O que é uma simulação de phishing?
Publicado em: 9 Ago 2022
Última modificação em: 8 Set 2025
O phishing é um problema grave para empresas de todas as dimensões e sectores. Mas o que é uma simulação de phishing? Uma simulação de phishing é um exercício de formação concebido para educar os funcionários sobre ataques de phishing, imitando cenários da vida real. Ao utilizar estes exercícios de simulação de phishing, uma organização pode assumir o controlo desta ameaça insidiosa, melhorando a sua capacidade de identificar e responder eficazmente às tentativas de phishing.
Os cibercriminosos adoram fazer phishing com os funcionários para roubar credenciais e dados, e infetar as empresas com ransomware. O Relatório de Tendências da Atividade de Phishing do Grupo de Trabalho Anti-Phishing (APWG) mostra que o phishing atingiu um máximo histórico no segundo trimestre de 2022. Além disso, esses ataques mostraram um aumento de 7% no roubo de credenciais contra funcionários de empresas.
O resultado é muitas vezes catastrófico quando uma palavra-passe ou outros dados são roubados: um ataque de phishing fez com que o Departamento de Defesa dos EUA entregasse 23,5 milhões de dólares (19,3 milhões de libras) a um cibercriminoso; a Universidade Aberta de Londres sofreu mais de um milhão de ataques de phishing ao longo de nove meses, causando enormes perturbações, e a lista continua.
Porque é que os programas de simulação de phishing são importantes?
O phishing é, sem dúvida, uma das ferramentas mais bem sucedidas no arsenal do cibercriminoso para obter informações sensíveis. Um relatório da RiskIQ sobre as perdas devidas ao cibercrime revelou que se perderam 17 700 dólares (14 500 libras) por minuto devido a ataques de phishing.
O phishing é um método inteligente de engenharia social que engana os funcionários e outros utilizadores para que façam coisas que beneficiem o hacker. Os cibercriminosos utilizam amplamente o phishing, com 83% das organizações a serem alvo de ataques de phishing em 2021.
Com o passar do tempo, os hackers por detrás dos e-mails de phishing apercebem-se dos sistemas de software automatizados que impedem o phishing, como as plataformas anti-spam/portais de e-mail. Como resultado, os piratas informáticos alteram a forma como os esquemas de phishing funcionam e o conteúdo desses e-mails, de modo a poderem escapar aos gateways de e-mail.
Por exemplo, um relatório que analisou 55,5 milhões de mensagens de correio eletrónico enviadas para o Microsoft Office 365 revelou que 25% das mensagens de correio eletrónico de phishing com anexos maliciosos foram permitidas através do gateway de correio eletrónico integrado no Office 365. O resultado é que os e-mails de phishing são difíceis de evitar, e o e-mail de phishing acaba na caixa de entrada de um funcionário desavisado, pronto para o enganar e fazer com que ele entregue credenciais de login ou instale malware.
No entanto, este funcionário desavisado pode tornar-se um funcionário cibernético, conhecedor e consciente da segurança através de exercícios regulares de simulação de phishing.
O que acontece num ataque de simulação de phishing?
Os ataques de phishing simulados são concebidos para se assemelharem exatamente a uma tentativa real de phishing. Uma plataforma de phishing simulado é utilizada para gerar e-mails de phishing simulados como parte de uma campanha de formação de sensibilização para a segurança. Os funcionários e qualquer outro grupo de utilizadores que necessitem de formação de sensibilização para a segurança devem receber estes e-mails de phishing simulado.
A plataforma de teste de phishing interage com o utilizador para ajudar a formá-lo sobre os perigos do phishing. No entanto, a plataforma também deve registar e auditar o que acontece quando o utilizador recebe o e-mail de phishing simulado. Por exemplo, o utilizador abre o e-mail, clica numa ligação ou descarrega um anexo, etc.?
Estes eventos são registados e são gerados relatórios que podem ser utilizados para avaliar o sucesso da formação de sensibilização para a segurança e as áreas que precisam de ser melhoradas.
Principais caraterísticas do melhor software de simulação de phishing
O software avançado de simulação de phishing deve ter várias caraterísticas importantes:
Imita e-mails de phishing reais
O sistema deve criar mensagens de correio eletrónico de phishing realistas que reflictam as actuais campanhas de phishing observadas na vida real.
Oferece uma grande variedade de modelos
A plataforma de simulação de phishing deve ser fornecida com um grande conjunto de modelos que podem ser utilizados para conceber um e-mail de phishing de aspeto realista. Os modelos devem ser configuráveis para corresponder a marcas conhecidas e criar nomes de domínio e URLs “semelhantes”.
Pode ser adaptado para refletir as funções
Sabe-se que os autores de fraudes têm como alvo funções organizacionais específicas, como RH e contas a pagar. Os executivos são também um grupo-alvo e devem ser envolvidos em exercícios de simulação de phishing, uma vez que ciberataques específicos, como o Business Email Compromise, podem afetar o C-Level. Por conseguinte, as mensagens de phishing simuladas devem ser adaptadas a grupos de empregados.
Aprendizagem pontual
As pessoas aprendem melhor quando estão envolvidas e têm uma experiência de aprendizagem interactiva. Uma plataforma que fornece aprendizagem pontual permite que os funcionários aprendam com os seus erros. Por exemplo, os funcionários receberão uma notificação de aviso se clicarem numa hiperligação maliciosa.
Uma experiência interactiva pontual ajuda a explicar o que aconteceu e os perigos associados a um e-mail de phishing. Alguns sistemas avançados vão mais longe e educam o empregado sobre estratégias de prevenção para ajudar a evitar futuras tentativas de phishing.
Oferece opções de idioma
Muitas empresas empregam funcionários que falam inglês como segunda língua ou têm escritórios em países que não falam inglês. Por conseguinte, os modelos de e-mail de phishing simulado devem ser capazes de oferecer suporte noutras línguas.
Auditoria e relatórios
As métricas de um exercício de simulação de phishing são essenciais, uma vez que oferecem uma visão sobre o progresso da Formação de Sensibilização para a Segurança. Além disso, as métricas detalham quantos funcionários são vulneráveis a ataques de phishing.
Alguns sistemas avançados fornecem uma análise granular das métricas de phishing para analisar departamentos e grupos de utilizadores específicos. Os relatórios gerados a partir destas métricas demonstram a eficácia de um programa de simulação de phishing e identificam áreas fracas na compreensão do pessoal sobre o que o phishing implica.
Qual é a eficácia das simulações de phishing?
De acordo com um inquérito da Cisco, os e-mails de phishing são difíceis de detetar, sendo que 86% das empresas têm pelo menos um funcionário que clica numa ligação maliciosa. E basta que um funcionário clique numa ligação e introduza as credenciais de início de sessão num site falso para abrir as portas da sua rede. As simulações de phishing oferecem uma forma de minimizar o risco de um clique desastroso.
Com que frequência deves enviar uma simulação de phishing?
Um estudo da USENIX sobre a longevidade da formação em sensibilização para a segurança revelou que os funcionários ainda conseguiam detetar e-mails de phishing quatro meses após a formação inicial. No entanto, após seis meses, os funcionários perderam a capacidade de detetar e-mails maliciosos.
O relatório salienta ainda que os vídeos e a formação interactiva são os que produzem resultados mais duradouros, com este nível de formação a durar mais seis meses. Por conseguinte, o relatório recomenda que a formação seja efectuada de seis em seis meses. Além disso, simulações regulares de phishing são uma boa ideia, pois o cenário de segurança também tende a mudar com frequência.
