta várias versões do React Server Components (RSC), uma biblioteca amplamente utilizada na construção de aplicações web. A vulnerabilidade permite que atacantes executem código malicioso antes da autenticação, o que representa um risco significativo para a segurança de sistemas que utilizam essas versões. As versões afetadas incluem 19.0, 19.1.0, 19.1.1 e 19.2.0, e os especialistas recomendam que as atualizações sejam feitas imediatamente para as versões corrigidas 19.0.1, 19.1.2 e 19.2.1.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em novembro de 2025 contra a Rainbow Communications, uma provedora de telefonia e internet rural no nordeste do Kansas. No dia 16 de novembro, a Rainbow anunciou problemas de serviço devido a um evento de cibersegurança que afetou a telefonia e a internet de seus clientes, com a normalização dos serviços ocorrendo em 19 de novembro. O grupo alegou ter roubado 200 GB de dados, incluindo informações contábeis, de recursos humanos e dados de clientes, e publicou amostras desses documentos em seu site de vazamento de dados. Até o momento, a Rainbow não confirmou as alegações do grupo, e detalhes sobre a extensão da violação, o número de pessoas afetadas, se um resgate foi pago ou como a rede foi comprometida permanecem desconhecidos. O grupo Inc, que surgiu em julho de 2023, já foi responsável por 54 ataques confirmados em 2025, afetando setores como saúde, educação e governo. Os ataques de ransomware em empresas de utilidade nos EUA têm se tornado cada vez mais comuns, resultando em interrupções significativas nos serviços e riscos de fraude para os clientes.

Uma nova pesquisa revelou vulnerabilidades no .NET Framework que podem ser exploradas em aplicações empresariais, permitindo a execução remota de código. Codenomeada de ‘SOAPwn’ pela WatchTowr Labs, a falha afeta produtos como Barracuda Service Center RMM e Ivanti Endpoint Manager, além de potencialmente impactar outros fornecedores devido à ampla utilização do .NET. A vulnerabilidade permite que atacantes abusem de importações de WSDL e proxies de cliente HTTP para executar código arbitrário, explorando erros na manipulação de mensagens SOAP. Um cenário hipotético de ataque envolve o uso de um caminho UNC para direcionar solicitações SOAP a um compartilhamento SMB controlado pelo atacante, possibilitando a captura de desafios NTLM. Além disso, a pesquisa identificou um vetor de exploração mais poderoso em aplicações que geram proxies de cliente HTTP a partir de arquivos WSDL, permitindo a execução remota de código ao não validar URLs. Apesar da divulgação responsável, a Microsoft optou por não corrigir a falha, alegando que se trata de um problema de comportamento de aplicação. As versões corrigidas já estão disponíveis para algumas das aplicações afetadas, com pontuações CVSS de até 9.8, indicando um risco elevado.

A vulnerabilidade CVE-2025-55182, presente nos React Server Components (RSC), está sendo amplamente explorada por cibercriminosos para implantar mineradores de criptomoedas e diversas famílias de malware, segundo a Huntress. As ameaças incluem um backdoor Linux chamado PeerBlight, um túnel proxy reverso denominado CowTunnel e um implante pós-exploração chamado ZinFoq. Desde o início de dezembro de 2025, ataques têm sido direcionados a setores como construção e entretenimento, com o primeiro registro de exploração em um endpoint Windows em 4 de dezembro. Os atacantes utilizam ferramentas automatizadas para explorar a vulnerabilidade, que permite a execução remota de código não autenticado. Os payloads observados incluem scripts que baixam mineradores de criptomoedas e backdoors que se disfarçam como processos legítimos do sistema. A Huntress recomenda que organizações que utilizam pacotes vulneráveis atualizem imediatamente seus sistemas, dado o alto potencial de exploração e a gravidade da falha. A Shadowserver Foundation identificou mais de 165 mil endereços IP e 644 mil domínios com código vulnerável, destacando a urgência da situação.

Um ataque de clique zero, identificado por especialistas da Straiker STAR Labs, está ameaçando usuários do navegador Comet, da Perplexity AI, ao permitir que cibercriminosos excluam arquivos do Google Drive sem que a vítima precise clicar em links maliciosos. Esse ataque explora a integração entre o navegador e serviços do Google, como Gmail e Drive, que concede ao Comet acesso para gerenciar arquivos e e-mails. Os hackers podem enviar um e-mail aparentemente inofensivo que, ao ser processado pelo navegador, executa comandos que resultam na exclusão de arquivos, sem qualquer confirmação do usuário. Além disso, a vulnerabilidade permite que os atacantes controlem o OAuth do Gmail e do Drive, propagando instruções maliciosas por meio de pastas compartilhadas, afetando outros usuários. Os pesquisadores alertam que esse tipo de ataque evidencia como modelos de linguagem de grande escala podem ser manipulados para obedecer a comandos maliciosos, representando um risco significativo para a segurança dos dados dos usuários.

Uma vulnerabilidade no Google Family Link, ferramenta de controle parental do Google, está gerando preocupações entre especialistas em cibersegurança. Cibercriminosos têm conseguido bloquear contas de usuários do Gmail, tornando impossível a recuperação das mesmas. A falha ocorre quando hackers alteram a idade do usuário para 10 anos, criando um perfil infantil que fica sob seu controle. Isso impede que o proprietário original da conta realize qualquer ação de recuperação, uma vez que o sistema considera a conta como pertencente a uma criança. O Google foi notificado sobre a vulnerabilidade e está investigando o caso, mas ainda não apresentou uma solução. Relatos anteriores indicam que essa falha pode não ser nova, com usuários enfrentando problemas semelhantes há anos. A situação levanta questões sobre a eficácia do Family Link e a necessidade de uma revisão em suas funcionalidades de segurança, especialmente considerando que a idade mínima para ter uma conta no Gmail é geralmente de 13 anos. O impacto dessa vulnerabilidade pode ser significativo, especialmente para usuários que dependem do Gmail para comunicação e armazenamento de dados.

Um relatório recente da Gartner alerta que navegadores com agentes de inteligência artificial (IA) apresentam riscos significativos à segurança. A pesquisa, liderada por Dennis Xu, Evgeny Mirolyubov e John Watts, conclui que as configurações padrão desses navegadores priorizam a experiência do usuário em detrimento da segurança, expondo dados sensíveis dos usuários. Os navegadores de IA, que incluem funcionalidades como barras laterais para resumos e interações com conteúdo web, frequentemente enviam informações como histórico de navegação e abas abertas para servidores em nuvem, aumentando o risco de vazamentos de dados. O estudo recomenda que as organizações evitem o uso desses navegadores, a menos que medidas rigorosas de segurança sejam implementadas. Além disso, os especialistas alertam para o potencial de ações errôneas por parte da IA, como compras indevidas ou preenchimento incorreto de formulários. Para mitigar esses riscos, é sugerido o bloqueio do acesso das IAs a e-mails e a revisão das configurações de privacidade dos navegadores. A conclusão é que, sem uma análise de risco adequada, o uso de navegadores de IA é considerado perigoso.

Uma análise da Trend Micro revelou a evolução da campanha maliciosa Water Saci, que utiliza o malware SORVEPOTEL para se propagar através do WhatsApp Web, especialmente entre usuários brasileiros. Os hackers mudaram suas táticas, substituindo o código PowerShell por Python, o que aumentou a compatibilidade com navegadores e a eficiência na automação do ataque. A campanha se baseia em engenharia social, induzindo os usuários a interagir com conteúdos maliciosos, como arquivos ZIP e PDF, além de mensagens fraudulentas que simulam atualizações do Adobe Acrobat.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade no WinRAR, rastreada como CVE-2025-6218, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. Essa falha, com uma pontuação CVSS de 7.8, é um bug de travessia de caminho que pode permitir a execução de código, exigindo que a vítima acesse uma página maliciosa ou abra um arquivo comprometido. A vulnerabilidade foi corrigida pela RARLAB na versão 7.12 do WinRAR, lançada em junho de 2025, e afeta apenas versões do Windows. A exploração dessa falha pode permitir que arquivos sejam colocados em locais sensíveis, como a pasta de inicialização do Windows, levando à execução não intencional de código na próxima entrada do sistema. Relatórios indicam que grupos de ameaças, como GOFFEE e Bitter, têm explorado essa vulnerabilidade em ataques direcionados, incluindo campanhas de phishing. A CISA alertou que agências federais devem aplicar as correções necessárias até 30 de dezembro de 2025 para proteger suas redes.

Recentemente, Fortinet, Ivanti e SAP lançaram atualizações para corrigir vulnerabilidades críticas em seus produtos que poderiam permitir a execução de código e a bypass de autenticação. As falhas da Fortinet, identificadas como CVE-2025-59718 e CVE-2025-59719, afetam o FortiOS, FortiWeb, FortiProxy e FortiSwitchManager, com uma pontuação CVSS de 9.8. A vulnerabilidade permite que atacantes não autenticados contornem a autenticação do FortiCloud SSO por meio de mensagens SAML manipuladas. Para mitigar o risco, recomenda-se desativar essa funcionalidade até que a atualização seja aplicada.

Em dezembro de 2025, a Microsoft lançou atualizações para corrigir 56 vulnerabilidades em seus produtos, incluindo três classificadas como Críticas. Entre as falhas, destaca-se a CVE-2025-62221, uma vulnerabilidade de uso após a liberação de memória no Windows Cloud Files Mini Filter Driver, que está sendo explorada ativamente. Essa falha permite que atacantes autorizados elevem seus privilégios e obtenham permissões de sistema. Além disso, foram identificadas outras vulnerabilidades significativas, como a CVE-2025-54100 e a CVE-2025-64671, ambas relacionadas a injeções de comando em PowerShell e GitHub Copilot, respectivamente. A exploração dessas falhas pode levar a compromissos de segurança em larga escala, especialmente quando combinadas com técnicas de engenharia social. A CISA dos EUA já incluiu a CVE-2025-62221 em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais apliquem o patch até 30 de dezembro de 2025. O total de CVEs corrigidos pela Microsoft em 2025 ultrapassou 1.275, destacando a crescente preocupação com a segurança em suas plataformas.

A gangue de ransomware DragonForce reivindicou um ataque cibernético à cidade de La Vergne, no Tennessee, que resultou na interrupção dos sistemas de computador da administração local. Em um comunicado emitido em 17 de outubro de 2025, os oficiais da cidade informaram que estavam investigando um incidente de rede que comprometeu os servidores do governo, com a gangue afirmando ter roubado 382 GB de dados. DragonForce deu um prazo de uma semana para que a cidade pagasse um valor não revelado em resgate, ameaçando divulgar os dados roubados caso a exigência não fosse atendida. Embora a cidade tenha tomado medidas imediatas para isolar os sistemas afetados e envolvido profissionais de cibersegurança e autoridades policiais, ainda não há confirmação sobre a veracidade das alegações da gangue. Este ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais nos Estados Unidos, com mais de 70 incidentes confirmados em 2025, comprometendo cerca de 450 mil registros. A situação destaca a vulnerabilidade das infraestruturas governamentais e a necessidade urgente de medidas de proteção e resposta a incidentes.

Um novo relatório da Recorded Future revela que o grupo de cibercriminosos conhecido como GrayBravo, anteriormente identificado como TAG-150, está utilizando um carregador de malware chamado CastleLoader em quatro clusters de atividade distintos. Este grupo é caracterizado por sua sofisticação técnica e rápida adaptação às reportagens públicas. O CastleLoader é um componente central de uma infraestrutura de malware como serviço (MaaS), permitindo que outros atores do crime cibernético o utilizem. Entre as ferramentas associadas ao GrayBravo estão o trojan de acesso remoto CastleRAT e o framework de malware CastleBot, que é responsável por injetar módulos maliciosos em sistemas vulneráveis. Os ataques são direcionados a setores específicos, como logística e transporte, utilizando técnicas de phishing e malvertising. A análise também destaca a utilização de contas fraudulentas em plataformas de correspondência de frete para aumentar a credibilidade das campanhas de phishing. A crescente adoção do CastleLoader por diversos grupos de ameaças indica uma proliferação rápida de ferramentas avançadas no ecossistema cibernético, o que representa um risco significativo para empresas em diversos setores.

Um novo malware chamado EtherRAT, vinculado a atores de ameaças da Coreia do Norte, está explorando uma vulnerabilidade crítica recentemente divulgada no React Server Components (RSC). Essa falha, identificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. O EtherRAT utiliza contratos inteligentes do Ethereum para resolver comandos de controle e possui cinco mecanismos independentes de persistência no Linux, o que permite que ele mantenha acesso contínuo aos sistemas infectados. O ataque geralmente começa com uma abordagem de engenharia social, onde os desenvolvedores de blockchain e Web3 são alvos de entrevistas de emprego falsas. Após a exploração da vulnerabilidade, um script shell é baixado e executado, instalando o malware. O EtherRAT se destaca por sua capacidade de se atualizar e por usar um mecanismo de votação de consenso entre nove endpoints RPC do Ethereum para obter URLs de servidores de comando e controle, dificultando a detecção e a neutralização. Essa evolução na exploração da vulnerabilidade do React representa um desafio significativo para as defesas tradicionais, exigindo atenção especial dos profissionais de segurança cibernética.

Um vazamento de dados na plataforma MagicEdit, uma ferramenta de geração de imagens com inteligência artificial, revelou a existência de cerca de um milhão de deepfakes pornográficos, incluindo conteúdos envolvendo crianças. O pesquisador de cibersegurança Jeremiah Fowler descobriu que o banco de dados da plataforma continha imagens e vídeos manipulados, muitos dos quais apresentavam sobreposições de rostos de adultos em corpos de menores, levantando sérias preocupações sobre consentimento e exploração. Após a descoberta, a MagicEdit restringiu o acesso ao seu banco de dados e iniciou uma investigação sobre o incidente. O aplicativo, que era destinado a usuários maiores de 18 anos, foi descrito na App Store como contendo conteúdo sexual, mas o vazamento expôs um uso indevido alarmante da tecnologia. Fowler alertou sobre os riscos de chantagem e outros crimes associados a esses deepfakes, embora sua análise tenha sido feita para fins educacionais. O incidente destaca a necessidade urgente de regulamentação e proteção contra o uso indevido da inteligência artificial na criação de conteúdos prejudiciais.

O furto das joias da coroa francesa no Louvre expôs uma falha crítica na segurança digital da instituição, que utilizava a senha ‘LOUVRE’ para seu sistema de monitoramento. Este incidente, que chocou o mundo devido ao valor histórico das peças, destaca um problema recorrente na cibersegurança: a utilização de senhas fracas e a negligência com práticas básicas de segurança. O artigo ressalta que muitos profissionais ainda tratam a infraestrutura física e os sistemas de TI como mundos separados, resultando em vulnerabilidades como senhas óbvias, falta de autenticação multifator (MFA) e sistemas operacionais desatualizados. No Brasil, é comum encontrar organizações que mantêm senhas padrão e contas de manutenção com privilégios elevados, o que torna a segurança digital ainda mais precária. A segurança deve começar com visibilidade e controle rigoroso de credenciais, além de uma cultura de segurança que priorize a proteção de todos os sistemas, independentemente de sua classificação de criticidade. O caso do Louvre serve como um alerta para empresas brasileiras, que precisam adotar medidas proativas para evitar que falhas simples resultem em consequências desastrosas.

Um estudante universitário de Bangladesh está vendendo acesso a sites vulneráveis, incluindo páginas de governos e universidades, através do Telegram. O acesso a sites menores é comercializado por preços que variam de US$ 3 a US$ 4, enquanto sites de instituições renomadas podem custar até US$ 200. A pesquisa da empresa de segurança Cyderes revelou que o estudante vende mais de 5.200 sites, sendo a maioria localizada na Ásia, com destaque para a Indonésia e Índia. Os compradores, que incluem tanto indivíduos em busca de lucro financeiro quanto aqueles interessados em espionagem internacional, utilizam uma ferramenta de comando e controle chamada Beima, que é sofisticada e furtiva. O malware Beima é projetado para roubar dados e se esconder no sistema, sendo considerado indetectável por ferramentas de segurança modernas. O artigo destaca a vulnerabilidade de sites mal configurados, especialmente aqueles que utilizam WordPress e cPanel, e a necessidade urgente de medidas de segurança para proteger informações sensíveis.

A ASUS confirmou a exposição de dados devido a uma brecha em uma empresa terceirizada, relacionada ao vazamento de amostras do ransomware Everest. Os hackers, que afirmam ter invadido a ASUS, ArcSoft e Qualcomm, publicaram informações sobre os dados roubados em um site na rede Tor. Segundo a empresa, os dados expostos incluem códigos-fonte de câmeras de celulares, mas não afetaram produtos, sistemas internos ou dados de usuários. A ASUS está reforçando a segurança de sua cadeia de suprimentos conforme os padrões de cibersegurança atuais. O grupo Everest divulgou que a invasão resultou em uma base de dados de 1 TB, contendo informações como módulos de segmentação binários, logs de memória e dados de câmeras. Especialistas alertam que a exposição de códigos de câmeras pode permitir que atacantes explorem vulnerabilidades em dispositivos móveis. A situação destaca a importância da segurança em toda a cadeia de suprimentos e a necessidade de vigilância contínua contra ameaças cibernéticas.

O Google anunciou novas funcionalidades de segurança para o navegador Chrome, integrando capacidades de inteligência artificial (IA) para mitigar riscos de segurança. Entre as inovações, destaca-se o ‘User Alignment Critic’, que avalia de forma independente as ações do agente de IA, garantindo que estas estejam alinhadas com os objetivos do usuário e não sejam influenciadas por conteúdos maliciosos. Essa abordagem é complementada por um sistema de ‘Agent Origin Sets’, que limita o acesso do agente a dados de origens relevantes, prevenindo vazamentos de dados entre sites. Além disso, o navegador agora exige a aprovação do usuário antes de acessar sites sensíveis, como portais bancários. O Google também implementou um classificador de injeção de prompts, que atua em paralelo ao modelo de planejamento, bloqueando ações baseadas em conteúdos potencialmente maliciosos. Para incentivar a pesquisa em segurança, a empresa oferece recompensas de até $20.000 por demonstrações que consigam violar essas novas barreiras de segurança. A iniciativa surge em um contexto onde especialistas alertam sobre os riscos associados ao uso de navegadores com IA, especialmente em ambientes corporativos. A pesquisa da Gartner recomenda que as empresas evitem o uso de navegadores de IA até que os riscos sejam adequadamente gerenciados.

O modelo de segurança Zero Trust tem se mostrado eficaz na redução da superfície de ataque e na resposta a ameaças, mas muitas organizações ainda enfrentam dificuldades em sua implementação devido à falta de comunicação entre ferramentas de segurança. Segundo a Accenture, 88% das empresas relatam desafios significativos nesse processo. O Shared Signals Framework (SSF) surge como uma solução para padronizar a troca de eventos de segurança, mas sua adoção ainda é desigual, como exemplificado pelo Kolide Device Trust, que não suporta SSF atualmente.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Pesquisadores de cibersegurança descobriram duas extensões maliciosas no Marketplace do Microsoft Visual Studio Code (VS Code) que visam infectar máquinas de desenvolvedores com malware do tipo stealer. As extensões, que se apresentavam como um tema escuro premium e um assistente de codificação baseado em inteligência artificial, na verdade, possuíam funcionalidades ocultas para baixar cargas adicionais, capturar telas e roubar dados. As informações coletadas eram enviadas a um servidor controlado por atacantes. As extensões identificadas foram ‘BigBlack.bitcoin-black’, que teve 16 instalações, e ‘BigBlack.codo-ai’, com 25 instalações, ambas removidas pela Microsoft em dezembro de 2025. O malware era capaz de roubar senhas de Wi-Fi, acessar o conteúdo da área de transferência e sequestrar sessões de navegador. Além disso, versões anteriores das extensões permitiam a execução de scripts PowerShell para baixar arquivos maliciosos. O ataque destaca a vulnerabilidade de ferramentas amplamente utilizadas por desenvolvedores e a necessidade de vigilância constante em relação a pacotes de software. O incidente é um alerta sobre a segurança na cadeia de suprimentos de software, especialmente em um cenário onde pacotes maliciosos também foram identificados em outras plataformas como Go e npm.

Organizações canadenses estão sendo alvo de uma campanha cibernética direcionada, orquestrada pelo grupo de ameaças STAC6565, conforme relatado pela empresa de cibersegurança Sophos. Entre fevereiro de 2024 e agosto de 2025, foram investigadas quase 40 intrusões ligadas a esse ator, que também é associado ao grupo de hackers Gold Blade. Inicialmente focado em espionagem cibernética, o grupo evoluiu para uma operação híbrida que combina roubo de dados com ataques de ransomware, utilizando um malware personalizado chamado QWCrypt.

A Subaru, montadora japonesa, está enfrentando críticas após relatos de que anúncios pop-up começaram a aparecer nos sistemas de infotainment de seus veículos na América do Norte. Proprietários relataram que os anúncios, como um para o serviço Sirius XM, surgiram enquanto dirigiam, causando distrações perigosas. Um usuário mencionou ter quase se acidentado devido a um desses anúncios enquanto dirigia a 88 km/h. Embora alguns usuários afirmem que é possível evitar os anúncios ao selecionar a opção ’não mostrar novamente’, outros relatam que os pop-ups ocorrem com frequência, causando desconforto e distração. A Subaru declarou que não tinha conhecimento de tais problemas e não havia recebido reclamações diretas de clientes. A tendência de anúncios em veículos não é exclusiva da Subaru; outras montadoras, como a Stellantis, também estão implementando essa prática, o que levanta preocupações sobre a segurança e a privacidade dos motoristas. A introdução de anúncios em sistemas de infotainment pode ser vista como uma nova fonte de receita para as montadoras, mas muitos motoristas consideram essa prática intrusiva e potencialmente perigosa.

O FBI emitiu um alerta sobre um novo golpe que utiliza fotos e vídeos de redes sociais, como o Instagram, para realizar sequestros virtuais e extorsões. Os cibercriminosos alteram imagens de vítimas para criar cenários convincentes e, em seguida, entram em contato com as famílias, alegando que sequestraram um membro da família. Para a liberação do suposto refém, exigem um pagamento de resgate. Os golpistas também podem usar informações reais de pessoas desaparecidas, aumentando a credibilidade do golpe. A técnica de engenharia social é utilizada para provocar medo e urgência, levando as vítimas a agir impulsivamente. O FBI recomenda que as pessoas verifiquem a veracidade das alegações antes de tomar qualquer ação e que evitem compartilhar informações pessoais nas redes sociais. Além disso, é importante que as famílias tentem contatar a suposta vítima antes de realizar qualquer pagamento. O uso de inteligência artificial para modificar imagens é uma preocupação crescente, tornando os golpes mais sofisticados e difíceis de detectar.

Uma pesquisa da empresa de segurança Aikido revelou que ferramentas de inteligência artificial (IA) utilizadas em desenvolvimento de software, como Claude Code, Google Gemini e Codex da OpenAI, podem ser vulneráveis a injeções de prompts maliciosos. Essa vulnerabilidade ocorre quando essas ferramentas são integradas em fluxos de trabalho automatizados, como GitHub Actions e GitLab. Agentes maliciosos podem enviar comandos disfarçados de mensagens de commit ou pedidos de pull, levando a IA a interpretá-los como instruções legítimas. Isso representa um risco significativo, pois muitos modelos de IA possuem altos privilégios em repositórios do GitHub, permitindo ações como edição de arquivos e publicação de conteúdo malicioso. Aikido já reportou a falha ao Google, que corrigiu a vulnerabilidade no Gemini CLI, mas a pesquisa indica que o problema é estrutural e afeta a maioria dos modelos de IA. A falha é considerada extremamente perigosa, pois pode resultar no vazamento de tokens privilegiados do GitHub. A situação exige atenção redobrada dos desenvolvedores e gestores de segurança da informação para evitar possíveis explorações.

O pesquisador de segurança Ari Marzouk identificou mais de 30 vulnerabilidades em Ambientes Integrados de Desenvolvimento (IDEs) que utilizam inteligência artificial para assistência. Essas falhas, coletivamente chamadas de IDEsaster, permitem que atacantes realizem injeções de prompt, utilizando ferramentas legítimas do sistema para roubar dados e executar códigos remotamente. Entre as IDEs afetadas estão Cursor, GitHub Copilot e Zed.dev, com 24 das vulnerabilidades já registradas como CVEs. Marzouk destaca que as IAs de IDE ignoram o software base em suas análises de segurança, considerando as ferramentas como seguras, o que as torna vulneráveis quando um agente de IA é integrado. Os vetores de ataque incluem a manipulação de contextos e a execução de ações sem interação do usuário. Para mitigar esses riscos, recomenda-se que os usuários utilizem IDEs apenas em projetos confiáveis e monitorem constantemente as conexões com servidores. Além disso, é importante revisar manualmente as fontes adicionadas e estar atento a instruções ocultas que possam ser utilizadas para exploração maliciosa.

Pesquisadores de cibersegurança identificaram uma nova campanha chamada JS#SMUGGLER, que utiliza sites comprometidos para distribuir um trojan de acesso remoto conhecido como NetSupport RAT. A análise da Securonix revela que a cadeia de ataque envolve um carregador JavaScript ofuscado injetado em um site, um aplicativo HTML (HTA) que executa estagiários PowerShell criptografados via ‘mshta.exe’, e um payload PowerShell que baixa e executa o malware principal. O NetSupport RAT permite controle total do host comprometido, incluindo acesso remoto, operações de arquivos e roubo de dados. A campanha, que ainda não está ligada a nenhum grupo de ameaças conhecido, visa usuários empresariais e utiliza técnicas sofisticadas de evasão, como iframes ocultos e execução em camadas de scripts. Os pesquisadores recomendam a implementação de medidas de segurança robustas, como monitoramento de scripts e restrições ao mshta.exe, para detectar e mitigar esses ataques.

O artigo explora a dualidade do hacking, apresentando as categorias de hackers: White Hat, Black Hat e Gray Hat. Os hackers Black Hat são aqueles que realizam atividades ilegais e maliciosas, como roubo de dados e ciberespionagem, enquanto os White Hats são hackers éticos que utilizam suas habilidades para proteger sistemas, sendo contratados por empresas para identificar e corrigir vulnerabilidades. Já os Gray Hats operam em uma zona ambígua, invadindo sistemas sem autorização, mas sem intenções destrutivas. A distinção entre hackers e crackers também é abordada, destacando que hackers são entusiastas que buscam entender sistemas, enquanto crackers são aqueles que invadem sistemas com intenções maliciosas. O artigo também menciona as formas de atuação dos hackers éticos, como testes de intrusão (pentests) e programas de recompensa por identificação de falhas (bug bounty). Essa discussão é relevante para a compreensão do papel dos hackers na segurança cibernética e na proteção de dados.

A WatchGuard Technologies divulgou um relatório com previsões para a cibersegurança em 2026, destacando a crescente importância da inteligência artificial e das regulamentações de segurança digital. Segundo os especialistas Marc Laliberte e Corey Nachreiner, os crypto-ransomwares devem diminuir, pois as empresas estão adotando melhores práticas de backup e recuperação, tornando-se menos propensas a pagar resgates. Em contrapartida, os ataques focados em roubo de dados e chantagem por exposição pública devem aumentar. Além disso, a segurança do ecossistema open source pode ser ameaçada por ataques a repositórios como NPM e PyPI, levando à necessidade de defesas automatizadas baseadas em IA. Com a implementação do Cyber Resilience Act na Europa, empresas terão apenas 24 horas para reportar vulnerabilidades, o que pode acelerar a adoção de práticas de segurança. A previsão é que em 2026 ocorra o primeiro ataque totalmente executado por IA, ressaltando a urgência de defesas igualmente automatizadas. Falhas de configuração e ataques a portas de VPN continuarão a ser vulnerabilidades significativas, especialmente para pequenas e médias empresas, que devem adotar medidas de segurança do tipo Zero Trust.

No terceiro trimestre de 2025, a Cloudflare reportou um aumento alarmante nos ataques DDoS, com picos de até 29,7 Tbps, impulsionados pela botnet Aisuru. Essa rede, composta por 1 a 4 milhões de dispositivos, é responsável por 8,3 milhões de ataques, um aumento de 15% em relação ao trimestre anterior e 40% em relação ao ano passado. Os ataques DDoS cresceram 54%, resultando em uma média de 14 incidentes diários. O setor de inteligência artificial foi particularmente afetado, com um aumento de 347% no tráfego DDoS. Os setores de telecomunicações, jogos online e financeiro também foram visados, com consequências severas, incluindo quedas de internet. A severidade dos ataques aumentou, com um crescimento de 189% em incidentes acima de 100 Mbps e 227% em ataques que superam 1 Tbps. A Indonésia se destacou como a principal origem global desses ataques, refletindo um cenário de cibersegurança cada vez mais complexo e desafiador.

Um novo spyware chamado Predator, desenvolvido pela empresa de vigilância Intellexa, está gerando preocupações entre especialistas em cibersegurança. Este software malicioso utiliza um mecanismo de ‘clique zero’, permitindo que dispositivos sejam infectados apenas pela visualização de anúncios maliciosos. O spyware, identificado como Aladdin, foi descoberto em uma investigação que revelou como empresas ao redor do mundo serviam como fachada para a disseminação do malware. Os anúncios maliciosos são exibidos em sites e aplicativos confiáveis, disfarçados entre propagandas legítimas. A técnica utilizada pelo Aladdin força a exibição de anúncios direcionados a alvos específicos, identificados por seus endereços IP, através de uma Plataforma de Demanda (DSP) que automatiza a compra de publicidade digital. Isso levanta um alerta significativo, pois o usuário não precisa interagir com o anúncio para ser afetado; a simples visualização é suficiente para comprometer o dispositivo. Até o momento, não há informações detalhadas sobre como o spyware compromete os sistemas, mas especula-se que isso possa ocorrer por meio de redirecionamentos para servidores de exploração da Intellexa.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.

O período de festas, especialmente em torno do Black Friday e do Natal, intensifica os riscos de segurança cibernética, com ataques automatizados visando fraudes e tentativas de acesso a contas. Relatórios da indústria indicam que ataques como credential stuffing e roubo de credenciais aumentam significativamente, pois os atacantes utilizam listas de nomes de usuário e senhas vazadas para acessar portais de login de varejistas. O histórico de violações, como o caso da Target em 2013, destaca a importância de proteger não apenas as contas internas, mas também as credenciais de terceiros. Para mitigar esses riscos, recomenda-se a implementação de autenticação multifator (MFA) adaptativa, que equilibra a segurança com a experiência do usuário. Além disso, é crucial bloquear credenciais comprometidas e adotar práticas de gerenciamento de senhas que priorizem a segurança sem sobrecarregar os usuários. O artigo também enfatiza a importância de testar procedimentos de failover para garantir a continuidade operacional durante picos de vendas. Ferramentas como o Specops Password Policy podem ajudar a prevenir abusos de credenciais, oferecendo controles eficazes antes das semanas de pico de vendas.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes alarmantes. Um dos destaques é a exploração de uma falha crítica no React Server Components, conhecida como CVE-2025-55182, que permite a execução remota de código por atacantes não autenticados. Essa vulnerabilidade foi rapidamente explorada por grupos de hackers, especialmente da China, resultando em quase 29 mil endereços IP vulneráveis detectados. Além disso, mais de 30 falhas em ambientes de desenvolvimento integrados (IDEs) alimentados por inteligência artificial foram reveladas, permitindo a exfiltração de dados e execução remota de código. Outro ponto preocupante é o uso de aplicativos bancários falsos por grupos criminosos, como o GoldFactory, que têm atacado usuários na Indonésia, Tailândia e Vietnã, utilizando engenharia social para disseminar malware. No Brasil, campanhas de malware bancário estão sendo disseminadas via WhatsApp, com variantes como Casbaneiro e Astaroth, que exploram a confiança dos usuários em contatos conhecidos. Por fim, a Cloudflare conseguiu mitigar um ataque DDoS recorde de 29,7 Tbps, evidenciando a crescente sofisticação das ameaças. O cenário exige atenção redobrada das organizações para proteger suas infraestruturas e dados.

O grupo de hackers iraniano MuddyWater foi identificado utilizando uma nova backdoor chamada UDPGangster, que opera através do protocolo UDP para fins de comando e controle (C2). A atividade de ciberespionagem tem como alvo usuários na Turquia, Israel e Azerbaijão, conforme relatado pelo Fortinet FortiGuard Labs. O malware permite o controle remoto de sistemas comprometidos, possibilitando a execução de comandos, exfiltração de arquivos e implantação de cargas adicionais, tudo isso através de canais UDP que visam evitar defesas de rede tradicionais.

Em 1990, Kevin Poulsen, conhecido como Dark Dante, ganhou um Porsche 944 S2 em um concurso da rádio KIIS-FM, utilizando técnicas de phreaking para garantir sua vitória. Poulsen e seus cúmplices invadiram o sistema telefônico da Pacific Bell, bloqueando todas as chamadas para a rádio até que ele pudesse fazer a 102ª ligação, que o tornaria o vencedor. Essa manobra não foi apenas uma demonstração de habilidade em hacking, mas também um crime que o levou a ser procurado pelo FBI. Após ser capturado, Poulsen cumpriu cinco anos de prisão e se tornou o primeiro americano a ser proibido de usar a internet após a liberação. Em vez de seguir a carreira de hacker, ele se tornou jornalista, contribuindo para a cibersegurança e participando de eventos significativos, como a divulgação dos WikiLeaks. A história de Poulsen ilustra como a evolução da tecnologia e da segurança cibernética dificultou a repetição de tais golpes, uma vez que os sistemas modernos são muito mais seguros e monitorados em tempo real.

O phishing é uma técnica de cibercrime que visa enganar usuários para coletar dados sensíveis, como senhas e informações bancárias. Desde sua origem nos anos 1990, essa prática evoluiu, utilizando engenharia social e tecnologias avançadas, como inteligência artificial, para criar ataques mais sofisticados. Os cibercriminosos manipulam as vítimas por meio de mensagens que geram urgência ou curiosidade, como alertas de contas bloqueadas ou ofertas imperdíveis. Para se proteger, é essencial saber identificar e-mails falsos. Sinais básicos incluem verificar o remetente, usar o teste do mouseover para checar links e desconfiar de saudações genéricas. Além disso, técnicas mais avançadas, como spoofing de domínio e ataques homográficos, são frequentemente utilizadas para enganar os usuários. Para evitar ser enganado, recomenda-se não interagir com mensagens suspeitas, não clicar em links e utilizar ferramentas de análise para verificar a segurança de links. A desconfiança é a melhor defesa contra esses ataques.