Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
  • Home
  • A IBLISS
    • Responsabilidade Social
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Teste de Intrusão
    • Conscientização & Cultura
    • Serviços Gerenciados
    • Compliance & Governança
    • AppSec & DevSecOps
  • Conteúdos
    • Blog
    • Materiais Ricos
    • Boletins de vulnerabilidades
  • Oportunidades
  • Contato
IBLISS Digital Security
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Aviso de Privacidade
  • Blog Minuto Proteção
  • Boletins de vulnerabilidades
  • Contato
  • E-book Programa de Conscientização em Segurança da Informação
  • Home
  • IBLISS + GAT Security score
  • Infográfico Gestão de Vulnerabilidades – um passo em direção a um caminho seguro
  • Infográfico Por que investir em um Programa de Conscientização?
  • Infográfico RESILIÊNCIA CIBERNÉTICA
  • Materiais Ricos
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Compliance & Governança
    • Conscientização & Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Serviços Gerenciados
  • Oportunidades
  • Parceiros tecnológicos
  • Política de Cookies
  • Política de segurança da informação – fornecedores, parceiros e prestadores de serviços
  • Política de Segurança de Alto Nível

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Acontece na IBLISS
  • Se nós já sabemos o que é Phishing, por que ainda clicamos?
Acontece na IBLISS

Se nós já sabemos o que é Phishing, por que ainda clicamos?

(Série Risco Humano – Parte II)

Por Suzana Martins, Especialista de Conscientização na IBLISS DIGITAL SECURITY.

O laboratório do golpe do Brasil

No artigo anterior, exploramos e entendemos que o ser humano não é o elo fraco da cibersegurança, mas sim o ponto de decisão final. Vimos que os atacantes conseguem o clique ao desarmar o nosso lado lógico (Sistema 2) por meio de um sequestro emocional agudo (Sistema 1). Essa mecânica biológica opera do mesmo modo em qualquer cérebro no planeta.

No entanto, quando cruzamos essa vulnerabilidade neurobiológica com fatores culturais, sociais e tecnológicos específicos, alguns cenários se tornam muito mais propícios ao ataque do que outros. É aqui que entramos na realidade brasileira. Afinal, por que o Brasil figura sistematicamente no topo dos rankings globais de vítimas de phishing?

A resposta vai muito além da tecnologia, pois ela está enraizada em nossos hábitos de consumo digital, na cultura da hiperconectividade e na nossa tendência de abraçar a conveniência e a agilidade digital antes mesmo de mensurar riscos. Os criminosos perceberam isso e transformaram a rotina do brasileiro em um cenário perfeito para o ataque.

As engrenagens do sucesso do phishing no Brasil

O ponto de partida para entender esse cenário é o paradoxo da hiperconectividade sem letramento digital. De acordo com dados do relatório global DataReportal, o brasileiro passa, em média, mais de 9 horas por dia conectado à internet, o que nos coloca rotineiramente nos primeiros lugares do ranking mundial de tempo de tela.

Somos uma população apaixonada por tecnologia e extremamente ativa no ambiente virtual. Contudo, esse acesso em massa e veloz não veio acompanhado por uma educação digital preventiva de base. Há uma enorme familiaridade em usar as ferramentas, mas pouquíssima percepção dos riscos invisíveis que trafegam por elas. Navegamos muito, mas desprotegidos.

É justamente dentro dessa rotina hiper conectada que se consolida a revolução do Pix. Esse sistema transformou a nossa economia pela agilidade, mas também virou a ferramenta dos sonhos para a engenharia social, pois eliminou o fator tempo, que antes era um dos maiores aliados da segurança. Diferente de um boleto ou de uma TED, cujos prazos de compensação dão à vítima uma janela de respiro para desconfiar, ligar para o banco e cancelar a operação, o Pix reduziu essa janela a zero ou quase zero.

A cronologia do golpe é simples: o atacante só precisa prender a atenção e o emocional da vítima por alguns segundos, que é o tempo suficiente de digitar a senha e apertar confirmar. Uma vez feita a transferência, o dinheiro some da conta instantaneamente. O golpe acontece na velocidade de um clique, muito antes de o susto passar, o Sistema 2 reassumir o controle e a pessoa recuperar a capacidade de raciocinar com clareza.

Para além do imediatismo das transações financeiras, o crime digital no Brasil encontrou outro facilitador, que é a migração dos e-mails tradicionais para o WhatsApp. Essa mudança é puramente psicológica. O e-mail ainda carrega uma formalidade institucional fria, entretanto o aplicativo de mensagem é o lugar onde conversamos com nossos filhos, pais e amigos.

Quando o criminoso invade esse ambiente de conveniência, ele se beneficia de uma quebra de padrão; a nossa guarda natural cai porque o nosso subconsciente associa aquela interface à intimidade e à confiança imediata. O filtro lógico do cérebro é totalmente desarmado pelo afeto.

Por fim, quando o golpe se consolida, entra em ação um componente psicológico silencioso e devastador: a vergonha da vítima. A grande maioria dos brasileiros que caem em fraudes opta por não relatar o ocorrido à empresa ou às autoridades por puro constrangimento. O medo do julgamento social e a falsa crença de que caíram por ingenuidade geram uma subnotificação em massa. Sem o compartilhamento do erro, o conhecimento não circula, o Sistema 2 coletivo da organização não aprende, e o próximo colaborador continua vulnerável à mesma abordagem criminosa e vetor de ataque não reportado.

Romper esse ciclo de silêncio e vulnerabilidade exige mais do que regras rígidas, pede mudanças no meio e maneira como educamos nossas equipes.

O redesenho prático: como conscientizar pelo emocional

De acordo com o relatório anual DBIR (Data Breach Investigations Report) da Verizon, o primeiro clique em uma campanha de phishing acontece, em média, em rápidos 2 minutos e 12 segundos. Diante desse dado, fica evidente que o modelo tradicional de conscientização falhou. Não mudamos comportamentos enviando e-mails frios uma vez por mês com regras de segurança, aplicando questionários obrigatórios ou criando campanhas apenas na semana de segurança.

Essas iniciativas conversam apenas com o lado lógico do cérebro (o Sistema 2). Elas não geram impacto a longo prazo e não marcam o colaborador. É por isso que vivemos um paradoxo clássico nas empresas: o colaborador que decora as regras, acerta todos os quizzes e fica em primeiro lugar no ranking de segurança costuma ser o primeiro a clicar no golpe real.

O motivo é simples: o questionário treina a teoria com o cérebro calmo, mas o ataque real atira no emocional sob estresse. Para virar esse jogo e preparar as equipes de verdade, é preciso parar de cobrar respostas teóricas e começar a desenhar experiências práticas que ativem a vivência do colaborador.

Para que a conscientização dialogue de verdade com o emocional e gere um impacto inesquecível, as organizações precisam estruturar sua cultura em três pilares práticos:

  1. Simulações vivenciais e de verdade: ao invés de apenas dizer o que é um golpe, os colaboradores precisam viver a experiência em ambientes controlados. Para isso, os testes de phishing corporativos não podem ser amadores, pois o atacante estuda o alvo de maneira cirúrgica. Campanhas baseadas em narrativas reais, com vivências experimentais onde as pessoas assumem o papel de investigadores ou desvendam a lógica do atacante, geram uma memória física e emocional duradoura. Quando o aprendizado passa pela experiência prática e convincente, ele se fixa na memória de longo prazo.
  2. Treinar o sinal de alerta emocional: os treinamentos devem ensinar as pessoas a reconhecerem suas próprias reações biológicas diante da tela. Se você leu uma mensagem e sentiu o coração acelerar, uma urgência súbita de clicar ou um medo repentino de sofrer uma punição, esse sentimento é o seu principal indicador de segurança. A campanha deve instruir o colaborador a quando sentir urgência, parar, respirar e acionar a dúvida. Nada de pressa. Precisamos educar o comportamento sob pressão.
  3. Cultura do acolhimento em vez da punição: para combater a vergonha e o silêncio da vítima, as empresas precisam criar um ambiente seguro de reporte. O colaborador que clica em um teste de phishing ou em um golpe real e reporta imediatamente deve ser parabenizado pela agilidade, não punido. O erro deve ser transformado em estudo de caso (sem expor o indivíduo), humanizando o processo e quebrando o ciclo do constrangimento.

A segurança da informação moderna não pode mais se dar ao luxo de travar uma guerra puramente técnica contra um inimigo que ataca o comportamento. A última linha de defesa de qualquer organização sempre dependerá de uma escolha humana.

Se o crime cibernético vence ao manipular o que a vítima sente, a conscientização só será eficiente quando descer dos manuais técnicos e aprender a abraçar a psicologia humana. Ao criarmos campanhas que tocam o coração, geram empatia e promovem o acolhimento, nós não apenas protegemos o ambiente digital das empresas, como empoderamos o indivíduo para se tornar o ponto de decisão mais forte e consciente dessa corrente. Afinal, aquilo que nos emociona de verdade é o que o cérebro jamais esquece.

Se nós já sabemos o que é Phishing, por que ainda clicamos?
29 de junho de 2026

Postagens Recentes

  • Se nós já sabemos o que é Phishing, por que ainda clicamos?
  • Se nós já sabemos o que é Phishing, por que ainda clicamos?
  • Novas regras de segurança cibernética: o que mudou e como sua empresa deve se preparar
  • IBLISS e Vicarius: liderando o futuro da exposição preemptiva reconhecido pela IDC
  • Golpes Digitais com o Flipper: o “canivete suíço” dos hackers

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Aviso de Privacidade
  • Política de Cookies
  • Política de Segurança de Alto Nível
  • PSI – Fornecedores & Parceiros

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.

Utilizamos cookies e outras tecnologias semelhantes para garantir que você obtenha a melhor experiência em nosso site. Consulte a Política de Cookies. Além disso, ao continuar navegando, você está ciente com o nosso Aviso de Privacidade.