Phishing impulsionado por IA: o que o MDDR 2025 revela
Por CaptainDNS
Publicado em 22 de outubro de 2025
- #Phishing
- #Microsoft
- #IA
- #DMARC
Em resumo: a IA não cria um vetor novo; ela industrializa o phishing.
Por que a IA muda a economia do phishing?
- Personalização em massa: Grandes modelos de linguagem (LLMs) produzem e-mails ajustados ao perfil, tom e contexto do destinatário, eliminando erros e pistas estilísticas.
- Iteração rápida: Os atacantes testam variantes (assunto, call to action, timing) e mantêm automaticamente as versões vencedoras.
- Automação de tarefas adjacentes: Coleta de OSINT, tradução, rastreamento de rejeições, gestão de listas e descadastros simulados: tudo pode ser scriptado.
- Custos marginais quase nulos: Com o crescimento do crime-as-a-service, o preço por e-mail enviado cai; as defesas precisam voltar a ser "caras" para o atacante.
Diagrama: eficácia relativa (CTR)
Pontos de controle chave: filtragem antispam/DMARC, isolamento de navegador e EDR, autenticação forte (chaves FIDO2) e controle rigoroso das ferramentas de assistência remota.
Cadeia de ataque típica (e onde quebrá-la)
Fonte: MDDR 2025.
Medidas prioritárias (operacionais e realistas)
- MFA robusto por padrão (chaves de segurança FIDO2 em contas privilegiadas, OTP para o restante). Evite fadiga de push; ative fluxos anti-phishing (WebAuthn).
- Endureça o e-mail na borda: SPF/DKIM/DMARC em "reject", alinhamento estrito, políticas para subdomínios e monitoramento contínuo de falhas DMARC.
- Filtragem comportamental na gateway de e-mail e no proxy: detonação de URL, reputação, detecção de kits de phishing e proxys de autenticação.
- Isolamento de navegador para perfis de alto risco (finanças, RH, direção) e Safe Links/Safe Attachments.
- Controle de ferramentas RMM (Remote Monitoring & Management): allowlist rigorosa, WDAC/AppLocker, telemetria sobre Quick Assist e afins.
- Endurecimento de identidade: MFA + geofencing, avaliação de risco de sessão, tokens de curta duração, Continuous Access Evaluation.
- Desative anexos ativos (macros, HTA, LNK) e neutralize SVGs ativos (ofuscação JavaScript).
- Exercícios contínuos: campanhas de conscientização curtas e frequentes, simulações adaptadas por função, ciclos de feedback sem culpabilização.
- Procedimentos de escalonamento: canal dedicado "phishing-SOS" (chat), tratamento em < 15 minutos, playbook pronto reset+revoke+report.
- Monitoramento de domínios look-alike: registros defensivos direcionados, regras de detecção (homógrafos IDN).
Mapeamento rápido ATT&CK -> controles
| Etapa do atacante | Técnica (ex.) | Controles chave |
|---|---|---|
| Isca | SE-Spearfishing Link (T1598) | Filtros, DMARC, detecção NLP, isolamento de navegador |
| Coleta | OSINT (T1593) | Higiene de RH, menor exposição pública, just-enough-info |
| Autenticação | Fadiga de MFA / Proxy reverso | FIDO2, detecção de anomalias, token binding |
| Pós-comprometimento | RMM não aprovado | WDAC/AppLocker, EDR, allowlists |
| Persistência | Regras de caixa de entrada, OAuth | Auditoria OAuth, detecção de regras, resets de token |
KPIs de segurança a acompanhar (simples e acionáveis)
- Taxa de sucesso DMARC (por subdomínio), % de chaves FIDO2 implantadas em contas sensíveis, tempo mediano de tratamento dos relatos, proporção de URLs neutralizadas antes do clique, % de RMM não aprovados bloqueados.
Fontes e leituras úteis
- Microsoft Digital Defense Report 2025 - números-chave: CTR com IA 54 % vs 12 % (≈4,5×), rentabilidade até ×50 em escala. Ver The threat landscape → Phishing landscape, p. 37, e referências p. 84.
- Estudo acadêmico citado no MDDR: Evaluating Large Language Models' Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects (Heiding et al., 2024, arXiv:2412.00586).
- Exemplo recente no lado defensivo: AI vs. AI: Detecting an AI-obfuscated phishing campaign (Microsoft Security Blog, set. 2025).
Nota. Este artigo prioriza medidas pragmáticas e de alto valor defensivo, adequadas para PMEs/ETIs e equipes avançadas.