Ataques de phishing concentrados em Outlook e Gmail ampliaram escala e sofisticação no terceiro trimestre de 2025, explorando URLs comprometidas e cadeias de redirecionamento para contornar verificações convencionais.
Descoberta e panorama
Relatório de ameaças de e-mail do Q3 2025 da VIPRE analisou 1,8 bilhão de mensagens e identificou um aumento de 26 milhões de mensagens maliciosas em relação ao mesmo período do ano anterior — crescimento de 13% ano a ano. Segundo a VIPRE, mais de 90% das campanhas de phishing concentram-se nos dois maiores ecossistemas de e-mail: Microsoft Outlook e Google Gmail.
Vetor e técnica de evasão
A VIPRE descreve um padrão claro de evasão em que atacantes se aproveitam de URLs legítimas comprometidas e de técnicas de open redirect para mascarar landing pages maliciosas. Aproximadamente 79,4% das URLs de phishing registradas no trimestre se aproveitaram de websites comprometidos em vez de domínios recém-registrados, permitindo que o atacante herde pontuações de reputação de empresas legítimas.
Os invasores frequentemente fragmentam a cadeia de ataque em múltiplos redirecionamentos, o que faz com que scanners que avaliam apenas o URL de alto nível percam a cadeia completa de requisições. As vítimas clicam em links aparentemente confiáveis e são redirecionadas silenciosamente para páginas de captura de credenciais.
Formato das cargas e tática de entrega
O relatório aponta que 75% dos anexos maliciosos são PDFs, formato usado por operadores por ser geralmente confiável em comunicações empresariais. Além disso, a VIPRE detectou 148.000 anexos maliciosos inéditos que contornaram filtros tradicionais e só foram identificados por sandboxing avançado. Foram também identificados mais de 67.000 links maliciosos nunca vistos anteriormente, sinalizando evolução contínua nas técnicas de entrega.
Impacto e alcance
Ao centralizar os ataques em Outlook e Gmail, os agentes de ameaça maximizam alcance e retorno operacional, dado o enorme número de contas empresariais e pessoais nessas plataformas. A VIPRE também observou um aumento de 60% no spam comercial, que cria ruído e dificulta a distinção automática e humana entre mensagens legítimas e maliciosas.
O modelo de ataque prioriza o roubo de credenciais e takeover de contas em vez da instalação de malware persistente no endpoint. Uma vez comprometidas, credenciais de e-mail dão acesso ao inbox e a serviços conectados na nuvem, permitindo movimentação lateral dentro de organizações.
Mitigações e recomendações práticas
- Inspeção de cadeias completas: as defesas devem analisar a cadeia completa de redirecionamentos e não apenas o URL de topo.
- Sandboxing avançado: ferramentas que executam anexos em ambientes isolados foram as responsáveis pela detecção dos 148.000 anexos inéditos mencionados pela VIPRE.
- MFA e detecção de anomalias: como os ataques visam captura de credenciais, autenticadores multifator e monitoramento de logins incomuns reduzem dano pós-comprometimento.
- Políticas de restrição de links e reputação dinâmica: bloquear ou reescalar links que envolvem redirecionamentos entre sites de reputação distinta.
Limites das informações
O relatório traz contagens e percentuais concretos fornecidos pela VIPRE (1,8 bilhão de e-mails analisados; +26 milhões de mensagens maliciosas; 79,4% de URLs em sites comprometidos; 148.000 anexos inéditos; 67.000 links inéditos; 75% dos anexos em PDF). As fontes não detalham quais setores corporativos foram mais visados nem nomes de vítimas específicas.
Relevância para o Brasil e o compliance
Embora a VIPRE não mencione vítimas brasileiras, a concentração em Outlook e Gmail — amplamente usados no Brasil — torna as organizações nacionais potencialmente expostas. Em caso de comprometimento de dados pessoais, incidentes nessa escala entram no escopo da Lei Geral de Proteção de Dados (LGPD) e podem exigir comunicação às autoridades e titulares, dependendo da materialidade dos eventos.
Resumo e próximos passos
O avanço das campanhas descritas pela VIPRE reforça a necessidade de controles que vão além do filtro reputacional estático: inspeção de cadeias de redirecionamento, sandboxing de anexos, MFA e monitoramento comportamental são medidas essenciais. As organizações devem também revisar processos de resposta a incidentes e políticas de proteção de credenciais em nuvem.