Phishing: como combater?

Segundo o Gartner, até 2028, 25% das empresas ampliarão as ferramentas de acesso remoto seguro e para segurança de endpoints implementando pelo menos uma tecnologia de navegador corporativo seguro. O motivo: o aumento dos ataques de phishing. Segundo a pesquisa Global Cybersecurity Outlook 2025, do World Economic Forum, essa modalidade de ataque teve um elevado aumento em 2024, sendo relatada por 42% das organizações entrevistadas para o relatório.

Os ataques de phishing miram tanto pessoas físicas quanto empresas. E neste último caso, são direcionados a funcionários. Em ambos os casos, são realizados por meio de técnicas de engenharia social, geralmente envolvendo uma história (falsa) de aparência verdadeira, com o objetivo de fazer o alvo clicar em um link.

Nesse cenário, o fator que mais tem gerado preocupação é o uso da Inteligência Artificial. Por meio dela, os ataques de phishing podem ser baseados em textos extremamente semelhantes àqueles que seriam enviados por uma empresa real, e também em imitações fiéis de vozes (chamadas de vishing, o phishing por voz) e, em casos mais extremos, vídeos de deepfake. De fato, segundo a KnowBe4, 82,6% de phishing analisados por essa consultoria envolvem algum tipo de Inteligência Artificial. A empresa diz que esses emails são “mais convincentes, mais difíceis de serem detectados e mais rápidos de serem produzidos”.

Como as empresas devem agir neste cenário? Embora o uso da Inteligência Artificial realmente seja um dos fatores mais importantes responsáveis pelo aumento dos casos de phishing, a defesa contra esses ataques continua sendo o aumento da resiliência cibernética das organizações. E uma vez que o mecanismo utilizado pelos cibercriminosos ainda é a engenharia social, melhorar a capacidade de defesa de uma empresa depende de aumentar a conscientização digital de todos seus funcionários.

Como se faz isso? Todos os que leem este texto já devem ter passado pela experiência de, ao iniciarem em um emprego novo, passarem uma tarde assistindo vídeos sobre “dos” e donts” – e nada mais. Geralmente é o único treinamento contra ataques digitais que um funcionário recebe em seu tempo de empresa. Mas para que o conteúdo sobre conscientização realmente seja absorvido, o primeiro passo é realizar planejamento. As necessidades e condições não são as mesmas para todas as empresas, e insistir em programas de conscientização padronizados terá poucos resultados e custos desnecessários.

Em segundo lugar, cada organização deve realizar um diagnóstico de seu estado de maturidade digital e, com isso, entender quais são as melhores ações a serem realizadas com os funcionários. Ações estas que não devem visar controle ou penalizações, mas aprendizado. Um dos modos mais eficazes de fazer com que esse conteúdo seja gravado nas mentes das pessoas é usar ações lúdicas. Elas fazem com que o funcionário encare o treinamento de modo descontraído, sem que sinta pressões. O próximo passo compreende testes, para mensurar o grau de aprendizagem, informações que devem ser utilizadas para correções de rota nos treinamentos, se houver necessidade.

Esses cuidados são essenciais para que uma organização possa combater o phishing, seja ele realizado por mensagens, voz ou vídeos. Na luta contra essa modalidade de ataque, as pessoas de uma organização não são o elo mais fraco, mas o mais forte. E para isso seja realidade, elas devem estar bem preparadas.

Por Renato Batista, CEO da Netglobe Cyber Security