O phishing de 2024 não tem quase nada em comum com os emails de príncipes nigerianos dos anos 2000. Os ataques modernos são personalizados, convincentes, tecnicamente sofisticados e, em muitos casos, praticamente indistinguíveis de comunicações legítimas para um utilizador sem formação específica. E a inteligência artificial acelerou esta evolução de forma dramática.
Este artigo explica como os ataques evoluíram, porque a tecnologia sozinha não é suficiente, e como estruturar um programa de formação que realmente reduz o risco.
Como o phishing evoluiu: de genérico para hiper-personalizado
O phishing clássico era um email genérico enviado a milhões de pessoas, com erros ortográficos e links óbvios para sites falsos. A taxa de sucesso era baixa, mas o volume compensava. Hoje, os atacantes fazem o oposto: pesquisa detalhada do alvo, ataques de spear phishing (direccionados a indivíduos específicos) e business email compromise (BEC) que personificam executivos ou parceiros de negócio.
Um ataque de BEC típico em 2024: o atacante estuda o LinkedIn e o website da empresa, identifica o CFO e um fornecedor habitual, compromete ou falsifica o email do fornecedor, e envia uma solicitação de alteração de IBAN para pagamento com todos os detalhes correctos. A taxa de sucesso deste tipo de ataque, que não contém malware e não aciona filtros técnicos, é alarmantemente alta.
Em 2023, o FBI reportou que o Business Email Compromise custou às empresas globalmente mais de 2,9 mil milhões de dólares — mais do que qualquer outro tipo de cibercrime. Portugal não é excepção.
Os tipos de phishing que as empresas menos reconhecem
Vishing (voice phishing)
Chamadas telefónicas fraudulentas onde o atacante personifica suporte técnico, banco, autoridade fiscal ou colega de trabalho. Com ferramentas de clonagem de voz por IA, ataques que usam a voz de um executivo real estão a tornar-se cada vez mais comuns. Um colaborador que recebe uma chamada do ‘director financeiro’ a pedir transferência urgente tem poucos mecanismos de verificação.
Smishing (SMS phishing)
Mensagens de texto com links fraudulentos. Mais eficaz do que email em muitos contextos porque o utilizador está menos alerta a ameaças via SMS, os links são mais difíceis de verificar em ecrãs pequenos, e a urgência da mensagem (entrega de encomenda, alerta bancário) é frequentemente convincente.
QR Code phishing
Códigos QR em documentos físicos, emails ou mensagens que redireccionam para sites maliciosos. Particularmente eficaz porque o URL de destino não é visível antes de ser acedido, e a câmara do telemóvel não faz verificação de segurança do destino.
Por que a tecnologia sozinha não resolve
Filtros de email, sistemas de detecção de phishing, sandboxing de links e ferramentas de análise de comportamento são essenciais e devem estar implementados. Mas nenhuma tecnologia tem 100% de eficácia, e os atacantes evoluem especificamente para contornar as defesas técnicas existentes.
O elemento humano é, simultaneamente, a vulnerabilidade mais explorada e o controlo mais eficaz. Um colaborador treinado que identifica e reporta um email suspeito é mais eficaz do que qualquer filtro automático para ataques sofisticados e personalizados. A formação não substitui a tecnologia — complementa-a.
Como estruturar um programa de formação anti-phishing
Frequência e formato
Sessões anuais de formação de segurança não são suficientes. A retenção de conhecimento decai rapidamente sem reforço regular. O modelo mais eficaz combina: formação inicial completa para novos colaboradores (2-3 horas), sessões de actualização trimestrais curtas (30-45 minutos), e comunicações regulares de consciencialização (newsletter mensal de segurança, avisos sobre ataques actuais).
Conteúdo que funciona
Formação abstracta sobre ‘tipos de ataques’ tem pouco impacto. Formação baseada em exemplos reais, específicos do sector e da empresa, tem impacto significativamente maior. Mostre emails de phishing reais (com dados sensíveis removidos) e peça às pessoas para identificar os sinais de alerta. Use casos de empresas similares em Portugal. Torne o risco concreto e próximo.
Processo de reporte
A formação deve incluir um processo claro para reportar suspeitas. Se os colaboradores não sabem a quem reportar ou sentem que vão ser julgados por terem clicado num link suspeito, não reportam. Um ambiente psicologicamente seguro para reportar é tão importante quanto a formação técnica.
Simulações de phishing: como implementar sem criar paranoia
Simulações de phishing — enviar emails de phishing falsos à equipa e medir quem clica — são a ferramenta mais eficaz para avaliar a maturidade de segurança humana e identificar quem precisa de mais formação.
Regras para simulações eficazes e eticamente correctas: comunicar previamente à equipa que simulações serão realizadas (sem dizer quando), usar cenários realistas mas não excessivamente agressivos, tratar os resultados como dados de formação e não como avaliação de desempenho, e sempre usar os resultados para melhorar a formação, não para punir.
Ferramentas para simulações: KnowBe4, Proofpoint Security Awareness, Cofense, ou GoPhish (open-source). A maioria inclui templates de emails de phishing realistas e relatórios detalhados de resultados.
Métricas para medir a maturidade de segurança humana
| Métrica | O que mede | Benchmark razoável para PME |
| Taxa de clique em simulações | Susceptibilidade a phishing | Abaixo de 10% após formação |
| Taxa de reporte de simulações | Cultura de reporte activo | Acima de 30% |
| Tempo até reporte de email suspeito real | Rapidez de resposta | Menos de 1 hora |
| Percentagem da equipa com formação actualizada | Cobertura do programa | 100% |
| Número de incidentes causados por erro humano | Eficácia geral | Redução ano-a-ano |
>>> Implemente um programa de consciencialização de segurança na sua empresa. A JL Suporte & Consultoria desenvolve programas de formação e simulações de phishing ada
