A crescente sofisticação dos ataques de phishing tornou o ambiente digital mais desafiador do que nunca em 2025. Cibercriminosos têm apostado em métodos inovadores, combinando documentos PDF perfeitamente falsificados com estratégias de engenharia social que envolvem ligações telefônicas. Esse tipo de ataque, conhecido como phishing de retorno de chamada ou TOAD (Telephone-Oriented Attack Delivery), representa hoje uma preocupação central no universo da segurança da informação.
Neste contexto, o phishing de retorno de chamada se destacou ao explorar a confiança dos usuários em marcas consagradas como Microsoft, DocuSign, PayPal, entre outras. Hackers utilizam PDFs aparentando autenticidade para convencer as vítimas a fazer contato telefônico com falsas centrais de atendimento. Esse método dribla defesas tecnológicas e coloca o fator humano no centro das tentativas de fraude.
Como funciona o phishing de retorno de chamada?
O phishing de retorno de chamada é caracterizado pelo envio de documentos aparentemente inofensivos, geralmente no formato PDF, que simulam faturas ou notificações importantes. Esses arquivos trazem, de modo dissimulado, um número de telefone para suposto suporte ou cancelamento. Ao ligar para esse contato, o usuário é atendido por um falso representante, apto a coletar informações sigilosas ou induzi-lo a instalar ferramentas maliciosas no computador.
Uma peça-chave desse golpe consiste em forjar situações de urgência, como a cobrança de um serviço não solicitado ou renovações automáticas. Ao lado disso, há uma tendência crescente no uso de liguês que envolvem marcas reconhecidas, o que amplia a eficiência da fraude. O reconhecimento visual de layouts, logos e termos corporativos nos PDFs aumenta o nível de persuasão do ataque. Novos relatos de 2025 apontam para o uso de múltiplos canais de contato, incluindo mensagens SMS, para reforçar a urgência e confusão da vítima antes que ela faça a ligação ao número fraudulento.
Quais marcas e técnicas estão sendo exploradas no TOAD?
No escopo do phishing de retorno de chamada, algumas empresas são recorrentes nas tentativas de golpe. Entre elas, destacam-se Microsoft, DocuSign, NortonLifeLock, PayPal e Geek Squad. Os criminosos têm habilidade para replicar elementos visuais e textuais, tornando PDFs falsificados quase indistinguíveis dos documentos originais.
A sofisticação do TOAD também se apoia em técnicas como:
- Urgência: Sugerem ação imediata para evitar supostos prejuízos financeiros.
- Autoridade: Passam-se por colaboradores de empresas globalmente reconhecidas.
- Ambiguidade: Induzem o usuário a buscar esclarecimento exclusivamente pelo telefone fornecido no documento.
Como os PDFs maliciosos ampliam o phishing de callback?
O uso de PDFs maliciosos neste contexto tem função estratégica. Esses arquivos raramente contêm vírus ou links clicáveis tradicionais, o que dificulta a identificação por soluções de antivírus. No lugar disso, trazem orientações precisas para que o usuário execute ações offline — como realizar uma ligação ou escanear um QR code.
Muitos documentos apostam em detalhes visuais realistas e até incorporam dados da própria vítima, obtidos a partir de vazamentos anteriores. Ao misturar o digital com o contato pessoal, os criminosos elevam o nível de convencimento, tornando o reconhecimento do golpe mais desafiador. Vale mencionar, ainda, o emprego de QR codes enganosos, que direcionam usuários a páginas de fraude ou ativam procedimentos complementares ao golpe.
Em vários ataques recentes, recursos legítimos do Microsoft 365 têm sido explorados para o envio de e-mails que passam por verificações de autenticidade, o que aumenta o grau de riscos mesmo em ambientes corporativos monitorados. Casos documentados em grandes empresas em 2025 mostram que, com o uso de automação e IA, golpistas adaptam rapidamente templates de PDFs para evitar bloqueios por filtros convencionais.
Como se proteger do phishing de retorno de chamada?
O enfrentamento ao phishing de callback exige atenção a práticas de cibersegurança básicas, sobretudo na triagem de mensagens e documentos suspeitos. Algumas medidas são recomendadas para minimizar riscos:
- Desconfiar de cobranças inusitadas ou comunicações com caráter urgente.
- Nunca acionar números ou links presentes em documentos recebidos por e-mail, sem antes apurar a autenticidade junto ao site oficial da empresa.
- Evitar escanear QR codes provenientes de fontes não confiáveis.
- Observar detalhadamente o domínio do remetente.
- Utilizar ferramentas como a autenticação multifator (MFA) em contas digitais.
- Manter sistemas atualizados e acompanhar treinamentos de segurança.
Empresas têm papel estratégico nesse processo, devendo adotar filtros avançados de email, monitorar fluxos internos — especialmente no uso do recurso Direct Send do Microsoft 365 — e investir na educação frequente dos colaboradores sobre fraude digital. Técnicas recentes também recomendam o uso de gateways dedicados de segurança para bloquear convites e PDFs oriundos de fontes temporárias ou domínios frequentemente associados a fraudes.
Como a manipulação de IA e SEO malicioso influenciam o cenário de ameaças?
Nos últimos anos, ferramentas baseadas em inteligência artificial e técnicas de manipulação de SEO (como o hacklink) ampliaram a complexidade dos ataques. Criminosos inserem códigos maliciosos em sites de reputação consolidada, explorando sua visibilidade nos mecanismos de busca para aumentar o alcance dos golpes.
Além disso, há um movimento perceptível de “envenenamento” de modelos de linguagem como LLMs, capazes de sugerir URLs perigosas ou apresentar respostas distorcidas quando questionados sobre links de serviços conhecidos. Essa manipulação transforma assistentes virtuais em possíveis vetores de ataque, afetando principalmente usuários que confiam cegamente nessas fontes para obter informações oficiais e seguras.
Quais são os sinais de que um documento PDF pode ser fraudulento?
Embora muitos PDFs fraudulentos sejam sofisticados, existem sinais que podem levantar suspeitas quanto à autenticidade desses arquivos. Indícios frequentes incluem pequenos erros de ortografia ou gramática, inconsistências no design, logos ligeiramente alterados e instruções para entrar em contato exclusivamente por telefone, sem oferecer alternativas oficiais. Além disso, documentos que pedem atualização de informações pessoais de forma urgente ou contêm informações imprecisas sobre o destinatário são alertas importantes. Em alguns casos, o próprio nome do arquivo pode ser suspeito, misturando códigos e números aleatórios que não condizem com padrões normais de organizações legítimas. Existem também soluções de mercado em 2025 que utilizam IA para analisar automaticamente metadados e inconsistências visuais em PDFs suspeitos.
De que forma o uso de deepfakes pode agravar ataques de phishing de callback?
O avanço dos deepfakes permite a criação de áudios e vídeos extremamente realistas falsificando vozes ou rostos de colaboradores e representantes de empresas reconhecidas. Em ataques de phishing de callback, criminosos podem utilizar áudios deepfake para enganar usuários durante ligações telefônicas, simulando a voz de funcionários reais e ampliando consideravelmente a persuasão da fraude. Situações em que a vítima recebe, por exemplo, uma chamada de alguém que aparenta ser um gerente de banco ou suporte técnico tornam ainda mais difícil a identificação do golpe. Esse recurso tecnológico representa um desafio adicional para os mecanismos tradicionais de autenticação baseados apenas em reconhecimento de voz ou imagem. Especialistas de segurança preveem que, em breve, ferramentas antifraude dedicadas ao reconhecimento de deepfakes em tempo real se tornarão essenciais no contexto corporativo.
