A IA tornou o phishing quase indistinguível de comunicação legítima. As novas técnicas e como preparar a sua equipa.
Durante anos, ensinámos as equipas a detetar phishing pelos sinais clássicos: português estranho, saudações genéricas, urgência artificial. A IA generativa apagou esses sinais. O email fraudulento de 2026 escreve português de Portugal impecável, menciona o projeto em que você está a trabalhar e vem "do" seu diretor financeiro. Este artigo explica o que mudou — e como se defende uma equipa quando o velho checklist morreu.
O que exigia um atacante fluente em português agora sai de um modelo de linguagem em segundos, personalizado para cada alvo com informação pública (LinkedIn, site da empresa, redes sociais). O custo de um ataque convincente caiu para perto de zero — e o volume explodiu em conformidade.
O ataque dirigido ("olá João, na sequência da reunião de quinta sobre o projeto Atlas...") era artesanal e caro. Com IA a cruzar informação pública, tornou-se produção em massa. A regra "ataques sofisticados só acontecem a empresas grandes" deixou de valer.
Bastam segundos de áudio público para clonar uma voz. Os casos já não são teóricos: transferências autorizadas por "chamadas do CEO" e videochamadas com deepfakes de administradores custaram milhões a empresas reais. A chamada de voz deixou de ser prova de identidade.
O clássico "transfere isto com urgência" agora chega escrito no estilo do CEO verdadeiro, com referências a assuntos internos reais. A plausibilidade é o produto; a IA fabrica-a.
Já não se distingue o falso pela qualidade do texto. O novo reflexo é processual: qualquer pedido invulgar que envolva dinheiro, credenciais ou dados segue verificação por outro canal — recebeu email? confirme por telefone (para o número que você tem, não o do email). Recebeu chamada? desligue e ligue de volta.
MFA em tudo (de preferência resistente a phishing), gestor de passwords, e email com autenticação (SPF/DKIM/DMARC) configurada. Nada disto é novo — mas com o volume de ataques a subir, os básicos importam mais, não menos.
Treinar com os exemplos toscos de 2019 cria falsa confiança. As simulações de phishing devem ter a qualidade que os ataques têm hoje — escritas com as mesmas ferramentas que os atacantes usam.
A mesma IA que arma os atacantes defende quem a usa: filtros que detetam padrões de fraude, análise de anomalias, verificação assistida. Mas a última linha de defesa continua a ser a mesma de sempre — uma pessoa treinada, com um procedimento claro e autorização para dizer "vou confirmar primeiro". Segurança digital é um dos pilares da formação em IA que qualquer equipa devia ter — e faz parte do currículo da SuperHumano Academy.
Desenvolvida e gerida em Portugal.
Infraestrutura europeia com encriptação SSL.
Respeitamos as normas europeias de privacidade.
Stripe + métodos de pagamento locais e internacionais.