top of page
Buscar

O ataque agora parece rotina

  • Setrix Segurança em Tecnologia da Informação
  • há 22 horas
  • 5 min de leitura

Durante muito tempo, a discussão sobre awareness em segurança girou em torno de um objetivo relativamente simples: fazer com que as pessoas reconhecessem ameaças. 

  

Campanhas internas, cursos obrigatórios, simulações de phishing por e-mail, tudo construído para aumentar o nível de conhecimento do usuário médio. Em teoria, quanto mais informado, menor o risco. 

  

Na prática, esse raciocínio começa a mostrar limites claros. 

  

Não porque o treinamento seja inútil, mas porque ele raramente testa aquilo que realmente importa: como as pessoas se comportam quando o ataque acontece de verdade. 

  

O problema não é saber. É decidir em tempo real 

  

Uma das evidências mais incômodas dos últimos anos é que o comportamento de risco não está necessariamente ligado à falta de conhecimento. 

  

Estudos recentes mostram que a maior parte dos usuários que assumem comportamentos inseguros sabe que está fazendo algo potencialmente arriscado. Ainda assim, prossegue. 

  

Isso acontece porque o ataque moderno não se apresenta como um erro óbvio. 

  

Ele aparece como uma decisão plausível. 

  

Em vez de um e-mail mal escrito pedindo senha, o usuário recebe uma ligação de alguém que se apresenta como suporte interno, mencionando um problema urgente na conta. Ou uma mensagem em uma ferramenta corporativa, com linguagem coerente e contexto crível. Ou ainda uma solicitação aparentemente legítima para autorizar uma aplicação já conhecida. 

  

Nesses momentos, a decisão não passa por reconhecer um “golpe clássico”. 

  

Ela passa por avaliar uma situação ambígua, em tempo real, sob pressão e com pouca margem para confirmação. 

  

É aí que o treinamento tradicional deixa de ser suficiente. 

  

O phishing saiu da caixa de entrada 

  

Os dados mais recentes ajudam a entender essa mudança. 

  

O M-Trends 2026 mostra que o voice phishing já representa cerca de 11% dos vetores iniciais de ataque observados, enquanto o phishing por e-mail caiu significativamente em relação aos anos anteriores.

Ao mesmo tempo, relatórios do Google indicam crescimento consistente de campanhas que utilizam engenharia social em tempo real para enganar usuários e equipes de suporte. 

  

Em investigações conduzidas pela própria Microsoft, há casos documentados em que o atacante inicia o contato por ferramentas corporativas como Teams, se apresenta como suporte técnico e conduz a vítima a conceder acesso remoto por meios legítimos. O processo não envolve necessariamente malware, nem exploração técnica sofisticada. 

  

Ele funciona porque se encaixa na rotina. 

  

Essa é a principal mudança de cenário: o ataque deixou de depender de erro evidente e passou a depender de contexto plausível. 

  

Quando o comportamento importa mais que o conhecimento 

  

Esse deslocamento muda a natureza do problema. 

  

Saber identificar um e-mail suspeito continua sendo útil, mas não prepara o usuário para lidar com uma interação convincente, conduzida por um interlocutor insistente, que conhece processos internos e explora a urgência como mecanismo de pressão. 

  

Nessas situações, o fator decisivo não é conhecimento isolado, mas comportamento. 

  

  • O que a pessoa faz quando não tem certeza absoluta? 

  • Ela interrompe o processo ou segue adiante? 

  • Ela valida a informação ou assume que é legítima? 

  • Ela escala a dúvida ou tenta resolver sozinha? 

  

Essas perguntas não são teóricas. Elas determinam se o ataque avança ou não. 

  

E, na maioria das organizações, elas não são testadas de forma estruturada. 

  

A ilusão da simulação controlada 

  

Grande parte dos programas de awareness ainda se baseia em simulações previsíveis. 

  

E-mails de phishing com sinais relativamente claros, enviados em ambiente controlado, com avaliação posterior. Esse tipo de exercício tem valor, mas não representa o cenário atual de forma completa. 

  

Ele testa reconhecimento, mas não testa reação sob pressão. 

  

Não testa tomada de decisão em contexto ambíguo. 

  

Não testa comportamento espontâneo diante de uma situação que parece legítima. 

  

Enquanto isso, o atacante treina exatamente o contrário. Ele aperfeiçoa a capacidade de parecer convincente, de adaptar abordagem em tempo real, de explorar o canal mais adequado, seja telefone, chat ou colaboração interna. 

  

Existe um descompasso evidente entre o que a empresa simula e o que o ataque realmente faz. 

  

Awareness phishing não é campanha. É capacidade 

  

Diante desse cenário, tratar awareness como um programa de comunicação contínua se torna insuficiente. 

  

O que está em jogo não é apenas transmitir informação, mas desenvolver uma capacidade operacional: a de reconhecer situações suspeitas em contextos imperfeitos e reagir de forma adequada. 

  

Isso implica repensar tanto o formato quanto o objetivo das iniciativas. 

  

Em vez de medir apenas engajamento com conteúdo ou taxa de erro em simulações previsíveis, torna-se mais relevante observar como a organização responde a situações próximas do real. 

  

  • Quanto tempo leva para uma tentativa suspeita ser reportada? 

  • Com que qualidade essa informação chega ao time de segurança? 

  • As áreas seguem procedimentos de validação antes de conceder acesso? 

  • O help desk está preparado para lidar com engenharia social direcionada? 

  • Há consistência na resposta ou cada área reage de forma diferente? 

  

Esses são indicadores de capacidade, não apenas de conscientização. 

  

O papel da organização no erro individual 

  

Outro ponto importante é que o erro raramente é apenas individual. 

  

Quando um colaborador concede acesso indevido, muitas vezes ele está operando dentro de um ambiente que não facilita a decisão correta. Processos pouco claros, canais de validação inexistentes, pressão por agilidade e ausência de padrões consistentes contribuem diretamente para esse tipo de situação. 

  

O ataque moderno explora essas fragilidades organizacionais tanto quanto explora as individuais. 

  

Por isso, awareness eficaz não pode ser isolada do desenho de processos. 

  

Ela precisa estar conectada à forma como acessos são concedidos, como solicitações são validadas, como suporte é prestado e como exceções são tratadas. 

  

Sem isso, o treinamento prepara a pessoa, mas o ambiente continua favorecendo o erro. 

  

Testar antes que o ataque teste 

  

Se há uma conclusão clara nesse cenário, é que awareness precisa ser testada de forma mais próxima da realidade. 

  

Não para expor falhas individuais, mas para revelar como a organização reage quando a situação não é óbvia. 

  

Simular apenas o erro clássico produz conforto. 

  

Testar comportamento em contexto plausível produz aprendizado. 

  

A diferença entre esses dois modelos define o nível de preparo da empresa para lidar com a engenharia social moderna. 

  

O que está em jogo 

  

No fim, a questão não é se as pessoas sabem o que é phishing. 

  

É se a organização consegue operar com segurança quando o phishing não parece phishing. 

  

Esse é o ponto em que muitos programas de awareness deixam de acompanhar o cenário atual, e é também o ponto em que a diferença entre treinamento e preparo se torna evidente. 

  

Porque o ataque já não depende mais de ignorância. 

  

Ele depende de confiança. 

  

E confiança, quando não é validada sob pressão, se torna um dos vetores mais eficientes de comprometimento. 


  

Fontes 

  

Mandiant / Google Cloud. M-Trends 2026 Executive Edition. 

Google Cloud. Cloud Threat Horizons Report H1 2026. 

Google Cloud. Cybersecurity Forecast 2026. 

Microsoft Security Blog. Help on the line: How a Microsoft Teams support call led to compromise. 

Microsoft Tech Community. RSA 2026: What’s new in Microsoft Defender? 

Proofpoint. Cybersecurity Awareness Hub / State of the Phish 2024. 

Comentários

Setrix

comercial@setrix.com.br

Tel: (47) 3025-7400

Av. João Colin, 1285 - Sala 03 - América
Joinville, SC - CEP 89204-001

  • Facebook
  • Instagram
  • LinkedIn

©2022 Setrix.
Todos os direitos reservados

bottom of page