Aulas contra phishing não funcionam como o esperado, diz estudo
Publicado em 9 de setembro de 2025 às 07:33
2 min de leituraFonte: Tecnoblog
Ataques de phishing estão entre os golpes digitais mais frequentes (ilustração: Vitor Pádua/Tecnoblog)
Resumo
• Um estudo com 20 mil funcionários do UC San Diego Health apontou que treinamentos contra phishing têm efeito limitado na prevenção.
• A diferença entre treinados e não treinados foi de apenas 1,7%, com mais de 75% dedicando menos de um minuto aos módulos e até metade encerrando a página de imediato.
• Módulos interativos reduziram em 19% o risco de golpes, mas a baixa adesão reforça a necessidade de integrar treinamentos a ferramentas automatizadas de segurança.
Uma pesquisa realizada com 20 mil colaboradores do hospital universitário UC San Diego Health colocou em xeque uma das medidas mais comuns de segurança digital no ambiente corporativo: os treinamentos obrigatórios contra phishing. Apesar do esforço de empresas e órgãos públicos em educar funcionários sobre como identificar golpes, o estudo indica que essas iniciativas têm efeito mínimo na prática.
O levantamento acompanhou dez campanhas simuladas de phishing ao longo de oito meses em 2023. A expectativa dos pesquisadores era observar uma melhora gradual no desempenho dos participantes conforme recebiam treinamentos periódicos. No entanto, os resultados mostraram que a taxa de falhas se manteve praticamente estável, independentemente do tempo decorrido desde a última capacitação.
Por que os treinamentos não funcionam como deveriam?
Segundo Grant Ho, professor da Universidade de Chicago e coautor do estudo, a conclusão é que os módulos de conscientização “não transmitiram conhecimento de segurança útil aos usuários”. A diferença entre quem havia passado pelo treinamento e quem não recebeu nenhum tipo de instrução foi de somente 1,7% nas simulações.
Uma das hipóteses para o baixo impacto é que o formato adotado não favorece a absorção do conteúdo. Em muitos casos, os módulos online eram ignorados: mais de 75% dos participantes passaram menos de um minuto na página de treinamento, enquanto entre 37% e 51% simplesmente a fecharam imediatamente após abrir.
“Muitas vezes, quando os funcionários clicam no treinamento, é apenas porque estavam navegando em outra aba ou verificando e-mails”, explicou Ho.
Golpes de phishing focam na manipulação das vítimas para roubo de dados sensíveis (imagem: Mohamed_hassan/Pixabay)
Os pesquisadores também testaram diferentes estilos de capacitação após cada simulação de phishing. Enquanto alguns grupos receberam dicas gerais de segurança, outros tiveram acesso a sessões interativas de perguntas e respostas ou a explicações detalhadas sobre o ataque enfrentado.
Apenas os módulos interativos mostraram resultados relevantes: aqueles que os concluíram tiveram 19% menos chances de cair em golpes. Porém, como a adesão foi baixa, o impacto geral no grupo permaneceu reduzido.
Fim dos treinamentos contra phishing?
Leia também
- HUAWEI X-TAP: como a nova tecnologia da marca redefine o monitoramento de saúde nos smartwatches?
Os smartwatches deixaram de ser apenas acessórios para contar passos ou exibir notificações do celular.
- Como alguém vira santo na Igreja Católica?
Neste domingo (7), o Vaticano declarou santo o jovem italiano Carlo Acutis, que faleceu em 2006 aos 15 anos em decorrência de uma leucemia fulminante.
- Google lança Modo IA em português; veja como funciona
Modo IA funciona de modo parecido com Gemini e ChatGPT (ilustração: Vitor Pádua/Tecnoblog)