Por redação AIoT Brasil

A estratégia não é nova, mas continua eficiente, principalmente com a ajuda da IA. Mesmo com o avanço das ferramentas de cibersegurança, o phishing (golpe que faz com que as pessoas baixem arquivos nocivos e forneçam informações sigilosas) faz milhões de vítimas nas empresas ou em casa. O motivo vai além da tecnologia: em muitos casos, as brechas continuam no comportamento humano e na forma como as organizações tratam a segurança no dia a dia.

Um levantamento da KnowBe4, plataforma que aborda a gestão de riscos humanos e de IA com agentes, reforça esse cenário. A empresa analisou 67,7 milhões de simulações de phishing realizadas com 14,5 milhões de usuários em mais de 62 mil organizações no mundo. Antes de qualquer treinamento em segurança, 33,1% dos usuários clicam em links ou interagem com mensagens de phishing simuladas.

“Os criminosos têm usado a Inteligência Artificial principalmente para tornar os ataques mais convincentes, personalizados e escaláveis. Hoje, a IA permite criar e-mails de phishing muito mais bem escritos, sem erros e adaptados ao contexto da vítima, o que aumenta significativamente as chances de engajamento”, afirma Rafael Peruch, consultor técnico CISO da KnowBe4.

Além disso, essas ferramentas ajudam a simular comunicações internas com mais precisão, replicando o tom de áreas como RH, financeiro ou liderança – exatamente os tipos de mensagens que costumam gerar mais cliques. A IA também facilita a automação desses ataques em larga escala, permitindo que campanhas sejam rapidamente ajustadas e testadas.

Para a KnowBe4, o dado mostra que o problema não está apenas na sofisticação dos ataques, mas também em falhas recorrentes dentro das próprias organizações. A partir dessa base, a KnowBe4 mapeou cinco pontos cegos que ajudam a explicar por que o phishing continua funcionando.

• O treinamento ainda é tratado como ação pontual: Quando a conscientização acontece de forma isolada, o impacto tende a ser limitado. Segundo a análise, programas contínuos de treinamento fazem diferença mais concreta. Em 90 dias, a taxa de suscetibilidade ao phishing pode cair cerca de 40%.
• A cultura de segurança continua frágil: Mensagens que imitam comunicações internas, como avisos de RH ou de TI, seguem entre as que mais geram cliques nas simulações. Isso mostra como a confiança na rotina corporativa pode ser explorada com facilidade quando segurança não faz parte da rotina corporativa.
• Falta de visibilidade sobre o risco humano: Muitas empresas monitoram ameaças técnicas, malwares e vulnerabilidades, mas ainda acompanham pouco o comportamento dos usuários. Métricas como o Phish-prone Percentage (PPP), que mede a probabilidade de funcionários caírem em ataques de phishing, ajudam a trazer esse risco para uma gestão mais concreta.
• Excesso de confiança continua sendo um problema: Muitos profissionais acreditam que saberiam identificar uma tentativa de phishing. Mas os dados mostram outra realidade: antes do treinamento, aproximadamente um terço dos usuários ainda interage com mensagens simuladas.
• Dependência excessiva de tecnologia: Filtros de e-mail e outras camadas de proteção seguem sendo fundamentais, mas não impedem todos os ataques. Quando uma mensagem maliciosa chega à caixa de entrada, a decisão do usuário passa a ser crítica.

Segundo a KnowBe4, programas contínuos de treinamento e conscientização podem reduzir o risco de phishing em até 86% após um ano. Para a empresa, isso reforça que o comportamento humano precisa ser tratado como parte central da estratégia de cibersegurança.