Ataques de phishing via navegador superam ferramentas tradicionais de segurança

Os ataques de phishing via navegador não são mais uma variante marginal, mas o vetor de ataque dominante: entre 2023 e 2024, foram identificados 752.000 incidentes desse tipo, com aumento de 140% no ano e 198% entre os semestres de 2023. Mais de 550.000 desses ataques ocorreram nos últimos 12 meses, superando ferramentas tradicionais como filtros de URL de legado e controles baseados em rede — que deixam 1 em cada 5 ataques totalmente invisíveis. A latência média de detecção para ameaças de dia zero é de seis dias, período crítico em que os invasores operam livremente. Técnicas avançadas como Browser-in-the-Browser (BiTB), Adversary-in-the-Middle (AiTM) e abuso de Cloudflare Turnstiles (usados por 77% dos sites de phishing em um trimestre) tornam a detecção ainda mais difícil, especialmente quando combinadas com GenAI para gerar páginas falsas perfeitas e comunicações sem erros.

A Microsoft continua sendo a marca mais imitada (43,1% das tentativas), seguida por serviços de nuvem como Microsoft 365 e Google Workspace, alvos de 80% das campanhas voltadas ao roubo de credenciais — que representam 91% dos relatórios de ameaças ativas em 2023. O phishing por QR Code (quishing) cresceu 25% ano a ano, enquanto o vishing com IA generativa amplifica engenharia social por voz para contornar MFA, evidenciando que o ataque moderno não é apenas digital, mas multimodal e hiperpersonalizado.

Isso importa porque o navegador se tornou o novo sistema operacional corporativo: colaboradores acessam assistentes de IA, plataformas de RH, sistemas financeiros e até ambientes de desenvolvimento diretamente pelo Chrome, Edge ou Safari — não por aplicações desktop. Quando as defesas tradicionais falham nesse contexto, expõem dados sensíveis, credenciais de acesso a nuvem e até chaves de autenticação multifator (MFA) em tempo real. Um único ataque BiTB bem-sucedido pode comprometer contas de Steam avaliadas em até US$ 300.000, e kits como Sneaky2FA já incorporam essa técnica. Para empresas brasileiras com equipes remotas e uso massivo de SaaS, a falha na proteção do navegador equivale à ausência de muralha em torno do perímetro digital — o que torna essencial repensar arquiteturas de segurança centradas em endpoint ou rede para soluções que inspecionem comportamento, contexto e conteúdo em tempo real dentro da sessão do navegador.

Desenvolvedores e equipes de DevSecOps precisam priorizar a integração de controles de segurança no próprio fluxo de navegação: isso inclui validação de origem de Blob URIs, monitoramento de pop-ups maliciosos via APIs como window.open() e análise de comportamento de janelas aninhadas (BiTB). Ferramentas de segurança baseadas em sandboxing de navegador, como isolamento de sessões e detecção de anomalias em DOM manipulations, ganham urgência. Além disso, a adoção de padrões como WebAuthn e passkeys reduz a dependência de senhas roubáveis em phishing, enquanto a implementação de CSP (Content Security Policy) rigorosa e headers como Origin-Agent-Cluster ajuda a mitigar ataques de injeção e spoofing. Em ambientes com assistentes de IA corporativos, é crítico auditar se prompts, logs ou tokens são expostos em contextos de navegador vulneráveis — pois o GPT-5.6, GPT-6, Claude Opus 4 ou Gemini 3 não protegem contra vazamentos causados por lógica de front-end mal escrita.