Pular para o conteúdo principal
Fechar
Segurança

Phishing: 1 em Cada 3 Clica e a Repetição Que Fecha a Porta

Gabriel Ferraresi· CEO | Tech8615 de julho de 20266 min
segurancaphishingawarenesssimulacaomfaedrroirecursos-humanos

1 em cada 3 funcionários clica em phishing. Esse é o número que define o problema — e a maioria das empresas ainda trata awareness como checkbox.

Segundo a KnowBe4 2025, com base em 67 milhões de simulações, a taxa global de clique antes do treinamento é de 33,1%. No Brasil, segundo a Kaspersky 2025, 553 milhões de tentativas de phishing foram bloqueadas em 12 meses — 1,5 milhão por dia. A conta é direta: 33,1% de taxa de clique contra 1,5 milhão de e-mails maliciosos por dia. O problema vive nas pessoas, não na tecnologia.

Nós da Tech86 vemos esse padrão em toda empresa que audita. A infraestrutura técnica está endurecida — firewall, EDR, MFA, Zero Trust. Mas o funcionário ainda clica. E um clique é tudo que o atacante precisa.

A escala: 33,1% de clique, 1,5 milhão de e-mails por dia

Os números são os que assustam. Segundo a KnowBe4 2025, 33,1% dos funcionários clicam em phishing antes de qualquer treinamento. Não é um subconjunto — é um em cada três. Em uma empresa de 300 pessoas, 100 vão clicar no primeiro e-mail convincente que receber.

No Brasil, segundo a Kaspersky 2025, 553 milhões de tentativas de phishing foram bloqueadas em 12 meses. Isso é 1,5 milhão por dia — e é apenas o que foi bloqueado. O que passou pelos filtros chegou às caixas de entrada. E contra esses, a taxa de clique é de 33,1%.

O phishing também evoluiu. Segundo a Microsoft 2025, phishing gerado por IA alcançou 54% de taxa de clique contra 12% de phishing manual. A IA elimina os erros gramaticais, personaliza a mensagem em escala e imita o tom da empresa-alvo. Segundo a Cofense 2025, há 1 ataque a cada 19 segundos. O volume e a qualidade aumentaram ao mesmo tempo — e o funcionário médio não tem defesa instintiva contra isso.

A resposta é repetição

Aqui é onde muda. Segundo a KnowBe4 2025, após 12 meses de simulação contínua, a taxa de clique cai de 33,1% para 4,1%. Uma redução de 87,6%. Não é um workshop anual. Não é um PDF de boas práticas. É repetição.

Segundo a KnowBe4, com base em 493 milhões de testes, simulações semanais são 2,74 vezes mais eficazes que trimestrais. A frequência é a variável que mais importa — mais que o conteúdo do treinamento, mais que a duração, mais que o formato. O cérebro aprende por exposição repetida. Um workshop anual é um evento. Uma simulação semanal é um hábito.

Nós repetimos: a resposta é repetição. Não existe atalho. Treinamento pontual não muda comportamento porque o comportamento não muda com um único estímulo. A simulação contínua funciona porque reescreve a reação automática do funcionário ao ver um e-mail suspeito. O clique deixa de ser instinto e vira decisão.

MFA é necessário. Treinamento é o que fecha a porta

MFA é a camada que a maioria das empresas já tem. E é necessária — sem MFA, credenciais vazadas funcionam sozinhas. Mas MFA não é suficiente.

Segundo a Proofpoint 2025, 59% das contas comprometidas tinham MFA ativo. O atacante evoluiu: MFA fatigue (envio de dezenas de prompts até o usuário aprovar por cansaço), adversary-in-the-middle (proxy que intercepta o token de sessão após o MFA), e phishing kits que capturam o segundo fator em tempo real. MFA aumenta o custo do ataque, mas não fecha a porta.

MFA é necessário. Treinamento é o que fecha a porta. As duas camadas trabalham juntas — o MFA contém o que o treinamento não impediu, e o treinamento reduz o que chega ao MFA. Nenhuma substitui a outra. Quem confia apenas no MFA está apostando que o atacante não evoluiu — e o atacante evoluiu.

O ROI: US$ 4,8 milhões contra 80 mil dólares

O argumento financeiro é o que fecha a conversa. Segundo a IBM 2025, o custo médio de um breach iniciado por phishing é de US$ 4,8 milhões. Esse valor inclui detecção, contenção, notificação, perda de receita e multa regulatória.

O custo de um programa anual de simulação é de cerca de 80 mil dólares — estimativa de mercado para uma empresa de porte médio. O retorno é de aproximadamente 60 para 1. Cada dólar investido em simulação evita 60 dólares de custo de breach.

Não existe controle de segurança com ROI desse magnitude. Firewall não tem. EDR não tem. SIEM não tem. Todos reduzem risco, mas nenhum tem uma relação de 60 para 1 entre custo e perda evitada. A razão é simples: o phishing é o vetor de entrada em mais de um terço dos breaches, e a simulação é o único controle que ataca diretamente a variável humana — que é onde o atacante entra.

Como a Tech86 implementa

Nós enviamos simulações de phishing ilimitadas, com micro-treinamento no momento do clique. O funcionário clica, recebe imediatamente um treinamento de 30 segundos no contexto exato do erro — não uma semana depois em uma sala de aula. O painel de risco humano identifica quem é vulnerável, por departamento, com taxa de clique histórica e tendência.

O botão de denúncia integrado ao Outlook e Gmail transforma cada funcionário em sensor. Um e-mail suspeito denunciado por um funcionário alerta toda a equipe de segurança antes que outros cliquem. E o EDR detecta e isola o payload se o clique virar execução — porque mesmo com treinamento, algum clique vai acontecer. As três camadas trabalham juntas: treinamento reduz cliques, botão de denúncia converte cliques em inteligência, EDR contém o que escapou.

Conclusão: simulação é o controle de maior ROI

Simulação é o controle de maior ROI na sua stack de segurança. Quem trata como checkbox não entende o problema.

O problema não é falta de tecnologia — é falta de repetição. 33,1% de taxa de clique não é uma falha de firewall; é uma falha de hábito. E hábito se muda com exposição repetida, não com um workshop anual. A redução de 87,6% após 12 meses não é mágica — é a resposta do cérebro humano à repetição.

Na Tech86, nós ajudamos empresas a construir programas de simulação que realmente reduzem a taxa de clique — com frequência semanal, micro-treinamento no momento do clique, painel de risco humano por departamento, e integração entre botão de denúncia e EDR. Não como checkbox. Como o controle de maior ROI que existe na sua stack de segurança.

Interessado nesta solução?

Conheça nossos serviços gerenciados e infraestrutura.

Simulação de Phishing e Treinamento

Perguntas Frequentes

Segundo a KnowBe4 2025, com base em 67 milhões de simulações, a taxa global de clique antes do treinamento é de 33,1%. Isso significa que 1 em cada 3 funcionários clica em um e-mail de phishing. No Brasil, segundo a Kaspersky 2025, 553 milhões de tentativas de phishing foram bloqueadas em 12 meses — 1,5 milhão por dia. A conta é direta: 33,1% de taxa de clique contra 1,5 milhão de e-mails maliciosos por dia. O problema vive nas pessoas.

Segundo a KnowBe4 2025, após 12 meses de simulação contínua, a taxa de clique cai de 33,1% para 4,1% — uma redução de 87,6%. A resposta é repetição. Simulações semanais são 2,74 vezes mais eficazes que trimestrais, segundo a KnowBe4, com base em 493 milhões de testes. A frequência é a variável que mais importa. Treinamento pontual não muda comportamento; repetição semanal sim.

Segundo a Microsoft 2025, phishing gerado por IA alcançou 54% de taxa de clique contra 12% de phishing manual. A IA personaliza mensagens em escala, imita tom e contexto, e elimina os erros gramaticais que antes denunciavam ataques amadores. Segundo a Cofense 2025, há 1 ataque a cada 19 segundos. O volume e a qualidade aumentaram ao mesmo tempo.

MFA é necessário, mas não é suficiente. Segundo a Proofpoint 2025, 59% das contas comprometidas tinham MFA ativo. O MFA adiciona uma camada, mas atacantes usam técnicas como MFA fatigue e adversary-in-the-middle para contornar o segundo fator. MFA é necessário. Treinamento é o que fecha a porta. As duas camadas trabalham juntas — nenhuma substitui a outra.

Segundo a IBM 2025, o custo médio de um breach iniciado por phishing é de US$ 4,8 milhões. O custo de um programa anual de simulação é de cerca de 80 mil dólares (estimativa de mercado). O retorno é de aproximadamente 60 para 1 — cada dólar investido em simulação evita 60 dólares de custo de breach. Simulação é o controle de maior ROI na sua stack de segurança. Quem trata como checkbox não entende o problema.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.