Os cibercriminosos estão a mudar de estratégia — e agora querem algo muito mais pessoal: as suas selfies.
Em 2025, os ataques de phishing evoluíram de campanhas massivas para esquemas altamente direcionados que procuram não apenas palavras-passe ou códigos de acesso, mas também dados biométricos como imagens faciais. O alerta surge no relatório anual da empresa de cibersegurança Kaspersky.
Segundo a análise, os criminosos estão a adaptar as fraudes a mercados locais e a explorar cada vez mais aplicações de mensagens, plataformas de entretenimento e serviços digitais, tornando os ataques mais credíveis e difíceis de detetar.
O objetivo é recolher informação suficiente para contornar sistemas de verificação de identidade utilizados por bancos, serviços públicos e plataformas online.
À caça de selfies
Uma das tendências mais preocupantes identificadas pelos especialistas é o aumento de esquemas associados aos processos de verificação de identidade digital, conhecidos como Know Your Customer (KYC).
Nestes ataques, os utilizadores são encaminhados para páginas falsas que solicitam dados pessoais como nome completo, email ou número de telefone. Em muitos casos, os burlões pedem ainda fotografias do rosto em diferentes ângulos ou capturas de documentos de identificação, como passaportes.
Estas imagens podem depois ser usadas para assumir o controlo de contas em serviços que exigem autenticação através de fotografia ou vídeo.
A crescente utilização destes sistemas de verificação digital — também em Portugal — aumenta o risco para os utilizadores. Plataformas financeiras, serviços públicos e várias aplicações recorrem hoje a métodos de autenticação baseados em fotografia ou vídeo, criando novas oportunidades para ataques cada vez mais sofisticados.
WhatsApp e Telegram na mira
As aplicações de mensagens continuam a ser um dos principais pontos de entrada para ataques de phishing.
De acordo com a Kaspersky, contas do WhatsApp e do Telegram estiveram entre os alvos preferenciais dos burlões em 2025. Um dos esquemas mais comuns envolve páginas falsas de votação em concursos infantis, que convencem os utilizadores a introduzir códigos de verificação que permitem aos atacantes assumir o controlo das contas.
Outro método consiste na oferta de subscrições gratuitas do Telegram Premium. As vítimas são levadas a introduzir o número de telefone e o código de utilização única numa página falsa de login, entregando involuntariamente as credenciais aos criminosos.
Os especialistas identificaram campanhas semelhantes em várias línguas — incluindo inglês, russo, alemão, espanhol, turco e neerlandês — o que mostra a dimensão global destas fraudes.
Burlas também chegam à música
Os fãs de música também foram alvo frequente de esquemas fraudulentos.
Os criminosos criaram páginas falsas de venda de bilhetes que prometiam entradas gratuitas para concertos de artistas populares. As vítimas eram convidadas a pagar uma pequena taxa de entrega — mas os bilhetes nunca existiam.
Outros ataques convidavam os utilizadores a iniciar sessão através de redes sociais para participar em transmissões em direto ou votar no seu artista favorito. As páginas imitavam plataformas legítimas e tinham como objetivo roubar credenciais de acesso.
Em algumas campanhas, os burlões chegaram mesmo a utilizar marcas conhecidas como Google e Spotify para tornar os esquemas mais credíveis.
Ataques cada vez mais sofisticados
Para Tatyana Kulikova, analista da Kaspersky, o phishing continuará a ser uma das principais ameaças digitais.
A especialista alerta que os ataques deverão tornar-se ainda mais complexos e direcionados, em parte devido à utilização de ferramentas de inteligência artificial pelos próprios criminosos.
“Os cibercriminosos procuram constantemente novas formas de rentabilizar os ataques e alargar o tipo de dados que tentam capturar. O roubo de imagens faciais é um exemplo claro dessa tendência”, explica.
Perante este cenário, os especialistas recomendam cautela: evitar clicar em ligações suspeitas, confirmar mensagens inesperadas através de outros canais e verificar sempre o endereço dos websites antes de introduzir dados pessoais.
Soluções de segurança com tecnologia avançada de deteção de phishing podem também ajudar a identificar páginas fraudulentas e reduzir o risco de fraude online.
