Resumo
- Um estudo com 20 mil funcionários do UC San Diego Health apontou que treinamentos contra phishing têm efeito limitado na prevenção.
- A diferença entre treinados e não treinados foi de apenas 1,7%, com mais de 75% dedicando menos de um minuto aos módulos e até metade encerrando a página de imediato.
- Módulos interativos reduziram em 19% o risco de golpes, mas a baixa adesão reforça a necessidade de integrar treinamentos a ferramentas automatizadas de segurança.
Uma pesquisa realizada com 20 mil colaboradores do hospital universitário UC San Diego Health colocou em xeque uma das medidas mais comuns de segurança digital no ambiente corporativo: os treinamentos obrigatórios contra phishing. Apesar do esforço de empresas e órgãos públicos em educar funcionários sobre como identificar golpes, o estudo indica que essas iniciativas têm efeito mínimo na prática.
O levantamento acompanhou dez campanhas simuladas de phishing ao longo de oito meses em 2023. A expectativa dos pesquisadores era observar uma melhora gradual no desempenho dos participantes conforme recebiam treinamentos periódicos. No entanto, os resultados mostraram que a taxa de falhas se manteve praticamente estável, independentemente do tempo decorrido desde a última capacitação.
Por que os treinamentos não funcionam como deveriam?
Segundo Grant Ho, professor da Universidade de Chicago e coautor do estudo, a conclusão é que os módulos de conscientização “não transmitiram conhecimento de segurança útil aos usuários”. A diferença entre quem havia passado pelo treinamento e quem não recebeu nenhum tipo de instrução foi de somente 1,7% nas simulações.
Uma das hipóteses para o baixo impacto é que o formato adotado não favorece a absorção do conteúdo. Em muitos casos, os módulos online eram ignorados: mais de 75% dos participantes passaram menos de um minuto na página de treinamento, enquanto entre 37% e 51% simplesmente a fecharam imediatamente após abrir.
“Muitas vezes, quando os funcionários clicam no treinamento, é apenas porque estavam navegando em outra aba ou verificando e-mails”, explicou Ho.
Os pesquisadores também testaram diferentes estilos de capacitação após cada simulação de phishing. Enquanto alguns grupos receberam dicas gerais de segurança, outros tiveram acesso a sessões interativas de perguntas e respostas ou a explicações detalhadas sobre o ataque enfrentado.
Apenas os módulos interativos mostraram resultados relevantes: aqueles que os concluíram tiveram 19% menos chances de cair em golpes. Porém, como a adesão foi baixa, o impacto geral no grupo permaneceu reduzido.
Fim dos treinamentos contra phishing?
Apesar do resultado pouco animador, os autores do estudo não defendem o fim dos treinamentos, mas sim sua integração com outras estratégias. A recomendação é que as organizações invistam em ferramentas automatizadas para detectar e bloquear mensagens suspeitas antes mesmo de chegarem às caixas de entrada.
O phishing segue como uma das formas mais comuns e prejudiciais de ataque cibernético, capaz de comprometer redes inteiras com um único clique em links ou anexos falsos. Nesse cenário, depender apenas da conscientização dos usuários deixa brechas que podem ser exploradas por criminosos.
“Da forma como são aplicados hoje, os treinamentos não oferecem proteção suficiente contra phishing”, reforçou Ho ao The Wall Street Journal. A conclusão do estudo defende que, sem mudanças na abordagem e sem apoio de tecnologias de defesa automatizada, a educação sozinha dificilmente será capaz de impedir que funcionários continuem vulneráveis a esse tipo de ameaça.
Com informações do TechSpot
Aulas contra phishing não funcionam como o esperado, diz estudo
