A nova pesquisa confirmou o que muitos já suspeitavam: o treinamento de funcionários contra phishing não vale o esforço. Realizado pela UC San Diego Health e pesquisadores da Censys, o estudo revelou que programas de capacitação em cibersegurança voltados para phishing não impactaram a eficácia em impedir que colaboradores caíssem em e-mails fraudulentos. Ao analisar dados de 10 campanhas de e-mails de phishing enviadas a mais de 19.500 funcionários da UC San Diego Health em um período de oito meses, os pesquisadores descobriram que “não havia relação significativa entre a finalização recente de um treinamento anual obrigatório em cibersegurança e a probabilidade de ser enganado por e-mails de phishing”.
A equipe também examinou a efetividade do treinamento baseado em simulações, onde e-mails de phishing falsos são enviados para verificar se os funcionários cairão na armadilha. A conclusão foi clara: esses esforços não surtiram efeito, e a taxa de falhas para quem completou o treinamento foi quase idêntica à daqueles que não participaram. A diferença na probabilidade de cair em um e-mail de phishing era de apenas 2%. Isso é alarmante, especialmente porque o phishing foi identificado como a principal causa de ransomware neste ano, exacerbado por ferramentas de roubo de informações e o uso abusivo de IA, conforme aponta o recente relatório da SpyCloud sobre ameaças à identidade. Além disso, o phishing foi o vetor de ataque mais reportado por empresas que participaram do estudo, afetando 35% das organizações, um aumento em relação a 25% em 2024.
O que é phishing? Phishing é uma ameaça constante que afeta indivíduos, pequenas e médias empresas e grandes corporações. As campanhas de phishing frequentemente adotam a forma de e-mails fraudulentos genéricos ou mensagens direcionadas, projetadas para provocar curiosidade, pânico ou medo nos destinatários. Ao redigir mensagens que suscitam temor ou urgência, os cibercriminosos esperam que suas vítimas não pensem de forma racional e, assim, cliquem impulsivamente em links ou forneçam informações sensíveis que possam ser usadas para roubo de identidade, transações fraudulentas ou outros crimes cibernéticos.
Diante de um risco tão grave e das consequências severas que uma violação relacionada ao phishing pode acarretar – como roubo de dados, destruição de informações, repercussões financeiras, implantação de ransomware e danos à reputação – as empresas buscam, naturalmente, soluções. Programas de treinamento contra phishing são uma tática popular na tentativa de reduzir o risco de ataques bem-sucedidos. Eles podem ser realizados anualmente ou em períodos mais longos, geralmente envolvendo a exibição de materiais instrucionais aos colaboradores. Os funcionários também podem receber e-mails de phishing simulados por um parceiro de treinamento e, caso cliquem em links suspeitos, essa falha é registrada.
Por que o treinamento contra phishing não funciona? Os pesquisadores da UC San Diego Health e da Censys destacaram que o conteúdo dos e-mails de phishing tem um papel fundamental em seu sucesso. Por exemplo, quase ninguém clicou em um link para atualizar a senha do Outlook, enquanto mais de 30% dos participantes clicaram em um e-mail que simulava uma atualização nas políticas de férias da empresa. Quanto mais prolongada a exibição de um esquema de phishing, maior era a probabilidade de um colaborador clicar em um link fraudulento, subindo de 10% no primeiro mês para mais de 50% no oitavo mês.
“Em conjunto, nossos resultados sugerem que programas de treinamento anti-phishing, em suas formas atuais e comumente utilizadas, provavelmente não oferecerão um valor prático significativo na redução dos riscos de phishing”, afirmaram os pesquisadores. De acordo com eles, a falta de engajamento nos programas modernos de treinamento em cibersegurança é a principal culpada, com taxas de participação frequentemente registradas em menos de um minuto ou até inexistentes. Quando não há envolvimento com os materiais de aprendizagem, é compreensível que o impacto seja nulo.
Soluções potenciais. Para combater essa questão, a equipe sugere que, para obter um retorno melhor sobre o investimento em proteção contra phishing, uma mudança para assistência técnica mais robusta pode ser eficaz. Por exemplo, instituir autenticação de dois ou múltiplos fatores (2FA/MFA) em dispositivos finais e restringir compartilhamento e uso de credenciais apenas em domínios confiáveis. Isso não significa que programas de treinamento de phishing não tenham seu lugar no ambiente corporativo. Devemos também voltar ao básico, buscando formas de engajar os aprendizes. Como ex-professor, sugiro que discussões em grupo, seminários presenciais e até mesmo a gamificação possam proporcionar a conexão ausente entre treinamento e resultados positivos.
[Referência: MicroStockHub/iStock/Getty Images Plus]
Posts relacionados:
O novo sistema de alerta contra fraudes da PayPal pode interceptar suas transações – saiba o motivo.
Equipe de Musk utiliza IA para monitorar funcionários, afirmam fontes.
6 maneiras de utilizar a IA para se destacar nas provas sem gastar nada
Fátima Bernardes se manifesta contra o uso indevido de sua imagem: “Fake News não é uma piada“
