O phishing – tipo de ataque que utiliza mensagens falsas para roubar dados ou instalar malwares – continua entre as principais portas de entrada para ataques contra empresas, mesmo com o avanço das ferramentas de proteção. Isso porque as brechas estão no comportamento humano e na forma como as organizações tratam a segurança, nem sempre nos dispositivos e sistemas.
Um levantamento da KnowBe4, dona de uma plataforma de gestão de riscos, descobriu que 33,1% dos usuários em simulações de ataques clicam em links ou interagem com mensagens de phishing. Os dados foram coletados em 67,7 milhões de simulações do tipo, realizadas com 14,5 milhões de usuários em mais de 62 mil organizações.
“Muitas organizações ainda tratam o phishing apenas como um problema tecnológico, quando na verdade ele está diretamente ligado ao comportamento humano. Sem treinamento contínuo e uma cultura de segurança forte, mesmo as melhores ferramentas podem ser insuficientes”, diz em comunicado Rafael Peruch, consultor técnico CISO da KnowBe4.
Veja também: Luiz Martins: como IA está mudando a forma de comprar no varejo | IT Forum Trancoso
A partir dessa base, a KnowBe4 mapeou cinco pontos cegos que ajudam a explicar por que o phishing continua funcionando. São eles:
- Treinamento tratado como ação pontual: Segundo a análise, programas contínuos de treinamento fazem diferença. Em 90 dias, a taxa de suscetibilidade ao phishing pode cair cerca de 40%;
- Cultura de segurança frágil: Mensagens que imitam comunicações internas, como avisos de RH ou de TI, seguem entre as que mais geram cliques nas simulações. Isso mostra como a confiança na rotina corporativa pode ser explorada com facilidade quando segurança não faz parte da rotina corporativa.
- Falta de visibilidade sobre o risco humano: Muitas empresas monitoram ameaças técnicas, malwares e vulnerabilidades, mas acompanham pouco o comportamento dos usuários. Métricas como o Phish-prone Percentage (PPP), que mede a probabilidade de funcionários caírem em ataques de phishing, ajudam a medir esse risco.
- Excesso de confiança: Muitos profissionais acreditam que saberiam identificar uma tentativa de phishing. Mas os dados mostram outra realidade: antes do treinamento, aproximadamente um terço dos usuários ainda interage com mensagens simuladas.
- Dependência excessiva de tecnologia: Filtros de e-mail e outras camadas de proteção seguem sendo fundamentais, mas não impedem todos os ataques. Quando uma mensagem maliciosa chega à caixa de entrada, a decisão do usuário passa a ser crítica.
Segundo a KnowBe4, programas contínuos de treinamento e conscientização podem reduzir o risco de phishing em até 86% após um ano. Para a empresa, isso reforça que o comportamento humano precisa ser tratado como parte central da estratégia de cibersegurança.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
