O Microsoft Threat Intelligence publicou seu Relatório de Panorama de Ameaças de E-mail do Q1 2026 no final de abril, e o número de destaque é difícil de absorver: 8,3 bilhões de ameaças de phishing por e-mail detectadas nos primeiros três meses de 2026. Isso representa cerca de 92 milhões por dia, todos os dias do trimestre. O volume bruto importa menos do que o que o relatório revela sobre como essas ameaças estão sendo entregues e por que os métodos de entrega estão mudando tão rapidamente.
Duas tendências no relatório merecem atenção especial das equipes de segurança e administradores de TI: o crescimento explosivo do phishing com CAPTCHA e o surgimento de uma técnica de engenharia social chamada ClickFix, que elimina a necessidade de downloads de arquivos ao transformar a própria vítima no mecanismo final de entrega.
O Que o Phishing com CAPTCHA Realmente Faz
O phishing com CAPTCHA não é novo, mas os números de março de 2026 são impressionantes. Após declinar em janeiro e fevereiro, o volume de ataques com CAPTCHA mais que dobrou em março, atingindo 11,9 milhões. Esse é o maior volume mensal observado pela Microsoft em mais de um ano, representando um aumento de 125% em um único mês.
A técnica funciona colocando um desafio CAPTCHA real na frente da página de coleta de credenciais. Isso não é para benefício da vítima: foi projetado explicitamente para bloquear as ferramentas de varredura automatizada que os fornecedores de segurança usam para identificar e bloquear sites de phishing. Quando um scanner visita a URL e encontra o CAPTCHA, não consegue prosseguir para analisar o conteúdo. A página de phishing por trás permanece ativa por mais tempo, alcança mais vítimas antes de ser detectada e gera mais capturas de credenciais bem-sucedidas por campanha.
Os formatos de entrega para conteúdo com CAPTCHA mudaram drasticamente em março: anexos em PDF quadruplicaram, o uso de arquivos HTML quase triplicou e a entrega via arquivos DOC/DOCX aumentou quase cinco vezes. A experimentação rápida entre tipos de anexos indica que os atacantes estavam testando ativamente quais formatos produziam a melhor combinação de colocação na caixa de entrada e longevidade de evasão.
ClickFix: Quando a Vítima Se Torna o Mecanismo de Entrega
ClickFix é uma variante dentro da tendência mais ampla do phishing com CAPTCHA, e merece atenção separada pela maneira como contorna completamente a segurança convencional de e-mail, incluindo o DMARC.
Em um ataque ClickFix, a vítima chega a uma página web, normalmente através de um link de phishing incorporado em um e-mail ou entregue por meio de um site comprometido. A página exibe o que parece ser um desafio de verificação CAPTCHA ou um aviso de segurança do navegador. Ela instrui o usuário a completar a verificação pressionando Win+R, depois Ctrl+V e então Enter. O que a vítima não sabe é que o JavaScript da página já escreveu silenciosamente um comando malicioso na área de transferência do dispositivo. Seguir as instruções abre o diálogo Executar do Windows, cola o comando PowerShell ou mshta do atacante e o executa.
Nenhum prompt de download de arquivo aparece. Nenhum anexo suspeito precisa ser aberto. A cadeia de infecção funciona inteiramente por meio de ações que parecem, tanto para o usuário quanto para ferramentas de segurança de endpoint, uma entrada normal de teclado.
O ClickFix importa para a segurança de e-mail especificamente porque o link de phishing inicial pode passar por todas as verificações de autenticação. O e-mail que carrega o link pode vir de um remetente devidamente autenticado, passar por SPF e DKIM e satisfazer o alinhamento DMARC. O ataque não falsifica um domínio; usa infraestrutura de entrega legítima para direcionar uma vítima a uma página controlada pelo atacante. A aplicação do DMARC no domínio de envio não faz nada para impedir isso.
O Que o DMARC Cobre e o Que Não Cobre
Lendo o relatório do Q1, seria fácil concluir que o DMARC está perdendo relevância à medida que os atacantes pivotam para técnicas pós-entrega. Essa conclusão está errada, mas vale a pena analisar o raciocínio por trás dela.
A aplicação do DMARC em p=reject impede uma ameaça específica: o uso não autorizado do seu domínio no endereço De de e-mails que você não enviou. Quando um atacante registra um domínio parecido com o seu ou tenta falsificar diretamente sua marca em campanhas de phishing contra seus clientes, fornecedores ou parceiros, o DMARC em aplicação significa que essas mensagens não chegam a nenhuma caixa de entrada.
Essa proteção é distinta do que o ClickFix ou o phishing com CAPTCHA exploram. Esses ataques normalmente operam a partir de infraestrutura controlada pelo atacante, não de domínios de remetentes falsificados. Eles não precisam do seu domínio para ter sucesso.
As organizações que carecem de aplicação do DMARC não estão melhor protegidas contra o ClickFix como resultado. Elas enfrentam as duas ameaças: falsificação direta da identidade do seu domínio e ataques de engenharia social pós-entrega. A aplicação do DMARC elimina um desses dois vetores. Isso não é um ganho menor em um ambiente de ameaças que gera 8,3 bilhões de ataques por trimestre.
O Relatório de Adoção DMARC 2026 da EasyDMARC fornece a linha base atual. Dos 1,8 milhão de principais domínios analisados, 52,1% têm um registro DMARC. Mas apenas cerca de 9% combinam políticas de nível de aplicação com relatórios agregados, a configuração necessária tanto para bloquear falsificações quanto para manter visibilidade. Os domínios restantes com DMARC em p=none estão coletando dados sobre tentativas de falsificação, mas sem bloquear nada.
O Comprometimento de E-mail Empresarial Adiciona Contexto
A Microsoft rastreou 10,7 milhões de ataques de Business Email Compromise (BEC) no Q1. Entre 82% e 84% dos e-mails de contato inicial em campanhas de BEC usaram mensagens genéricas de construção de confiança, em vez de solicitações financeiras imediatas. Os atacantes são pacientes: primeiro estabelecem confiança, depois introduzem a transferência bancária fraudulenta ou a solicitação de cartão-presente.
O BEC depende de uma falsificação convincente da identidade do domínio. Quando os atacantes falsificam o endereço de e-mail de um CFO, um fornecedor ou um contato comercial conhecido, a aplicação do DMARC nos domínios de envio da organização receptora torna a falsificação direta dessas identidades significativamente mais difícil.
Três Ações Que os Dados do Q1 Suportam
1. Avance para a aplicação. Os dados de volume do Q1 fornecem um argumento claro para organizações que têm tratado p=none como um estado de repouso aceitável. O ambiente de ameaças não está melhorando. Publique p=quarantine assim que os relatórios agregados confirmarem que todas as fontes de envio legítimas estão autenticadas, depois escale para p=reject. Cada etapa reduz materialmente a superfície de ataque para campanhas de BEC e falsificação.
2. Revise os relatórios agregados para descobrir remetentes ocultos. A razão mais comum pela qual as organizações estacionam em p=none são fontes de envio legítimas não descobertas: plataformas CRM, ferramentas de marketing, serviços de e-mail transacional e integrações de terceiros que enviam em nome do domínio sem o alinhamento adequado de DKIM ou SPF. Os relatórios agregados identificam cada fonte. Uma revisão sistemática resolve as lacunas de autenticação que tornam arriscada a aplicação.
3. Informe sua equipe sobre os padrões ClickFix. O DMARC e a autenticação de e-mail não podem parar o ClickFix porque ele opera após a entrega. O treinamento de conscientização de segurança que descreve especificamente o padrão Win+R, Ctrl+V e que informa aos usuários que nenhum site legítimo jamais os instruirá a colar comandos em seu sistema operacional é uma contramedida direta para uma técnica que contorna todos os controles técnicos.
Tycoon2FA: O Que a Disrupção de Plataformas Nos Ensina
A plataforma Tycoon2FA alimentava mais de três quartos dos sites de phishing com CAPTCHA no final de 2025. A operação de disrupção da Microsoft em março de 2026 reduziu o volume de e-mails associados em 15% pelo restante do mês. Em poucas semanas, o Tycoon2FA havia mudado de provedores de hospedagem, e no final de março, 41% de seus domínios ativos usavam TLDs .RU.
As disrupções de plataformas importam, mas não substituem defesas estruturais. Os atacantes se adaptam. As organizações que esperam por derrubadas de infraestrutura como sua proteção principal se encontrarão repetidamente competindo com um adversário que tem ciclos de adaptação mais rápidos. A aplicação do DMARC, a higiene do SPF e o monitoramento contínuo de relatórios agregados são controles estruturais que impõem custos permanentes aos atacantes que tentam abusar da identidade do domínio, independentemente de qual plataforma ou kit utilizam.
Os dados do Q1 2026 deixam uma coisa clara: a complexidade e o volume das ameaças baseadas em e-mail não estão diminuindo. As organizações melhor posicionadas para resistir a esse ambiente são as que fecharam o vetor básico de falsificação com a aplicação do DMARC e usam relatórios agregados para manter visibilidade contínua sobre como a identidade do seu domínio está sendo usada.
Sua configuração DMARC é a fundação sobre a qual tudo o mais é construído. Se sua política ainda é p=none, o Q2 é o momento de mudar isso. Crie sua conta gratuita na Excello e chegue à aplicação.