Microsoft, Google e Spotify juntam-se às marcas mais falsificadas em ataques de phishing

Nem só de tecnologia vivem os cibercriminosos, plataformas de música, redes sociais e sites de reservas estão na mira dos ataques de phishing mais sofisticados do ano. Quem o revela é o mais recente relatório trimestral da Check Point Research (CPR), que avança que os cibercriminosos estão a tornar as suas estratégias mais sofisticadas, direcionando os seus ataques de phishing para marcas altamente reconhecidas e que os utilizadores confiam e usam todos os dias.

No segundo trimestre de 2025, a Microsoft voltou a liderar o ranking das marcas mais falsificadas, com um impressionante 25% de todos os ataques de phishing a imitarem a gigante tecnológica. A Google surge em segundo lugar (11%) e a Apple em terceiro (9%). Mas o destaque inesperado vai para o Spotify, que regressa ao top 10 pela primeira vez desde 2019, ocupando a quarta posição com 6% dos ataques.

«Durante este período, os atacantes intensificaram os esforços para se fazerem passar por algumas das marcas mais confiáveis do mundo, aquelas que milhões de pessoas usam diariamente», revela a Check Point Research.

Entre os casos mais preocupantes está uma campanha de phishing que utilizou uma réplica quase perfeita da página de login do Spotify e redirecionava os utilizadores para uma página de pagamento falsa, onde eram recolhidos dados sensíveis como credenciais de acesso e informações de cartão de crédito. Este ataque marca o regresso do Spotify ao radar dos cibercriminosos, demonstrando que as plataformas de entretenimento se tornaram também atrativas no universo do phishing.

Outro exemplo alarmante foi a exploração da marca Booking.com através do registo de mais de 700 domínios falsos com nomes como confirmation-id***.com. As páginas simulavam emails e confirmações de reservas legítimas, com dados reais como nomes, e-mails e números de telefone. O objetivo era simples: induzir a urgência e levar os utilizadores a clicarem em links maliciosos. «Esse número é 100 vezes superior ao registado em trimestres anteriores», alertam os investigadores da Check Point.

A tendência mantém-se clara e o setor tecnológico é o principal alvo de ataques de phishing, com serviços como Microsoft 365, Gmail ou iCloud a representarem portas de entrada críticas para dados pessoais e empresariais. Também as redes sociais e plataformas de retalho, como LinkedIn, WhatsApp, Amazon ou Facebook, continuam a ser exploradas pelos cibercriminosos pela confiança que geram no utilizador comum.

Como proteger-se em 2025

Perante campanhas cada vez mais credíveis e personalizadas, os especialistas da Check Point recomendam uma abordagem proativa e multicanal à proteção contra o phishing que inclua:

• Ativar autenticação multifator (MFA) em todas as contas.
• Verificar URLs e remetentes antes de clicar em qualquer link ou submeter dados.
• Investir em formação contínua para sensibilizar colaboradores.

Top 10 das marcas mais visadas por phishing – 2.º trimestre 2025
Microsoft – 25%

---