Por dentro do cenário de ameaças a PMEs em 2026: de phishing e golpes a falsas ferramentas de IA

As pequenas e médias empresas (PMEs) continuam sendo um alvo atraente para cibercriminosos, tanto em ataques em massa quanto em campanhas direcionadas sofisticadas contra empresas maiores por meio de ataques por relação de confiança. Ao mesmo tempo, empresas menores podem não ter políticas robustas de segurança cibernética nem recursos necessários para se proteger em um cenário dinâmico de ameaças.

A Kaspersky acredita que a conscientização pode ajudar pequenas e médias empresas a desenvolver uma estratégia de proteção eficaz. Às vésperas do Dia Internacional da PME, em 27 de junho, a Kaspersky apresenta as descobertas da edição 2026 da análise de ameaças a PMEs, que inclui exemplos reais de ataques.

Principais resultados

• Nos primeiros quatro meses de 2026, as soluções da Kaspersky detectaram mais de 33 mil ataques cibernéticos a PMEs disfarçados de ferramentas de IA, quase cinco vezes mais do que em 2025 e 39% mais ataques mascarados como ferramentas de escritório e colaboração analisados na pesquisa da empresa.
• De acordo com os números analisados, aplicativos de mensagens e serviços de comunicação populares continuaram sendo a principal isca dos invasores, com quase 415.000 ataques envolvendo falsos aplicativos de mensagens e de videoconferência.
• Os invasores seguem as tendências: as ferramentas de IA Claude e OpenClaw (antes conhecido como Clawdbot ou Moltbot), que ganharam popularidade em 2026, estavam entre as iscas de IA mais comuns.
• Os fraudadores usam falsas ferramentas de IA para roubar empresas, enquanto as contas nas mídias sociais também continuam sendo alvos.
• A maioria dos acessos iniciais a infraestruturas corporativas vendidas na dark web é supostamente acesso a PMEs. Isso pode ocorrer porque as PMEs costumam ter menos proteção que as grandes empresas e, ao mesmo tempo, atuar como prestadoras de serviços confiáveis para elas.

Malware e aplicativos potencialmente indesejados (PUAs) disfarçados de serviços populares

Os pesquisadores da Kaspersky usaram dados da Kaspersky Security Network (KSN) para descobrir a frequência com que arquivos maliciosos e indesejados se passavam por aplicativos legítimos que podem ser usados por PMEs. A KSN é um sistema que processa dados anônimos de ameaças cibernéticas compartilhados voluntariamente por usuários da Kaspersky. Para essa parte do relatório, somente os dados anônimos recebidos de usuários das soluções da Kaspersky para PMEs foram analisados.

De acordo com uma pesquisa do Small Business & Entrepreneurship Council (SBE Council), os proprietários de pequenas empresas seguem adotando a inteligência artificial (IA) e a transformação digital, pois mantêm uma perspectiva em geral positiva da economia. Os threat actors também estão cientes do hype em torno da IA e a exploram para seu próprio benefício. Em particular, eles distribuem ativamente ameaças cibernéticas disfarçadas de serviços populares de IA.
De janeiro a abril de 2026, as soluções da Kaspersky detectaram 33.352 ataques a usuários de PMEs em que malware ou aplicativos potencialmente indesejados para PCs estavam disfarçados de cinco serviços populares de IA. Esse número representa um aumento de quase cinco vezes em relação ao ano anterior. Isso destaca uma tendência em evolução na qual os threat actors usam a confiança como arma em plataformas e serviços de IA amplamente usados, especialmente os populares como o Claude. Os especialistas da Kaspersky observam que é importante baixar aplicativos de fontes oficiais e verificar quais deles estão disponíveis para quais plataformas.

Nos primeiros quatro meses de 2026, os pesquisadores da Kaspersky identificaram mais de 1.100 amostras únicas de malware e PUAs detectados no setor de PMEs disfarçadas como cinco aplicativos populares de IA, um aumento de 21% em relação ao mesmo período de 2025. As amostras eram principalmente diferentes tipos de trojware (trojans e malware semelhante a trojans), incluindo os tipos capazes de baixar e executar outro malware em dispositivos comprometidos. O trojware se disfarça de arquivos inofensivos para induzir os usuários a instalá-los. Sua funcionalidade pode variar dependendo do tipo específico de trojware. Isso pode incluir roubo, exclusão, bloqueio, modificação ou cópia de dados de usuários, bem como outras ações maliciosas. O trojware, portanto, representa uma ameaça cibernética altamente perigosa para empreendedores e empresas.

Os especialistas da Kaspersky também observam que o cenário de ameaças está em constante evolução, com novas iscas aparecendo o tempo todo. Por exemplo, nos primeiros quatro meses de 2026, as soluções da Kaspersky bloquearam centenas de ataques nos quais malware ou PUAs para PCs se disfarçavam de OpenClaw (antes conhecido como Clawdbot ou Moltbot).

Outras iscas para PMEs: software de escritório e aplicativos de comunicação falsos

Os analistas da Kaspersky também exploraram como os invasores usam outros aplicativos legítimos como iscas para atingir PMEs. Por exemplo, de janeiro a abril de 2026, as soluções da Kaspersky bloquearam 414.736 ataques a usuários de PMEs em que malware ou PUAs para PC se passaram por aplicativos de comunicação populares analisados no relatório da Kaspersky. O número de ataques mudou pouco em relação ao ano anterior, indicando que o uso de falsos aplicativos de comunicação como isca continua sendo uma séria ameaça cibernética.

Versões falsificadas de aplicativos de escritório e plataformas colaborativas continuam entre as iscas usadas por invasores para atingir PMEs. De acordo com a telemetria da Kaspersky, entre janeiro e abril de 2026, foram detectados mais de 24.000 ataques em que malware ou PUAs para PCs se passavam por aplicativos específicos de escritório.

Em 2026, as iscas relacionadas à IA se tornaram mais comuns entre os cibercriminosos do que as tradicionais ferramentas de escritório e colaboração. No entanto, os especialistas da Kaspersky observam que, quanto maior a publicidade e o hype em torno de determinadas ferramentas, maior a chance de usuários encontrarem pacotes falsos on-line.

Golpistas e phishers induzindo as vítimas a fornecerem credenciais e dinheiro

Em 2026, pesquisadores da Kaspersky observaram diversas campanhas de phishing e golpes contra empresas e empreendedores. Os fraudadores imitam serviços financeiros e de IA, bem como outras plataformas, para roubar credenciais, informações pessoais e dinheiro.

No exemplo a seguir, fraudadores se passam por um banco que oferece serviços para empresas (em golpes semelhantes, podem oferecer empréstimos para pessoas jurídicas). Os empreendedores são orientados a visitar um site falso e inserir os dados para abrir uma conta empresarial. As informações solicitadas variam dependendo do golpe, mas podem incluir nome, e-mail, telefone, número do seguro social, data de nascimento e endereço. Os golpistas podem usar esses dados em seus esquemas ou vendê-los na dark web.

Os especialistas da Kaspersky aconselham: se você encontrar um site desse tipo, não se apresse em inserir nenhum dado. Primeiro, analise. A suposta organização financeira realmente existe? Há quanto tempo o site existe? Verifique os registros WHOIS e leia as avaliações dos usuários antes de inserir qualquer informação na página.

Exemplo de uma página fraudulenta direcionada a empreendedores

Tal como acontece com muitas outras ameaças cibernéticas, os serviços de IA também são usados como isca em golpes. Por exemplo, os especialistas da Kaspersky identificaram um site fraudulento para um serviço de IA “feito para prestadores de serviços”. De acordo com o texto na página fraudulenta, a ferramenta pode ajudar com “estimativas, faturas e agendamento”. No entanto, em tais esquemas, as vítimas geralmente não recebem nada depois de pagar pela assinatura, enquanto os golpistas ficam com todo o dinheiro.

Exemplo de página fraudulenta que promove ferramenta de IA

Os especialistas da Kaspersky observam que as contas comerciais em redes sociais e aplicativos de mensagens continuam sendo alvos atraentes para os cibercriminosos em 2026. Em um esquema, os phishers distribuíram notificações com alertas falsos relacionados às páginas comerciais das empresas. As notificações alegavam que O sistema de análise do Facebook detectou um comportamento que violou seriamente os Padrões da Comunidade e as Políticas de Publicidade. Para evitar a restrição permanente de páginas comerciais em redes sociais, os proprietários precisavam preencher um formulário de apelação e fornecer endereços de e-mail pessoais e comerciais, números de telefone, bem como o nome de sua página comercial e a senha de sua conta de rede social. O objetivo dos invasores era obter credenciais. Para reduzir a desconfiança do usuário e parecer legítimo, os fraudadores também enviaram às vítimas um código de apelação falso.

Exemplo de uma notificação falsa

Ameaças por e-mail: documentos on-line falsos e exploração de plataformas legítimas

O e-mail continua sendo um dos canais mais usados para ataques cibernéticos direcionados a empresas, incluindo pequenas e médias. Em 2026, os invasores com frequência combinaram a distribuição de e-mails com a exploração de plataformas legítimas de terceiros. É assim que os phishers e golpistas geralmente tentam contornar os filtros de e-mail tradicionais e explorar a confiança do usuário em serviços respeitáveis. Os pesquisadores da Kaspersky também observaram um grande número de esquemas direcionados a usuários corporativos nos quais phishers e golpistas usam como isca documentos on-line falsos ou reuniões inexistentes.

Em um esquema recente detectado pela Kaspersky, os invasores enviaram uma notificação falsa disfarçada de carta do OneDrive. A vítima deveria acessar o documento clicando em um botão, mas, na realidade, isso levava a um site de phishing onde os usuários corriam o risco de perder dados confidenciais. Para fazer com que o e-mail parecesse legítimo, os invasores adicionaram uma frase pensada para diminuir a desconfiança da vítima: “Este item é criptografado e hospedado no perímetro seguro da nuvem”. Eles também analisaram o e-mail do destinatário e usaram os dados extraídos na falsa notificação para fazer a mensagem parecer um aviso padrão do serviço: “[domínio do endereço de e-mail como nome da empresa] carregou com êxito um novo arquivo para [nome do usuário conforme indicado em seu endereço de e-mail].”

Exemplo de esquema de phishing com documentos on-line falsos

Os invasores também usam outros pretextos para induzir as vítimas a compartilharem informações confidenciais, por exemplo, falsos problemas de conformidade. No exemplo abaixo, os invasores se passaram por representantes da Apple. A notificação falsa dizia: “A Apple identificou um problema de conformidade relacionado a campanhas do Google Ads que direcionam o tráfego para páginas de detalhes de produtos da Apple associadas à conta de vendedor da vítima.” No entanto, o botão no e-mail levava a um site de phishing onde os usuários são induzidos a compartilhar dados confidenciais.

Exemplo de notificação falsa de problema de conformidade

Os especialistas da Kaspersky identificaram outro esquema de dois estágios para roubo de credenciais de e-mails corporativos, que distribuía convites para reuniões inexistentes. O esquema é implementado em dois estágios. No primeiro estágio, o usuário corporativo recebe um e-mail sobre uma reunião fictícia. Depois de clicar no botão “Aceitar convite para reunião”, ele é redirecionado para uma página legítima do Zoom Docs. No estágio seguinte, a vítima é instruída a clicar em um hiperlink que diz “Clique aqui para aceitar a reunião”. No entanto, esse hiperlink oculta uma URL de página de phishing.

Exemplo de e-mail com reunião falsa

Página Zoom Docs contendo o link de phishing

O malware também é distribuído ativamente por e-mail. Em 2025, usuários de contas pessoais e corporativas encontraram mais de 144 milhões de anexos de e-mail maliciosos e potencialmente indesejados, 15% a mais que no ano anterior.

Os especialistas da Kaspersky observam que as iscas usadas nas linhas de assunto e nos corpos de e-mails maliciosos podem parecer relativamente inofensivas e pouco sofisticadas. No exemplo abaixo, os invasores visam empresas com uma solicitação falsa de “a melhor cotação para os itens em anexo“. No entanto, o arquivo anexado na verdade contém um trojan.

Exemplo de um e-mail malicioso

Vende-se acesso a infraestrutura corporativa: o que é postado na dark web

Para avaliar a atividade de threat actors, os especialistas da Kaspersky Digital Footprint Intelligence analisaram centenas de postagens de janeiro a abril de 2025 e 2026 em fóruns da dark web que ofereciam acesso inicial a infraestruturas corporativas. Os especialistas da Kaspersky observam que uma única postagem pode conter várias ofertas de acesso a diferentes empresas supostamente comprometidas.

Exemplo de postagem em fórum da darknet

Os intermediários de acesso inicial (IABs) vendem o primeiro acesso a empresas comprometidas, por exemplo, via RDP ou web shells. Em suas postagens, os IABs podem fornecer informações sobre a região onde as empresas supostamente comprometidas estão localizadas, seu setor e receita, bem como o tipo de acesso. Os IABs vendem acessos que podem ser usados pelos compradores para ataques de ransomware, roubo de informações corporativas confidenciais ou outras atividades fraudulentas. O preço do acesso inicial em fóruns da dark web pode depender de receita, setor ou localização das empresas supostamente comprometidas ou dos privilégios de acesso. Por exemplo, contas com direitos de administrador geralmente são mais caras porque podem fornecer aos invasores uma ampla gama de possibilidades.

De acordo com a pesquisa, havia mais postagens oferecendo acesso inicial a empresas de diferentes tamanhos localizadas no Oriente Médio (53% a mais que o ano passado), África (alta de 40%) e LATAM (17% a mais). Enquanto isso, o número de postagens relacionadas a empresas localizadas na Europa diminuiu 34%. De acordo com os especialistas da Kaspersky, esse declínio pode ser parcialmente explicado pelo fechamento de um fórum da dark web que continha essas postagens na época do estudo. O número de publicações relacionadas a empresas localizadas na região APAC também diminuiu ligeiramente (queda de 4%), mas permaneceu em um nível consistentemente significativo pelo segundo ano consecutivo.

Ao mesmo tempo, o número de postagens em que a região não foi especificada diminuiu 56% em 2026 em relação ao ano anterior. Os analistas da Kaspersky supõem que isso indique que as postagens de acesso inicial de IABs estão se tornando potencialmente mais direcionadas e exclusivas.

Parcela de postagens com ofertas de acesso inicial por tamanho da empresa

Para esta pesquisa, os especialistas da Kaspersky definiram uma pequena empresa como tendo uma receita anual de até US$ 50 milhões, e uma empresa de médio porte como tendo uma receita anual entre US$ 50 milhões e US$ US$ 1 bilhão.

Segundo a pesquisa da Kaspersky, no início de 2026, as ofertas de acesso inicial a pequenas empresas supostamente comprometidas em fóruns da dark web era maior do que a parcela de postagens que ofereciam acesso a organizações de médio, grande porte ou sem fins lucrativos. No entanto, essa parcela diminuiu nos primeiros quatro meses de 2026 em comparação com o mesmo período de 2025. A parcela de postagens relativas a organizações de médio porte também permaneceu significativa por dois anos consecutivos. Juntas, as postagens com acesso inicial aos sistemas corporativos de organizações de pequeno e médio porte representam mais da metade de todas as postagens analisadas com ofertas de acesso inicial em fóruns da dark web.

Ao mesmo tempo, para um certo número de postagens, os intermediários de acesso inicial não indicavam a receita das empresas, portanto, impossibilitando a determinação de seu porte.

Os especialistas da Kaspersky observam que, embora as postagens se concentrem em pequenas empresas, os threat actors também podem visar empresas de médio porte, que geram mais receita e podem ter defesas de segurança mais fracas que as grandes empresas.

As PMEs também podem se tornar alvos como parte de ataques por relação de confiança, que permitem que os invasores alcancem organizações maiores. De acordo com o Relatório Global da Kaspersky Security Services, a parcela de ataques por relação de confiança entre os vetores de inicialização aumentou de 12,7% em 2024 para 15,5% em 2025. Portanto, a crença comum de que pequenas e médias empresas não interessam aos invasores é um equívoco. Empresas de todos os tamanhos precisam entender o cenário de ameaças cibernéticas, aderir às regras de segurança cibernética, implementar soluções apropriadas e melhorar continuamente a conscientização dos funcionários.

Plano de ação de segurança cibernética para PMEs

As PMEs podem reduzir os riscos e garantir a continuidade dos negócios investindo em soluções abrangentes de segurança cibernética e aumentando a conscientização dos funcionários. Para se proteger do cenário de ameaças em constante evolução, as empresas devem seguir estas regras:

1. Defina regras de acesso para recursos corporativos, como contas de e-mail, pastas compartilhadas e documentos on-line. Mantenha as listas de acesso atualizadas e revogue o acesso imediatamente quando os funcionários deixarem a empresa.
2. Faça backups regulares de dados importantes para garantir a preservação das informações corporativas em caso de emergências.
3. Estabeleça diretrizes claras para usar serviços e recursos externos. Crie procedimentos bem definidos para coordenar tarefas específicas, como implementar novo software, com o departamento de TI e outros gerentes responsáveis. Desenvolva diretrizes de segurança cibernética claras e objetivas para funcionários, com foco em contas, senhas, e-mail e navegação segura na Web. Um programa de treinamento completo equipará os funcionários com o conhecimento e a capacidade necessários para sua aplicação prática.
4. Conscientize os funcionários sobre a segurança. Realize treinamento dedicado para ensinar a equipe a detectar e lidar com ameaças potenciais e acompanhar seu progresso educacional. Com a Kaspersky Automated Security Awareness Platform, as organizações podem alcançar esses objetivos por meio de módulos on-line interativos e campanhas de phishing simuladas que promovem hábitos sustentáveis de higiene cibernética em todas as equipes.
5. Implemente soluções especializadas de segurança cibernética que se adaptam ao seu orçamento, tamanho e requisitos do setor, com ênfase na escalabilidade e facilidade de integração.
   1. O Kaspersky Small Office Security Premium é uma solução fácil de usar que protege contra ameaças avançadas e também fornece acesso ao treinamento de conscientização de segurança para funcionários, tornando-o ideal para microempresas.
   2. Pequenas e médias empresas com mais experiência em TI devem considerar o Kaspersky Next Optimum, que é projetado especificamente para organizações em crescimento e oferece proteção em tempo real, visibilidade de ameaças, bem como recursos de investigação e resposta de EDR e XDR.
6. Proteja sua empresa contra ameaças por e-mail. O Kaspersky Security for Mail Server, uma plataforma de segurança de e-mail abrangente que oferece proteção robusta e em várias camadas nos níveis de caixa de entrada e gateway, pode ajudar. Com tecnologia de machine learning e inteligência de ameaças líder global, lida efetivamente todos os desafios de segurança envolvendo e-mail.
7. Adote soluções especializadas, como o Kaspersky Digital Footprint Intelligence para monitorar se as informações de credenciais da empresa, dados vazados ou sites semelhantes aparecem na superfície, na deep e na dark web. Pequenas e médias empresas com orçamentos limitados de segurança de TI podem fazer parceria com um Provedor de serviços de segurança gerenciada (MSSP) para acessar esse serviço abrangente de proteção contra riscos digitais a um preço acessível por assinatura.