Os e-mails são concebidos para parecerem autênticos. Podem oferecer um prémio ou alertar o destinatário sobre um potencial processo judicial. Mas é muito provável que sejam falsos, concebidos para roubar dados pessoais cruciais ou para infectar uma rede de computadores com software malicioso.
Em 2025, 45% de todos os e-mails enviados em todo o mundo continham algum tipo de fraude, de acordo com a empresa de segurança na internet, Kaspersky.
A maioria dos e-mails tinha como alvo utilizadores da internet na Ásia, Europa e América do Norte. Os utilizadores africanos representaram 6% das vítimas. No entanto, os utilizadores africanos da internet estão a tornar-se um alvo crescente para tais ataques, à medida que o acesso à internet continua a expandir-se no continente.
No Malawi, quase 16,7% dos utilizadores da internet foram alvo de ataques por e-mail em 2025, marcando a primeira vez que o país entrou na lista da Kaspersky. A Tunísia também integrou a lista, com pouco mais de 16% dos seus utilizadores da internet visados por burlões. Os burlões visaram 15,2% dos utilizadores da internet no Quénia e em Madagáscar.
“Isso sublinha a realidade de que, a par da implementação de software de segurança robusto, os utilizadores devem permanecer vigilantes e exercer extrema cautela em relação a quaisquer ofertas online que suscitem a mais pequena suspeita,” escreveram os autores do relatório da Kaspersky.
Os e-mails dos burlões online apresentam-se numa variedade aparentemente infinita de estilos. A IA desempenha um papel cada vez mais importante ao ajudar os burlões a atingir as suas vítimas. Algumas das técnicas mais populares giram em torno de e-mails de phishing concebidos para induzir os destinatários a clicar num link e fornecer informações pessoais. A isca pode ser bilhetes gratuitos para um evento ou a potencial ameaça de acção governamental caso o destinatário não responda.
Outras são concebidas para parecerem mensagens internas da empresa, muitas vezes, provenientes de alguém em posição de destaque na empresa, instando o destinatário a rever um documento com links que desencadeiam o roubo de dados pessoais ou mesmo de informações bancárias.
“Em 2025, assistimos a um aumento na sofisticação dos ataques de e-mail direccionados,” Roman Dedenok, especialista contra fraudes da Kaspersky, disse num comunicado. “Até os mais pequenos detalhes são meticulosamente elaborados nestas campanhas maliciosas, incluindo a composição dos endereços de remetente e a adaptação do conteúdo a eventos e processos corporativos reais.”
À medida que o software de bloqueio de fraudes se tornou mais eficaz na detecção de e-mails maliciosos, os burlões escondem esses links, convertendo-os em códigos QR que aparecem como imagens no e-mail, mas fornecem um link quando lidos por um computador ou smartphone.
Uma análise separada realizada pela empresa de segurança cibernética, Barracuda, revelou que os códigos QR maliciosos, muitas vezes, são incorporados em documentos PDF ou do Microsoft 365, pois estes são amplamente considerados fiáveis em ambientes empresariais. Os códigos QR direccionam as vítimas para sites falsos de início de sessão do Microsoft 365, onde os burlões roubam credenciais empresariais.
“Esta tendência crescente destaca a necessidade de medidas de segurança avançadas que possam analisar códigos QR em anexos,” os analistas da Barracuda escreveram no seu relatório.
Em muitos casos, os burlões utilizam os serviços online da Google para conferir à sua fraude um ar de legitimidade. O Google Docs e o Google Forms tornaram-se formas populares de captar as informações das vítimas. Os burlões podem até usar o Google Calendar para criar eventos falsos ligados à conta do WhatsApp da vítima.
“Como estes e-mails têm origem nos próprios servidores de e-mail do Google, parecem autênticos para a maioria dos filtros de spam,” escreveram os investigadores da Kaspersky. Os atacantes contam com o facto de a vítima se concentrar no link falso, em vez de na natureza do documento.
Os serviços de mensagens WhatsApp e Telegram tornaram-se alvos de burlões que os utilizam para atrair vítimas a participar em concursos ou a fornecer os seus dados pessoais de outras formas. Em alguns casos, os burlões podem até sequestrar a conta da vítima para perpetuar o esquema.
“O sequestro de contas em plataformas de mensagens como o WhatsApp e o Telegram continua a ser um dos principais objectivos das operações de phishing e burla,” escreveram os investigadores da Kaspersky. “Embora as tácticas tradicionais, como links suspeitos incorporados em mensagens, sejam bem conhecidas há algum tempo, os métodos utilizados para roubar credenciais estão a tornar-se cada vez mais sofisticados.”