Quase todas as organizações que arrancam um programa de sensibilização começam da mesma forma: enviar uma simulação de phishing, contar quantas pessoas clicaram e guardar o número. Um mês depois repetem o exercício, comparam as duas percentagens e declaram que o programa “está a funcionar” ou que “as pessoas não aprendem”. Na maioria dos casos não é uma coisa nem outra. O que costuma falhar não são as pessoas, mas o desenho da campanha.
O Verizon DBIR 2026 mostra que o phishing deixou de se concentrar no e-mail: os atacantes deslocaram-se para o móvel, onde as taxas de clique em mensagens de texto e chamadas são mais altas. O fator humano continua no centro, só que agora repartido por mais canais. Treinar essa resposta é exatamente para o que serve uma simulação, mas só se for pensada para mudar a conduta e não para produzir uma percentagem. Vejamos o que separa uma campanha que mexe o ponteiro de uma que só gera um relatório.
O que é uma simulação de phishing?
Uma simulação de phishing é um envio controlado que reproduz um ataque de engenharia social (por e-mail, SMS, código QR ou voz) com o objetivo de medir e treinar a resposta das pessoas a esse ataque, sem as expor a um risco real. Funciona como um ensaio, não como uma armadilha para “apanhar” quem se engana, e o seu valor está no que se aprende depois, não no resultado da primeira tentativa.
Dessa definição decorre o critério que ordena tudo o resto. Uma boa campanha é a que produz uma mudança de comportamento mensurável e sustentada, não a que baixa a taxa de cliques uma vez. Se uma decisão de desenho não contribui para essa mudança, está a mais.
Porque é que a taxa de cliques não chega para desenhar a campanha?
A taxa de cliques é fácil de medir e por isso domina os relatórios. O problema é que diz muito pouco. Uma organização pode baixar a sua percentagem de cliques simplesmente repetindo o mesmo template até toda a gente o reconhecer, sem que ninguém tenha aprendido a detetar um ataque novo.
O que convém observar é outra coisa: quantas pessoas reportam o e-mail suspeito, em quanto tempo chega o primeiro reporte e como evolui o mesmo grupo ao longo dos meses. Há uma análise mais extensa sobre o que um programa de sensibilização deveria medir de verdade, mas a ideia central é simples: a simulação desenha-se de trás para a frente, começando pela conduta que se quer ver, não pelo número que se quer baixar.
Quão parecido com um ataque real tem de ser o cenário?
Uma simulação só treina se se parecer com algo que poderia chegar amanhã. Se as pessoas veem sempre um template genérico com o logótipo de um banco que não usam, aprendem a reconhecer esse template e nada mais. Quando o cenário não se parece com o que a organização recebe de verdade, o que se aprende fica na simulação e nunca chega ao e-mail real. Por isso o realismo é a primeira decisão de desenho de uma campanha.
Desenhar realismo implica três decisões concretas:
- Localização por contexto, não por idioma. Um aviso de uma entidade fiscal argentina não treina uma empresa espanhola, mesmo que ambos estejam em espanhol. O engodo tem de pertencer ao ambiente real de quem o recebe.
- Vetores atuais. Hoje os ataques combinam canais: e-mail, SMS (smishing), códigos QR (quishing) e voz (vishing). Uma campanha que só simula e-mail treina para metade do problema.
- Dificuldade progressiva. Começar por engodos evidentes e subir o nível à medida que o grupo amadurece. Arrancar com o e-mail mais sofisticado possível só gera frustração e reforça a ideia de que “é impossível dar conta”.
Há um detalhe operacional que condiciona tudo o anterior: se as simulações precisam que a TI adicione exceções no filtro de correio, as mensagens chegam “marcadas como seguras” e a resposta distorce-se. Vale a pena perceber porque é que entregar a simulação sem pedir whitelist muda a qualidade do dado, e como os falsos positivos de sandboxes e scanners podem contaminar as métricas se a ferramenta não os filtrar.
Com que frequência convém enviar simulações?
A frequência é onde mais programas descarrilam, por excesso ou por defeito. Uma única campanha por ano é um exame surpresa: mede, mas não ensina. Uma campanha por semana satura, e a saturação produz o efeito contrário ao pretendido, porque as pessoas deixam de prestar atenção ao que se torna rotina.
O equilíbrio razoável para a maioria das organizações é uma cadência regular e espaçada, sustentada no tempo, ajustada ao nível de maturidade de cada grupo. Desenvolvemo-lo em detalhe em quanto duram as campanhas de phishing, mas o princípio é que a aprendizagem vive na repetição espaçada, não no evento único nem no bombardeamento.
O que acontece no momento do clique?
É aqui que se decide se uma campanha ensina ou apenas avalia. Quando uma pessoa clica numa simulação, está no instante de máxima atenção: sabe que aconteceu algo e quer perceber o quê. Desperdiçar esse momento com um ecrã que diz “erraste” é deitar fora a melhor oportunidade de aprendizagem de todo o programa.
Uma campanha desenhada para mudar a conduta dispara nesse instante um momento educativo: conteúdo breve, imediato e sem tom punitivo que mostra que pistas havia no e-mail e como reconhecê-las da próxima vez. Funciona porque a aprendizagem fixa-se quando o erro está fresco, não semanas depois numa formação agendada. É a mesma lógica de como os nudges e os momentos educativos moldam o comportamento: intervir no momento certo, com a dose certa.
Como se sustenta uma cultura sem culpa?
Nenhuma campanha muda o comportamento se as pessoas a vivem como uma caça. Se cair numa simulação se traduz em exposição pública ou numa sanção, as pessoas aprendem a esconder o erro em vez de o reportar, e um incidente escondido é muito mais caro do que um reportado a tempo. O objetivo é construir um reflexo de reporte, e esse reflexo só cresce num ambiente onde reportar (mesmo depois de ter clicado) é fácil, seguro e reconhecido. Quanto menos atrito tiver o gesto, melhor: um botão de reporte integrado na própria caixa de entrada transforma o aviso num único clique e devolve feedback imediato à pessoa.
Por isso a métrica mais valiosa de uma campanha madura não é quantas pessoas caem, mas quantas pessoas reportam e com que rapidez. Uma organização onde o primeiro reporte chega em dois minutos tem uma janela real de defesa; uma onde ninguém reporta tem um risco silencioso.
Como o resolve a SMARTFENSE?
A SMARTFENSE é uma plataforma de sensibilização presente em mais de 30 países da LATAM e Espanha, e a sua ferramenta de simulação de ataques de phishing está construída sobre estes princípios. O catálogo de templates está localizado por país e é atualizado com as campanhas reais observadas na região; cobre os quatro vetores (e-mail, smishing, quishing e vishing); integra-se por API com o Microsoft 365 e o Google Workspace para entregar as simulações na caixa de entrada sem exigir whitelist; e, no momento do clique, dispara um momento educativo que reforça a aprendizagem quando a atenção está alta. As métricas não ficam pela taxa de cliques: incluem taxa de reporte, tempo até ao primeiro reporte e evolução longitudinal por utilizador, alimentadas por um botão de reporte que regista cada aviso nos registos de auditoria e reforça o hábito com feedback instantâneo.
Uma simulação de phishing bem desenhada não é a que apanha mais gente. É a que consegue que, da próxima vez, perante um e-mail real, uma pessoa pare um segundo antes de clicar. Esse segundo é todo o programa. Se queres ver como se desenha uma campanha assim de ponta a ponta, uma demo da SMARTFENSE é um bom ponto de partida.
Deixe um comentário