O Anti-Phishing Working Group publicou seu Relatório de Tendências de Atividade de Phishing do Q1 2026 em maio de 2026. O número principal é significativo: 971.181 ataques de phishing únicos nos primeiros três meses do ano, um aumento de 13,8 por cento em relação a 853.244 no Q4 2025. Mas o número que merece mais atenção não é o volume total. É o detalhamento por setor.
No Q3 2025, a categoria de telecomunicações representava 5,9 por cento de todos os ataques de phishing. No Q1 2026, esse número chegou a 33 por cento, tornando as telecomunicações o setor mais atacado no trimestre. O APWG observa que isso representa a maior concentração em um único setor em seu conjunto de dados desde o Q4 2023. Os ataques de phishing baseados em URL direcionados especificamente ao setor de telecomunicações aumentaram 75 por cento entre o Q4 2025 e o Q1 2026.
Isso não é uma tendência gradual. É uma decisão de ataque repentina e concentrada por atores organizados, e as razões por trás disso têm implicações diretas para a estratégia de autenticação de e-mail.
Por que cibercriminosos migraram para telecomunicações
O relatório APWG explica o atrativo do setor por meio do que chama de “múltiplos pivôs”. Operadoras de telecomunicações são alvos incomuns porque um único comprometimento bem-sucedido dá aos atacantes acesso a mais de um ativo explorável.
A maioria das operadoras de telecomunicações agrupa três serviços em uma única conta: acesso à internet, um endereço de e-mail com a marca do ISP e serviços de telefonia móvel. Quando um ataque de phishing rouba com sucesso as credenciais de uma conta de cliente de telecomunicações, o atacante não obtém acesso apenas a uma coisa. Obtém acesso a uma conta de e-mail identificada com um nome de marca confiável, controle sobre um número de telefone usado para autenticação de dois fatores por SMS e, potencialmente, capacidades de gerenciamento de conta que expõem dados de cobrança e configurações de serviço.
Essa combinação tem valor único. Uma conta de e-mail hospedada sob a marca de uma operadora reconhecida – AT&T, Verizon, Comcast, BT, Claro, Vivo – carrega décadas de reputação de remetente. Essas contas raramente caem em pastas de spam. Quando os atacantes comprometem um número suficiente delas, têm um conjunto pronto de infraestrutura de envio confiável que nunca foi marcada como fonte de fraude. Uma conta do Gmail é uma commodity. Uma conta de e-mail com marca de ISP vinculada a um assinante real é um ativo de phishing.
O acesso ao número de telefone habilita um segundo vetor de ataque: a troca de SIM. Ao controlar a conta móvel, os atacantes podem redirecionar códigos de autenticação por SMS, contornando a autenticação de dois fatores em plataformas bancárias, de e-mail e financeiras. Isso não é teórico. A fraude de troca de SIM tem sido o mecanismo por trás de várias aquisições de conta de alto perfil nos últimos dois anos.
Um único ataque de phishing bem-sucedido contra telecomunicações abre, portanto, portas que um ataque padrão de roubo de credenciais não consegue. A contagem de pivôs – reputação de e-mail, controle de telefone, dados de conta – é o que torna os alvos de telecomunicações valedores do investimento em infraestrutura.
A camada de falsificação de marca
Para roubar as credenciais dos clientes de telecomunicações, os atacantes precisam de uma imitação convincente da operadora. É aqui que as lacunas na aplicação do DMARC criam uma vulnerabilidade estrutural.
O DMARC funciona vinculando criptograficamente as mensagens de e-mail ao domínio do qual afirmam se originar. Uma mensagem que afirma vir de [email protected] precisa passar no alinhamento SPF (enviada de infraestrutura autorizada) e carregar uma assinatura DKIM válida. Se qualquer uma das condições falhar e a política DMARC do domínio for p=reject, o servidor receptor descarta a mensagem. Não há entrega na caixa de entrada.
O problema é que a adoção do DMARC no setor de telecomunicações reflete o mesmo padrão visto em grande parte da economia. Pesquisas de 2026 mostram que os setores financeiro e de telecomunicações têm presença de DMARC em cerca de 32 a 33 por cento de seus domínios, mas a maioria desses domínios está em p=none, um modo de monitoramento apenas que gera relatórios mas não instrui servidores receptores a fazer nada com mensagens não autenticadas. Globalmente, apenas cerca de 18,1 por cento de todos os domínios têm aplicação do DMARC em p=quarantine ou p=reject.
Isso significa que, para a operadora de telecomunicações comum, um ator de ameaças pode construir um e-mail que parece vir de um domínio oficial da operadora, enviá-lo através de infraestrutura de envio padrão e fazê-lo chegar às caixas de entrada dos assinantes sem acionar uma rejeição do DMARC. A lacuna de autenticação não é uma falha do cliente. É da operadora.
A cadeia de phishing que mira assinantes de telecomunicações
Os ataques de phishing contra telecomunicações geralmente seguem um padrão específico. Um assinante recebe um e-mail que parece vir de sua operadora: um alerta de cobrança, um aviso de segurança, uma notificação de que sua conta foi acessada de um dispositivo desconhecido. O e-mail parece legítimo. Em muitos casos, passa até pelas verificações básicas de filtros de spam porque é enviado de uma infraestrutura bem configurada que imita o domínio da operadora.
A mensagem contém um link para uma página de destino que imita o portal de contas da operadora. O assinante insere seu nome de usuário e senha. O atacante captura essas credenciais em tempo real e inicia imediatamente o acesso à conta para extrair o número de telefone, a conta de e-mail e qualquer método de pagamento armazenado.
O aumento de 75 por cento em phishing baseado em URL direcionado a telecomunicações observado pelo APWG no Q1 2026 reflete a maturação dessa cadeia de ataque. Atores de ameaças construíram ferramentas, modelos e infraestrutura especificamente para falsificação de operadoras. A barreira para executar uma campanha de phishing contra telecomunicações caiu substancialmente à medida que kits especializados se proliferaram.
O que interrompe essa cadeia completamente é a aplicação do DMARC com p=reject nos domínios de envio da operadora. Quando essa política está em vigor, o e-mail de falsificação – independentemente de quão convincente seja seu conteúdo – é rejeitado antes de chegar à caixa de entrada do assinante. O link nunca carrega. As credenciais nunca são inseridas.
O que os dados de redes sociais acrescentam ao quadro
Além do aumento em telecomunicações, o relatório APWG do Q1 2026 documenta uma escalada paralela nas ameaças em redes sociais. Em todas as principais plataformas, o volume de ameaças aumentou entre o Q4 2025 e o Q1 2026. A composição dessas ameaças se divide em 43,8 por cento de falsificação de marca e indivíduo, e 27,1 por cento de golpes diretos projetados para fraudar usuários de dinheiro ou informações pessoais.
Isso é relevante para o padrão de telecomunicações porque a falsificação em redes sociais e o phishing por e-mail são frequentemente campanhas coordenadas. Um ator de ameaças executando uma operação de falsificação de marca de operadora frequentemente mantém contas falsas de redes sociais sob a marca da operadora, cria perfis de suporte fraudulentos e os usa para direcionar vítimas para links de phishing. A campanha de e-mail e a campanha de redes sociais se reforçam mutuamente.
Organizações com postura DMARC sólida obtêm um benefício secundário: elegibilidade para BIMI. O Brand Indicators for Message Identification permite que um logotipo verificado apareça ao lado de mensagens de e-mail autenticadas em clientes de e-mail compatíveis. Quando os assinantes veem o logotipo verificado da operadora ao lado de um e-mail, têm uma confirmação visual de que a mensagem passou por todas as três camadas de autenticação. Quando esse logotipo está ausente em uma mensagem que afirma ser da operadora, é um sinal observável de que algo está errado. Em um ambiente onde a falsificação sofisticada é cada vez mais a norma, essa camada visual se torna uma distinção significativa.
A mudança no BEC de transferência bancária
Os dados do APWG do Q1 2026 incluem um contraponto interessante ao aumento em telecomunicações: os ataques de comprometimento de e-mail empresarial para transferência bancária diminuíram 25 por cento em relação ao Q4 2025, com o valor médio exigido caindo 15 por cento para US$ 42.663 em relação aos US$ 50.297.
Esse declínio não sugere que o BEC seja menos perigoso. É mais provável que reflita uma mudança tática na concentração de recursos dos atacantes. Quando o phishing contra telecomunicações produz acesso a contas de alto valor em escala – infraestrutura de e-mail, controle de números de telefone, caminhos para contas financeiras – a economia das campanhas tradicionais de BEC para transferência bancária se torna relativamente menos atraente. Atacantes seguem os retornos. No Q1 2026, os retornos em telecomunicações foram excepcionalmente altos.
A implicação para as organizações é que o cenário de ameaças não é estático. A categoria que era a principal preocupação em um trimestre pode não ser o vetor dominante no seguinte. A autenticação de e-mail – SPF, DKIM e DMARC com aplicação ativa – fornece uma defesa estrutural que não precisa ser reajustada toda vez que os atacantes mudam de tática. Um domínio com p=reject está protegido contra falsificação baseada em e-mail independentemente de qual setor ou indústria os atores de ameaças decidam atacar no próximo trimestre.
A lacuna de autenticação que os atacantes exploram
A conclusão central do relatório APWG do Q1 2026 não é complicada: quando um setor se torna um alvo concentrado, as marcas dentro desse setor são imediatamente armadas para falsificação. As operadoras de telecomunicações se tornaram o alvo principal no Q1 2026. Seus clientes estão recebendo e-mails de phishing que parecem vir dos domínios oficiais de suas operadoras. Muitos desses e-mails estão chegando às caixas de entrada porque as próprias operadoras não implementaram a aplicação do DMARC.
Esse é um padrão que se repetiu em vários setores. O setor de saúde foi um alvo principal em 2025. As companhias aéreas foram identificadas em análises anteriores. Em cada caso, o fator comum foi uma lacuna de autenticação que permitia aos atacantes enviar e-mail aparentemente originado de um domínio de marca confiável sem restrições.
A solução em cada caso é a mesma: a aplicação do DMARC com p=reject fecha a lacuna. Os relatórios agregados mostram exatamente qual atividade de envio não autorizado está ocorrendo contra um domínio. Avançar de p=none por p=quarantine até p=reject elimina sistematicamente a superfície de ataque da qual as campanhas de falsificação dependem.
As telecomunicações são o setor mais atacado hoje. Não será o último novo setor a enfrentar ataque concentrado. As organizações que já avançaram para a aplicação do DMARC são estruturalmente menos exploráveis como alvos, independentemente de em qual setor a próxima onda de phishing se concentrar.
O Excello Mail oferece visibilidade completa da sua postura DMARC, orientação clara sobre o caminho para a aplicação de p=reject e análise de relatórios agregados que mostra cada fonte enviando e-mail em nome do seu domínio. Cadastre-se gratuitamente no Excello Mail e feche a lacuna de autenticação antes que sua marca se torne o próximo alvo de falsificação.