8,3 mil milhões de ameaças de phishing em 90 dias: por que razão Email Security tanto de deteção como de prevenção

• O Microsoft Threat Intelligence 8,3 mil milhões de ameaças de phishing por e-mail no primeiro trimestre de 2026, tendo o phishing com códigos QR registado um aumento de 146% ao longo do trimestre e o phishing com CAPTCHA mais do que duplicado em março, em comparação com fevereiro.
• Os próprios testes de desempenho da Microsoft revelam que o Microsoft Defender elimina 70,8% dos e-mails maliciosos após a entrega, ou seja, depois de estes já terem chegado à caixa de entrada.
• O phishing gerado por IA atingiu 56 % do total de tentativas de phishing em dezembro de 2025, o que representa um aumento de 14 vezes ao longo do ano.
• Uma abordagem em várias camadas que combina deteção com prevenção, liderada pela tecnologia Deep CDR™, neutraliza as ameaças baseadas em ficheiros antes de estas chegarem aos utilizadores, independentemente de a ameaça ser conhecida ou não.

Se é responsável pela segurança do e-mail numa grande organização, o último trimestre provavelmente pareceu-lhe familiar. Uma onda de anexos com códigos QR. Um aumento repentino de ficheiros HTML com comportamento estranho. Um PDF suspeito que passou pelo gateway e foi removido das caixas de entrada horas mais tarde. Todos os alertas foram tratados, todos os tickets encerrados, mas a mesma pergunta persistente permanece: de quanto disto estamos realmente a detectar a tempo?

O relatório da Microsoft sobre o panorama das ameaças por e-mail no primeiro trimestre de 2026 revela os números concretos por trás desta questão. Em três meses, o Microsoft Threat Intelligence 8,3 mil milhões de ameaças de phishing por e-mail, registou um aumento de 146% no phishing através de códigos QR e observou que o phishing com CAPTCHA mais do que duplicou só no mês de março.

O que importa não é o volume. É a velocidade da mudança e o que ela revela sobre os limites dos controlos que se limitam à deteção.

O phishing com CAPTCHA mais do que duplicou em março (+125 %), atingindo o seu maior volume mensal em mais de um ano.

A Microsoft observou que os autores das ameaças estavam a alternar ativamente os métodos de distribuição todos os meses, testando quais os formatos que melhor conseguiam contornar as defesas de e-mail. Este comportamento é mais revelador do que o volume por si só.

• Em janeiro, os anexos HTML foram o principal método de envio (37%); registaram uma queda de 34% em fevereiro, tendo depois mais do que duplicado em março
• Os ficheiros SVG registaram um aumento de 49 % em fevereiro, tendo depois registado uma queda de 57 % em março
• Os anexos em PDF que contêm ataques de phishing protegidos por CAPTCHA mais do que quadruplicaram em março (+356 %), superando o seu máximo anual em 37 %
• As cargas de trabalho em formato DOC/DOCX aumentaram quase cinco vezes (+373 %) em março, atingindo 15 % das tentativas de phishing protegidas por CAPTCHA
• Os URLs incorporados em e-mails, que já representaram mais de metade dos casos de phishing protegidos por CAPTCHA, atingiram o nível mais baixo dos últimos oito meses, antes de registarem uma recuperação parcial

Um mecanismo de controlo configurado para detetar cargas de HTML em fevereiro pouco indica aos responsáveis pela segurança se conseguirá detetar o aumento de PDF em março.

A segurança de e-mail baseada na deteção assenta numa única questão: trata-se de uma ameaça?

No entanto, a sua eficácia depende de a solução já ter enfrentado a ameaça anteriormente (ou, pelo menos, algo semelhante). Contudo, as ameaças «zero-day» e as cargas úteis otimizadas por IA ultrapassam as verificações de assinaturas e os modelos de ML de motor único, conseguindo assim escapar à deteção. É revelador que o phishing gerado por IA tenha aumentado 14 vezes em dezembro de 2025, atingindo 56% de todas as tentativas de phishing até dezembro de 2025, de acordo com o Relatório de Tendências de Phishing da Hoxhunt, uma vez que estas ameaças são mais difíceis de detetar.

A complexidade da inspeção é agravada pela «militarização» dos formatos; os atacantes enviam conteúdo malicioso através de ficheiros HTML, PDF, SVG, DOC/DOCX e URLs. Cada formato possui a sua própria área de conteúdo ativo, que os mecanismos de deteção têm de aprender a inspecionar individualmente, o que limita ainda mais a deteção.

Por fim, os próprios testes de desempenho da Microsoft revelam que o Microsoft Defender remove, em média, 70,8% dos e-mails maliciosos após a sua entrega. As defesas nativas na nuvem apresentam lacunas, o que leva a situações de exposição, mesmo em casos de permanência breve. Quando a correção ocorre, o utilizador já pode ter aberto, reencaminhado ou agido com base num anexo malicioso.

Isto não quer dizer que a deteção já não seja importante. A segurança de e-mail baseada na deteção funciona muito bem contra ameaças conhecidas. Mas, por si só, já não é suficiente para os padrões de ameaças que a Microsoft documentou neste trimestre.

Nenhum mecanismo de segurança de e-mail elimina todas as ameaças, mas uma posição defensável consiste em garantir a máxima cobertura, o que, atualmente, significa combinar a deteção com a prevenção. Se a sua estratégia de segurança de e-mail ainda se baseia principalmente na identificação das ameaças antes de as bloquear, a rotação de cargas úteis documentada pela Microsoft neste trimestre demonstra o quão vulnerável está.

Incorporar a prevenção ao conjunto de medidas

Uma abordagem em várias camadas coloca uma questão diferente, para além da deteção: este anexo ainda contém conteúdo ativo?

A tecnologia Deep CDR™ OPSWATnão procura determinar se um ficheiro é malicioso. Partindo do princípio de que todos os ficheiros podem sê-lo, a tecnologia desconstrói os ficheiros, remove os elementos potencialmente perigosos e fornece uma versão segura. O utilizador recebe um documento funcional. A ameaça, conhecida ou desconhecida, desaparece.

Quando os PDFs que transportam cargas de phishing protegidas por CAPTCHA quadruplicaram, um ambiente protegido pela tecnologia Deep CDR™ não precisa de reconhecer a nova variante. O conteúdo ativo que permite que o ataque funcione é removido de qualquer forma. O mesmo se aplica a anexos DOC/DOCX, SVG, HTML e ZIP utilizados como armas, bem como a códigos QR incorporados em PDFs, o vetor de ataque que mais cresceu no primeiro trimestre de 2026, sendo que os PDFs representam 70% da distribuição de QR maliciosos.

A tecnologia Deep CDR™ foi certificada pela SE Labs como a primeira solução de CDR de sempre a atingir uma pontuação de 100% em proteção e precisão.

Colmatar a lacuna das vulnerabilidades de dia zero com MetaDefender

A sanitização neutraliza o conteúdo ativo. Alguns anexos continuam a exigir uma inspeção comportamental mais aprofundada, especialmente cargas úteis evasivas concebidas para parecerem inofensivas na análise estática. MetaDefender Sandbox a prevenção à análise dinâmica baseada em emulação, revelando comportamentos maliciosos em anexos suspeitos e apresentando um único veredicto fiável para uma triagem mais rápida. Com uma taxa de deteção de ataques «zero-day» de 99,9%, o Aether colmata a lacuna residual deixada apenas pela sanitização e pela análise múltipla.

MetaDefender Security™ é a resposta em várias camadas OPSWAT OPSWAT às ameaças descritas nos dados da Microsoft relativos ao primeiro trimestre de 2026. Dois modelos de implementação, a mesma base combinada de deteção e prevenção.

MetaDefender Gateway Security™ (EGS) é implementado como software à frente dos servidores de e-mail existentes, ao nível SMTP/MX. Aplica a tecnologia Deep CDR™ a mais de 200 tipos de ficheiros, MetaDefender Sandbox, o Metascan com análise múltipla em mais de 30 motores antivírus para a mais ampla cobertura de ameaças conhecidas, deteção de phishing, Proactive DLP e Predictive Alin AI, uma camada de IA de pré-execução que sinaliza anexos gerados por IA e polimórficos em milésimos de segundo, com capacidade de funcionamento offline para ambientes OT/ICS e isolados.

MetaDefender Cloud Security™ (CES) complementa os ambientes do Microsoft 365, sendo implementado em poucos minutos sem necessidade de alterar os registos MX. Contra as tendências de cargas maliciosas baseadas em ficheiros documentadas pela Microsoft (armamento de HTML, PDF, DOC, ZIP, SVG), o CES aplica a tecnologia Deep CDR™, MetaDefender , Multiscanning Metascan™ Multiscanning até 17 motores antivírus e a IA preditiva Alin para inspecionar e higienizar todos os anexos nos fluxos de e-mail de entrada e saída, incluindo ficheiros encriptados.

Graças ao nosso empenho constante em lançar no mercado inovações que garantam a segurança dos nossos clientes, mesmo face a ameaças atuais como os ataques gerados por IA, OPSWAT protege OPSWAT mais de 2 000 organizações em todo o mundo.