Phishing continua a ser uma das formas mais comuns de os atacantes acederem a redes empresariais. Imita as comunicações empresariais legítimas do dia a dia, sendo por isso uma técnica ideal para recolher informações empresariais valiosas sem que ninguém se aperceba. No relatório Cyber Security Breaches Survey 2025 do governo do Reino Unido, o phishing foi o tipo mais comum de incidente ou ataque relatado pelas empresas que identificaram incidentes, afetando 85% delas e o equivalente a 37% de todas as empresas em geral.

A formação de sensibilização deve ser uma obrigação empresarial e não apenas uma tarefa de conformidade. Uma tentativa de phishing bem-sucedida pode expor credenciais, conceder aceder a sistemas internos e criar problemas que se propagam muito para além da caixa de entrada de um único funcionário.

O problema é que muitas organizações continuam a confiar em esforços de sensibilização pontuais, apesar de o phishing mudar constantemente. Um programa mais eficaz pode dar aos funcionários uma prática repetida, hábitos de denúncia mais claros e controlos de apoio ao cliente que reduzem o impacto dos erros.

Como é que o phishing se apresenta num contexto empresarial

O phishing empresarial evoluiu para além dos e-mails obviamente falsos e cheios de erros ortográficos. Na prática, é muito mais provável que os funcionários encontrem tentativas de aspeto realista, tais como:

  • Solicitações de verificação de conta
  • Notificações de documentos partilhados
  • Páginas de início de sessão para plataformas empresariais comuns
  • Aprovações de faturas
  • Atualizações de RH
  • Mensagens de fornecedores de confiança ou executivos internos.

Se um membro da equipa responder, os atacantes podem então utilizar as informações que recolheram sobre funcionários ou empresas para tornar as mensagens mais persuasivas e realistas, especialmente em campanhas mais direcionadas.

Spear phishing, personificação de executivos e recolha de credenciais

A formação sobre sensibilização para o phishing tem de preparar as equipas para vários padrões em simultâneo. O spear phishing é uma das variações mais comuns de phishing. Em vez de enviar uma mensagem genérica para milhares de destinatários, o atacante personaliza o e-mail para um cargo, projeto, colega ou relação com fornecedor específicos.

A mensagem parece plausível porque é construída em torno de algo que o colaborador esperaria realisticamente ver. Este tipo de segmentação torna-se muitas vezes mais convincente através de informações recolhidas em sítios web da empresa, perfis públicos ou outras fontes online.

Outra variação de phishing é a personificação de executivos, por vezes referida como fraude do CEO. Aqui, o atacante imita um líder sénior ou uma parte interessada importante para criar urgência em torno de um pagamento, de um ficheiro ou de um pedido de credenciais, pressionando a equipa a transferir dinheiro ou informações, a menos que os processos de verificação normais sejam seguidos.

Um terceiro padrão é a recolha de credenciais. Nestes ataques, o colaborador é empurrado para uma página de início de sessão falsa concebida para capturar nomes de utilizador, palavras-passe e, por vezes, até códigos de palavra-passe única (OTP).

A formação sobre phishing tem de refletir os fluxos de trabalho empresariais reais, em vez de dar conselhos genéricos. Muitas páginas de phishing são construídas para se assemelharem a ferramentas que os colaboradores já utilizam todos os dias.

Porque é que as mensagens de rotina das empresas são tão eficazes

O phishing continua a ser eficaz nas organizações porque se mistura frequentemente com as operações quotidianas. Um aviso de início de sessão falso só precisa de parecer familiar o tempo suficiente para que alguém aja em piloto automático. O mesmo acontece com mensagens de fornecedores, notificações de documentos partilhados ou pedidos internos urgentes.

É por isso que a formação não se deve focar apenas em redações suspeitas ou gramática deficiente. Os colaboradores também precisam de compreender como os atacantes exploram as formas normais de trabalhar. Pense em como a sua organização funciona e como pode ajudar o pessoal a reconhecer pedidos que fogem aos processos normais, especialmente quando envolvem dinheiro, credenciais ou informações sensíveis.

Exemplos recentes de incidentes

Os relatórios recentes de incidentes reforçam o ponto de que o phishing dentro das empresas vai agora muito além de simples esquemas na caixa de entrada.

De acordo com o Observatório de Incidentes de Dados da Proton, a empresa de cartões de felicitações Hallmark Cards foi alvo do grupo de hackers de extorsão criminosa conhecido como ShinyHunters. O grupo obteve registos pertencentes à Hallmark Cards a partir da Salesforce e deu à empresa um prazo de extorsão para cumprir. Em última análise, o grupo divulgou 2,8 milhões de registos únicos.

O grupo ShinyHunters é prolífico, tendo visado muitas empresas de alto perfil nos últimos meses. Em janeiro de 2026, a marca de vestuário Canada Goose foi associada a um incidente de cerca de 600 000 registos de clientes. Os dados tiveram origem num incidente de terceiros que ocorreu em agosto de 2025.

Estes exemplos são úteis porque mostram como é o phishing nas definições de negócio atuais: não apenas um engano na caixa de entrada, mas ataques dirigidos a prestadores de serviços, sistemas de identidade, acessos internos e às relações de confiança em que as organizações confiam todos os dias.

Porque é que a sensibilização por si só não é suficiente

A sensibilização para o phishing é importante, mas não é suficiente por si só. Os colaboradores não cometem erros apenas por falta de informação. Também os cometem porque estão ocupados, distraídos, sob pressão ou a avançar rapidamente através de fluxos de trabalho onde uma mensagem de phishing pode facilmente passar por legítima à primeira vista.

É por isso que a formação não deve ser construída em torno da ideia de que cada colaborador pode detetar cada tentativa de phishing. As organizações não podem confiar apenas na deteção por parte do utilizador. Alguns ataques continuarão a passar, o que significa que os controlos técnicos, os processos claros e a educação do utilizador precisam de trabalhar em conjunto.

Um programa de formação de sensibilização para o phishing mais robusto é construído em torno dessa realidade. Ajuda os colaboradores a reconhecer sinais de aviso comuns, a colocar em pausa quando algo parece estranho, a reportar rapidamente e a trabalhar em sistemas que tornam um erro mais fácil de conter. Também se liga naturalmente à preparação para incidentes.

Se alguém clicar numa ligação maliciosa ou partilhar credenciais, a organização precisa de um caminho de resposta rápido e claro. A formação torna-se muito mais eficaz quando os colaboradores sabem o que acontece após a realização de um relatório e qual o cargo que desempenham. O guia da Proton para resposta a incidentes pode ajudar a sua organização a elaborar um plano.

Como é um programa de formação de sensibilização para o phishing eficaz?

Um programa de formação de sensibilização para o phishing eficaz não é construído em torno de uma única sessão anual e de alguns exemplos desatualizados. É contínuo, prático e concebido em torno da forma como as pessoas realmente trabalham. Isto significa reforço regular, cenários realistas e comentários que ajudem os colaboradores a desenvolverem um melhor discernimento ao longo do tempo.

Na prática, a sensibilização para o phishing deve surgir em mais do que um momento. Deve fazer parte da integração, da formação de reciclagem, de pequenos lembretes baseados em cenários e da revisão de incidentes, e não ser algo que os colaboradores veem uma vez e esquecem. Também precisa de refletir a exposição real.

Alguém que lide com faturas, apoio executivo, comunicação com fornecedores, acesso privilegiado ou registos sensíveis terá provavelmente de enfrentar diferentes tipos de pressão de phishing do que alguém num fluxo de trabalho de menor risco. As orientações de phishing do NCSC refletem essa realidade, observando que os funcionários com acesso a informações sensíveis, ativos financeiros ou sistemas informáticos podem ser visados mais intensamente.

A prática também precisa de ser bem utilizada. O phishing simulado pode ser útil, mas não quando se transforma num exercício de atribuição de culpas. Simulações mal geridas podem prejudicar a confiança e desencorajar as pessoas de comunicar erros se sentirem que estão a ser apanhadas em vez de serem apoiadas.

Um programa mais robusto utiliza simulações com cuidado, fornece comentários imediatos e aumenta a dificuldade gradualmente. Não está a tentar provar que os colaboradores são fáceis de enganar. Está a ajudá-los a criar o hábito de reconhecimento de padrões, de reporte e a terem mais confiança em situações reais.

Os cinco sinais de alerta de phishing que os funcionários ainda deixam passar

Muitos funcionários conhecem os sinais de aviso clássicos, mas continuam a não perceber as pistas mais subtis que ocorrem em ataques empresariais reais. A formação de sensibilização para o phishing é muito mais útil quando ensina as pessoas a reconhecer os padrões que se enquadram no seu trabalho quotidiano.

1. Uma mensagem que corresponde ao fluxo de trabalho, mas altera o canal ou a urgência

Os e-mails de phishing mais eficazes não parecem, de todo, aleatórios. Assemelham-se a pedidos de faturas, documentos partilhados, atualizações de folhas de pagamento ou notificações de início de sessão que os funcionários esperam receber.

O que muda é a urgência, o secretismo ou o processo. Um atacante quer que o alvo ignore as verificações normais. As orientações do NCSC alertam especificamente que os atacantes exploram processos e pedidos empresariais, incluindo pedidos de informação ou pagamentos não autorizados.

2. Um nome de remetente credível que oculta um domínio malicioso ou uma fonte de identidade mistificada

Os funcionários concentram-se frequentemente no nome a apresentar e não no endereço completo, no caminho de resposta ou no domínio. Essa é uma das razões pelas quais os controlos contra a mistificação da identidade são importantes, mas a formação ainda precisa de ensinar as pessoas a abrandar quando uma marca ou um colega familiar parece ligeiramente “estranho”.

O NCSC aconselha as organizações a dificultar a mistificação da identidade por e-mail através de controlos como o DMARC (Domain-based Message Authentication, Reporting, and Conformance), o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Em conjunto, estas verificações de autenticação de e-mail ajudam os sistemas recetores a verificar se uma mensagem provém realmente do domínio que afirma ser.

3. Uma página de início de sessão com um aspeto suficientemente normal

As páginas de recolha de credenciais não precisam de ter um aspeto perfeito. Só precisam de parecer familiares o tempo suficiente para que um funcionário introduza um nome de utilizador e uma palavra-passe. Na prática, a maior pista pode ser o contexto e não o design: porque é que este pedido de início de sessão está a aparecer agora e porque é que é através desta via?

4. Um pedido que privilegia a rapidez em detrimento da verificação

A personificação de executivos, a fraude de faturas e as burlas de fornecedores baseiam-se frequentemente na urgência. A mensagem é elaborada para que a verificação pareça inconveniente ou desleal. Uma formação de phishing sólida deve ensinar que a urgência inesperada não é apenas linguagem suspeita; é um sinal para mudar do modo de resposta por e-mail para o modo de verificação.

5. Uma situação em que a denúncia é embaraçosa

Um dos sinais de aviso mais negligenciados é interno e não técnico: um funcionário nota algo estranho, mas hesita em denunciar porque não tem a certeza, está demasiado ocupado ou tem receio de parecer descuidado.

O NCSC alerta contra a repreensão de utilizadores que tenham dificuldade em reconhecer o phishing, porque o medo de represálias inibe a denúncia. Por conseguinte, os programas saudáveis ensinam os funcionários que levantar uma preocupação cedo é útil, mesmo que a mensagem acabe por ser inofensiva.

O que acontece quando a formação falha

Quando a formação de phishing falha, o dano é frequentemente medido em credenciais antes de ser medido em qualquer outro lugar. Um utilizador introduz uma palavra-passe num portal falso, aprova um aviso inesperado ou partilha detalhes de início de sessão através de um pedido convincente com aspeto interno. A partir desse momento, o problema já não se limita a uma decisão na caixa de entrada. Torna-se um problema de controlo de acessos.

É aqui que a ligação entre o phishing e a higiene das palavras-passe se torna tão crítica. Se a mesma palavra-passe for reutilizada em vários serviços, uma credencial comprometida pode tornar-se uma via de acesso para e-mail, ferramentas SaaS, plataformas na nuvem ou sistemas de administrador. Se os inícios de sessão partilhados continuarem a ser geridos através de métodos informais ou não controlados, a responsabilidade diminui ainda mais.

O Relatório do Observatório de Incidentes de Dados da Proton refere que nomes e e-mails aparecem em 9 em cada 10 incidentes, que 72% dos incidentes contêm dados de contacto e que 49% incluem palavras-passe. Isso significa que os atacantes têm frequentemente a matéria-prima exata de que precisam para tornar o phishing mais convincente e para explorar a reutilização de palavras-passe quando têm sucesso.

Exemplos recentes de incidentes reforçam o mesmo ponto de outro ângulo. Nos relatórios de incidentes da Proton, os eventos relacionados com phishing em 2026 não se ficaram por uma ligação clicada; tornaram-se acesso à rede, exposição interna e incidentes de negócio mais amplos. É por isso que a prevenção de ataques de phishing não pode consistir apenas no reconhecimento por parte dos funcionários. Também tem de reduzir a distância que as credenciais roubadas podem percorrer assim que uma conta é comprometida.

Palavras-passe exclusivas para cada serviço são um dos controlos mais simples e de maior valor neste contexto. Não impedem a ocorrência de uma tentativa de phishing, mas ajudam a conter as consequências. Se uma palavra-passe for roubada, não deve desbloquear outros cinco sistemas.

Um gestor de palavras-passe empresarial seguro apoia uma estratégia de cultura de segurança. O Proton Pass for Business foi concebido para ajudar as equipas a gerar e armazenar palavras-passe fortes e exclusivas para cada serviço, reduzindo a probabilidade de um evento de phishing bem-sucedido se propagar por toda a organização.

Um modelo prático para a formação de phishing para funcionários

O melhor local para começar não é com materiais de formação genéricos, mas sim com a forma como a sua organização realmente funciona.

Foque-se primeiro nos cenários de phishing que os funcionários têm maior probabilidade de enfrentar: avisos de início de sessão, personificação de fornecedores, aprovações de pagamentos, notificações de documentos partilhados, pedidos de executivos ou ataques a fornecedores de identidade. A formação torna-se muito mais útil quando as pessoas conseguem reconhecer nela a sua própria realidade de trabalho.

A elaboração de relatórios também precisa de ser simples e segura. As orientações de phishing do NCSC deixam claro que as organizações devem ajudar os utilizadores a identificar e a denunciar mensagens de phishing suspeitas, enquanto o sítio web de denúncia de fraudes(nova janela) constitui o canal oficial de denúncia do Reino Unido para phishing e cibercrime. Os funcionários devem saber onde apresentar relatórios internamente, o que incluir e o que fazer imediatamente se tiverem clicado numa ligação, introduzido credenciais ou acedido a acessos.

A formação deve ser apoiada por controlos que reduzam o custo dos erros. Isso inclui a filtragem de e-mail, proteções contra mistificação da identidade, fluxos de início de sessão seguros, 2FA e uma higiene de palavras-passe mais forte. As orientações comerciais da Proton sobre a prevenção de ataques de phishing também apontam para o valor de canais de denúncia claros, prática repetida e monitorização de credenciais expostas.

Finalmente, meça mais do que apenas os cliques. As taxas de cliques em simulações podem ser úteis, mas as taxas de denúncia, o tempo até à denúncia, os padrões de falhas repetidas e os incidentes relacionados com credenciais dão frequentemente uma imagem mais clara de se a resiliência está a melhorar. O NCSC também recomenda ponderar cuidadosamente as métricas de phishing para que as organizações não acabem por desincentivar a denúncia segura.

Uma deteção perfeita não é possível, mas uma resposta mais forte é

A formação sobre a sensibilização para o phishing é mais eficaz quando vai além da ideia de que os funcionários devem ser capazes de detetar perfeitamente todos os ataques. Um objetivo mais realista é construir uma equipa que consiga reconhecer sinais de aviso familiares, comunicar preocupações rapidamente e responder de forma a evitar que um erro escale para um incidente mais vasto.

Isso exige mais do que informação. Exige prática repetida, exemplos que reflitam cargos e fluxos de trabalho reais e processos claros em que os funcionários possam confiar quando algo parece errado. Também exige controlos que reduzam o impacto do roubo de credenciais quando uma tentativa de phishing tem sucesso. Por esse motivo, a formação em phishing para funcionários funciona melhor como parte de uma cultura de segurança mais ampla, e não como um exercício de sensibilização isolado.

As organizações que reduzem bem o risco de phishing tendem a combinar os mesmos elementos: formação prática, hábitos de denúncia claros, uma maior prontidão face a incidentes e uma higiene de credenciais mais rigorosa. Os recursos da Proton sobre ataques de phishing e resposta a incidentes reforçam todos o mesmo princípio: a sensibilização é muito mais eficaz quando é apoiada por sistemas que tornam um comprometer mais fácil de conter.