O cenário das ciberameaças financeiras passou por uma transformação significativa em 2025, com criminosos focando no roubo e reutilização de credenciais. Essas ações são impulsionadas por mensagens falsas e pela dark web, onde ferramentas e dados para golpes se tornam acessíveis até para fraudadores com pouca experiência. Neste contexto, o Brasil é um dos três países com o maior número de contas bancárias online comprometidas por roubo de informações, atrás apenas da Índia e da Espanha.
Globalmente, mais de um milhão de contas nos 100 maiores bancos foram atingidas, refletindo uma mudança estratégica do malware de PC tradicional para táticas de roubo de credenciais e para o malware financeiro móvel, que cresceu 1,5 vezes em 2025. Veja abaixo mais insights do novo relatório financeiro da Kaspersky. Apesar da queda global do malware financeiro tradicional para PCs, o Brasil enfrenta ameaças persistentes de famílias de malware nacionais. Nomes como Grandoreiro, Coyote e Maverick continuam ativos, utilizando táticas sofisticadas.
Eles abusam do WhatsApp para distribuição e empregam métodos “sem arquivos”, ou seja, que não se instalam de forma tradicional no disco do computador, mas operam diretamente na memória do sistema, para roubar credenciais e realizar transações fraudulentas em desktops. Um destaque preocupante é o crescimento do Trojan GoPix, focado nos usuários do popular sistema de pagamento Pix brasileiro, além de mirar boletos e criptomoedas.
Os infostealers, programas maliciosos projetados para furtar informações confidenciais de computadores ou dispositivos móveis de forma sigilosa, se tornaram um motor central do cibercrime financeiro. Eles coletam credenciais de login, cookies, números de cartão bancário, frases-semente de carteiras cripto e preenchem automaticamente dados de navegadores e aplicativos, alimentando uma robusta economia na dark web.
74% dos cartões de pagamento roubados por infostealers em 2025 ainda estavam válidos em março de 2026, permitindo o uso prolongado pelos cibercriminosos. A dark web também se consolidou como um mercado ativo para a venda de “fullz” (perfis completos de vítimas), bancos de dados compilados e kits para criação de sites de golpes, tornando a fraude acessível mesmo para criminosos com pouca experiência.
O phishing financeiro, caracterizado por mensagens fraudulentas, persiste com uma nova roupagem. Globalmente, páginas que imitam lojas digitais (48,5%) lideram, superando os golpes que imitam bancos (26,1%) e sistemas de pagamento (25,5%). A queda nos golpes bancários pode indicar que esses serviços estão se tornando mais difíceis de serem imitados com sucesso, forçando os fraudadores a buscarem formas mais acessíveis de acessar as finanças dos usuários.
Na América Latina, os cibercriminosos adaptam suas campanhas aos hábitos digitais locais. A região apresenta uma distribuição equilibrada de ataques ao comércio eletrônico (46,3%) e a bancos (42,25%), indicando estratégias diversificadas. A aparição de empresas de entrega no TOP 10 de marcas imitadas na América Latina mostra a exploração do crescimento logístico do e-commerce.
“A dark web se consolidou como um centro de crimes financeiros. Credenciais e cartões bancários roubados são agregados e vendidos ali, e kits de phishing para o setor financeiro são oferecidos como soluções prontas. Isso cria um ciclo vicioso onde roubo de dados e fraudes se reforçam mutuamente, tornando os ataques escaláveis e fáceis mesmo para fraudadores com pouca experiência. Para quebrar esse ciclo, é fundamental que as organizações invistam em inteligência proativa de ameaças e que os usuários tenham maior conscientização e cautela”, comenta Roberto Rebouças, gerente geral da Kaspersky no Brasil.
Para se manter protegido, a Kaspersky recomenda que usuários individuais usem autenticação multifator sempre que possível, criem senhas únicas fortes e armazene-as com segurança em um gerenciador de senhas. Também não se deve clicar em links de mensagens suspeitas e confira novamente as páginas antes de inserir suas credenciais ou dados do cartão bancário.
Já no caso de empresas, é preciso avaliar toda a infraestrutura, corrigir as vulnerabilidades e considerar especialistas externos para novas perspectivas que revelem riscos ocultos. Elas devem ainda manter monitoramento contínuo dos recursos da dark web, para melhorar significativamente a cobertura de várias fontes de ameaças potenciais e permitir que os clientes acompanhem os planos e tendências dos agentes de ameaça em suas atividades.
