Phishing continua sendo uma das formas mais comuns para invasores obterem acesso a redes empresariais. Ele imita comunicações de negócios legítimas do dia a dia, sendo uma técnica ideal para coletar informações comerciais valiosas sem que ninguém perceba. No relatório Cyber Security Breaches Survey 2025 do governo do Reino Unido, o phishing foi o tipo mais comum de violação ou ataque relatado por empresas que identificaram incidentes, afetando 85% delas e o equivalente a 37% de todas as empresas no geral.
O treinamento de conscientização deve ser uma exigência da empresa, não apenas uma tarefa de conformidade. Uma única tentativa de phishing bem-sucedida pode expor credenciais, conceder acesso a sistemas internos e criar problemas que se espalham muito além da caixa de entrada de um único funcionário.
O problema é que muitas organizações ainda dependem de esforços pontuais de conscientização, embora o phishing mude constantemente. Um programa mais eficaz pode dar aos funcionários prática repetida, hábitos de relatório mais claros e controles de suporte que reduzem o impacto dos erros.
Como é o phishing em um contexto empresarial
O phishing empresarial evoluiu além dos e-mails obviamente falsos e cheios de erros ortográficos. Na prática, é muito mais provável que os funcionários encontrem tentativas de aparência realista, tais como:
- Solicitações de verificação de conta
- Notificações de documentos compartilhados
- Páginas de login para plataformas de negócios comuns
- Aprovações de faturas
- Atualizações de RH
- Mensagens de fornecedores de confiança ou executivos internos.
Se um membro da equipe responder, os invasores podem usar as informações coletadas sobre funcionários ou empresas para tornar as mensagens mais persuasivas e realistas, especialmente em campanhas mais direcionadas.
Spear phishing, falsificação de executivos e coleta de credenciais
O treinamento de conscientização sobre phishing precisa preparar as equipes para vários padrões ao mesmo tempo. O spear phishing é uma das variações mais comuns de phishing. Em vez de enviar uma mensagem genérica para milhares de destinatários, o invasor personaliza o e-mail para uma função, projeto, colega ou relação com fornecedor específica.
A mensagem parece plausível porque é construída em torno de algo que o funcionário esperaria ver de forma realista. Esse tipo de segmentação geralmente se torna mais convincente por informações coletadas em sites da empresa, perfis públicos ou outras fontes on-line.
Outra variação de phishing é a falsificação de executivos, às vezes chamada de fraude de CEO. Aqui, o invasor imita um líder sênior ou um stakeholder importante para criar urgência em torno de um pagamento, um arquivo ou uma solicitação de credenciais, pressionando a equipe a transferir dinheiro ou informações, a menos que os processos normais de verificação sejam seguidos.
Um terceiro padrão é a coleta de credenciais. Nesses ataques, o funcionário é levado a uma página de início de sessão falsa, projetada para capturar nomes de usuário, senhas e, às vezes, até códigos de senha de uso único (OTP).
O treinamento de phishing deve refletir os fluxos de trabalho reais da empresa, em vez de dar conselhos genéricos. Muitas páginas de phishing são criadas para se assemelharem a ferramentas que os funcionários já usam todos os dias.
Por que as mensagens comerciais de rotina são tão eficazes
O phishing continua sendo eficaz nas organizações porque geralmente se mistura às operações cotidianas. Uma solicitação de início de sessão falsa só precisa parecer familiar por tempo suficiente para que alguém aja no piloto automático. O mesmo se aplica a mensagens de fornecedores, notificações de documentos compartilhados ou solicitações internas urgentes.
É por isso que o treinamento não deve se concentrar apenas em redações suspeitas ou gramática ruim. Você também precisa entender como os invasores exploram as formas normais de trabalho. Pense em como sua organização opera e como você pode ajudar a equipe a reconhecer solicitações que fogem dos processos normais, especialmente quando envolvem dinheiro, credenciais ou informações confidenciais.
Exemplos recentes de violações
Relatórios recentes de violações reforçam o ponto de que o phishing dentro das empresas agora vai muito além de simples golpes na caixa de entrada.
De acordo com o Observatório de Violações de Dados da Proton, a empresa de cartões comemorativos Hallmark Cards foi alvo do grupo de hackers de extorsão criminosa conhecido como ShinyHunters. O grupo obteve registros pertencentes à Hallmark Cards através da Salesforce e deu à empresa um prazo de extorsão a ser cumprido. Por fim, o grupo vazou 2,8 milhões de registros exclusivos.
O ShinyHunters é prolífico, visando muitas empresas de alto perfil nos últimos meses. Em janeiro de 2026, a marca de vestuário Canada Goose foi vinculada a uma violação de cerca de 600.000 registros de clientes. Os dados originaram-se de uma violação de terceiros que ocorreu em agosto de 2025.
Esses exemplos são úteis porque mostram como é o phishing em ambientes de negócios hoje: não apenas fraude na caixa de entrada, mas ataques voltados a prestadores de serviços, sistemas de identidade, acesso interno e as relações de confiança em que as organizações dependem todos os dias.
Por que apenas a conscientização não é suficiente
A conscientização sobre phishing é importante, mas não é suficiente por si só. Os funcionários não cometem erros apenas por falta de informação. Eles também os cometem porque estão ocupados, distraídos, sob pressão ou avançando rapidamente em fluxos de trabalho onde uma mensagem de phishing pode facilmente passar por legítima à primeira vista.
É por isso que o treinamento não deve ser baseado na ideia de que cada funcionário consegue identificar cada tentativa de phishing. As organizações não podem confiar apenas na detecção do usuário. Alguns ataques ainda passarão, o que significa que controles técnicos, processos claros e educação do usuário precisam trabalhar juntos.
Um programa de treinamento de conscientização sobre phishing mais forte é construído em torno dessa realidade. Ele ajuda você a reconhecer sinais de alerta comuns, fazer uma pausa quando algo parecer estranho, denunciar rapidamente e trabalhar em sistemas que tornam um erro mais fácil de conter. Também se conecta naturalmente à prontidão para incidentes.
Se alguém clicar em um link malicioso ou compartilhar credenciais, a organização precisará de um caminho de resposta rápido e claro. O treinamento torna-se muito mais eficaz quando os funcionários sabem o que acontece após uma denúncia e qual função desempenham. O guia da Proton para resposta a incidentes pode ajudar sua organização a elaborar um plano.
Como é um programa de treinamento de conscientização sobre phishing eficaz?
Um programa eficaz de treinamento de conscientização sobre phishing não é baseado em uma única sessão anual e alguns exemplos desatualizados. Ele é contínuo, prático e projetado em torno da maneira como as pessoas realmente trabalham. Isso significa reforço regular, cenários realistas e feedback que ajuda você a desenvolver um melhor julgamento ao longo do tempo.
Na prática, a conscientização sobre phishing deve aparecer em mais de um momento. Deve fazer parte da integração, treinamentos de atualização, lembretes curtos baseados em cenários e revisões de incidentes, não algo que os funcionários vejam uma vez e esqueçam. Também precisa refletir a exposição real.
Alguém que lida com faturas, suporte executivo, comunicação com fornecedores, acesso privilegiado ou registros confidenciais provavelmente enfrentará diferentes tipos de pressão de phishing em comparação a alguém em um fluxo de trabalho de menor risco. As orientações de phishing do NCSC refletem essa realidade ao observar que funcionários com acesso a informações confidenciais, ativos financeiros ou sistemas de TI podem ser alvos mais frequentes.
A prática também precisa ser bem utilizada. Phishing simulado pode ser útil, mas não quando se torna um exercício de culpa. Simulações mal administradas podem prejudicar a confiança e desencorajar as pessoas de relatar erros se sentirem que estão sendo pegas em vez de apoiadas.
Um programa mais forte usa simulações com cuidado, fornece feedback imediato e aumenta a dificuldade gradualmente. Não se trata de tentar provar que você é fácil de enganar, mas sim de ajudar a desenvolver o reconhecimento de padrões, hábitos de denúncia e mais confiança em situações reais.
Os cinco sinais de phishing que os funcionários ainda deixam passar
Muitos funcionários conhecem os sinais de aviso clássicos, mas ainda perdem as pistas mais sutis que ocorrem em ataques reais a empresas. O treinamento de conscientização sobre phishing é muito mais útil quando ensina as pessoas a reconhecerem os padrões que se encaixam no seu trabalho cotidiano.
1. Uma mensagem que condiz com o fluxo de trabalho, mas altera o canal ou a urgência
Os e-mails de phishing mais eficazes não parecem nem um pouco aleatórios. Eles se assemelham a solicitações de faturas, documentos compartilhados, atualizações de folha de pagamento ou notificações de início de sessão que os funcionários esperam receber.
O que muda é a urgência, o sigilo ou o processo. Um invasor quer que o alvo pule as verificações normais. As orientações do NCSC alertam especificamente que os invasores exploram processos e solicitações de negócios, incluindo pedidos de informações ou pagamentos não autorizados.
2. Um nome de remetente confiável ocultando um domínio ruim ou uma fonte falsificada
Os funcionários costumam focar no nome de exibição e não no endereço completo, no caminho de resposta ou no domínio. Esse é um dos motivos pelos quais os controles de antifalsificação importam, mas o treinamento ainda precisa ensinar as pessoas a irem mais devagar quando uma marca familiar ou um colega parece um pouco “estranho”.
O NCSC aconselha as organizações a dificultarem a falsificação de e-mail (spoofing) por meio de controles como Domain-based Message Authentication, Reporting, and Conformance (DMARC), Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). Juntas, essas verificações de autenticação de e-mail ajudam os sistemas de recebimento a verificar se uma mensagem realmente vem do domínio que afirma vir.
3. Uma página de início de sessão que parece normal o suficiente
Páginas de coleta de credenciais não precisam parecer perfeitas. Elas só precisam parecer familiares por tempo suficiente para que um funcionário insira um nome de usuário e senha. Na prática, a maior pista pode ser o contexto em vez do design: por que essa solicitação de início de sessão está aparecendo agora e por que através deste caminho?
4. Uma solicitação que pede rapidez em vez de verificação
A personificação de executivos, fraudes de faturas e golpes de fornecedores costumam se apoiar na urgência. A mensagem é elaborada para fazer com que a verificação pareça inconveniente ou desleal. Um bom treinamento de phishing deve ensinar que a urgência inesperada não é apenas uma linguagem suspeita; é um sinal para mudar do modo de resposta de e-mail para o modo de verificação.
5. Uma situação em que denunciar parece constrangedor
Um dos sinais de aviso mais negligenciados é interno, em vez de técnico: um funcionário nota algo estranho, mas hesita em denunciar porque não tem certeza, está muito ocupado ou teme parecer descuidado.
O NCSC adverte contra a repreensão de usuários que têm dificuldade em reconhecer o phishing, pois o medo de represálias inibe as denúncias. Programas saudáveis, portanto, ensinam aos funcionários que levantar uma preocupação cedo é útil, mesmo que a mensagem acabe sendo inofensiva.
O que acontece quando o treinamento falha
Quando o treinamento de phishing falha, o prejuízo costuma ser medido em credenciais antes de ser medido em qualquer outro lugar. Um usuário insere uma senha em um portal falso, aprova uma solicitação inesperada ou compartilha detalhes de início de sessão por meio de uma solicitação convincente que parece interna. A partir desse ponto, o problema não é mais apenas uma decisão na caixa de entrada. Torna-se um problema de controle de acesso.
É aqui que a conexão entre phishing e a higiene de senhas se torna tão crítica. Se a mesma senha for reutilizada em vários serviços, uma credencial comprometida pode se tornar uma rota para o e-mail, ferramentas SaaS, plataformas de nuvem ou sistemas de administrador. Se os inícios de sessão compartilhados ainda forem tratados por métodos informais ou não controlados, a responsabilidade cai ainda mais.
O Data Breach Observatory Report da Proton observa que nomes e e-mails aparecem em 9 de cada 10 violações, que 72% das violações contêm dados de contato e que 49% incluem senhas. Isso significa que os invasores muitas vezes têm exatamente a matéria-prima necessária para tornar o phishing mais convincente e para explorar a reutilização de senhas quando obtêm sucesso.
Recentes exemplos de violações reforçam o mesmo ponto sob outro ângulo. Nos relatórios de violação da Proton, os incidentes relacionados a phishing em 2026 não pararam em um link clicado; eles se transformaram em acesso à rede, exposição interna e incidentes de negócios mais amplos. É por isso que a prevenção de ataques de phishing não pode consistir apenas no reconhecimento por parte do funcionário. Ela também precisa reduzir o alcance que as credenciais roubadas podem ter assim que uma conta for comprometida.
Senhas exclusivas para cada serviço são um dos controles mais simples e valiosos aqui. Elas não impedem que uma tentativa de phishing aconteça, mas ajudam a conter os danos. Se uma senha for roubada, ela não deve desbloquear outros cinco sistemas.
Um gerenciador de senhas empresarial seguro apoia uma estratégia de cultura de segurança. O Proton Pass for Business foi projetado para ajudar as equipes a gerarem e armazenarem senhas fortes e exclusivas para cada serviço, reduzindo a chance de que um evento de phishing bem-sucedido se espalhe por toda a organização.
Um modelo prático de treinamento de phishing para funcionários
O melhor lugar para começar não é com materiais de treinamento genéricos, mas sim com a maneira como a sua organização realmente funciona.
Foque primeiro nos cenários de phishing que os funcionários têm mais probabilidade de enfrentar: solicitações de início de sessão, personificação de fornecedores, aprovações de pagamento, notificações de documentos compartilhados, solicitações de executivos ou ataques a provedores de identidade. O treinamento se torna muito mais útil quando as pessoas conseguem reconhecer a própria realidade de trabalho nele.
Denunciar também precisa ser simples e seguro. As orientações de phishing do NCSC deixam claro que as organizações devem ajudar os usuários a identificar e denunciar mensagens de phishing suspeitas, enquanto o Site de Denúncia de Fraude(nova janela) oferece a rota oficial de denúncia do Reino Unido para phishing e crimes cibernéticos. Os funcionários devem saber onde denunciar internamente, o que incluir e o que fazer imediatamente se clicarem em um link, inserirem credenciais ou aprovarem um acesso.
O treinamento deve ser apoiado por controles que reduzam o custo dos erros. Isso inclui filtragem de e-mail, proteções contra falsificação de e-mail (spoofing), fluxos de login seguros, A2F e uma higiene de senha mais forte. As orientações comerciais da Proton sobre a prevenção de ataques de phishing também apontam para o valor de canais de denúncia claros, prática repetida e monitoramento de credenciais expostas.
Por fim, meça mais do que apenas cliques. As taxas de cliques em simulações podem ser úteis, mas as taxas de denúncia, o tempo para denunciar, os padrões de falhas repetidas e os incidentes relacionados a credenciais costumam dar uma imagem mais clara se a resiliência está melhorando. O NCSC também recomenda pensar cuidadosamente sobre as métricas de phishing para que as organizações não acabem desestimulando as denúncias seguras.
Uma detecção perfeita não é possível, mas uma resposta mais forte sim
O treinamento de conscientização sobre phishing é mais eficaz quando vai além da ideia de que os funcionários devem ser capazes de identificar todos os ataques com perfeição. Um objetivo mais realista é construir uma equipe que consiga reconhecer sinais de aviso familiares, denunciar preocupações rapidamente e responder de formas que impeçam que um erro se transforme em um incidente maior.
Isso exige mais do que informação. Exige prática repetida, exemplos que reflitam funções e fluxos de trabalho reais e processos claros nos quais os funcionários possam confiar quando algo parecer errado. Também exige controles que reduzam o impacto do roubo de credenciais quando uma tentativa de phishing for bem-sucedida. Por esse motivo, o treinamento de phishing para funcionários funciona melhor como parte de uma cultura de segurança mais ampla, e não como um exercício de conscientização isolado.
Organizações que reduzem bem o risco de phishing tendem a combinar os mesmos elementos: treinamento prático, hábitos de denúncia claros, maior prontidão para incidentes e uma higiene de credenciais mais rigorosa. Os recursos da Proton sobre ataques de phishing e resposta a incidentes reforçam o mesmo princípio: a conscientização é muito mais eficaz quando apoiada por sistemas que tornam uma invasão mais fácil de conter.
