RH lidera lista de cliques em ataques phishing

Para contextualizar o risco humano em 2026, a KnowBe4 divulgou dados de simulações realizadas entre julho e setembro de 2025. O relatório revela que e-mails personalizados para parecerem comunicados internos, especialmente de RH e TI, apresentam as maiores taxas de clique. A técnica explora a familiaridade do colaborador com esses departamentos para contornar o senso crítico inicial durante a rotina de trabalho.

Os números mostram que 90% dos temas mais acessados utilizam técnicas de familiaridade, sendo que o departamento de Recursos Humanos esteve presente em 45% dessas mensagens. Além disso, 66% das simulações de phishing utilizaram falsificação de domínio para aumentar a veracidade do remetente. O uso de marcas corporativas em páginas de destino — tática para conferir legitimidade ao ataque — esteve presente em 70% das interações registradas.

Erich Kron, consultor CISO da KnowBe4, destaca que a repetição desses padrões trimestre após trimestre sinaliza uma vulnerabilidade comportamental persistente. De acordo com o executivo, “quando uma mensagem parece rotineira, como algo do RH ou do TI, os usuários tendem a questioná-la menos”. O foco dos ataques reside em entender o comportamento humano para burlar protocolos de segurança técnica por meio da engenharia social.

Por que o RH tornou-se um alvo estratégico?

O setor de RH é visto como a voz oficial da companhia, sendo responsável por comunicados críticos como atualizações de benefícios e mudanças em políticas organizacionais. Por possuir acesso direto a toda a força de trabalho e desfrutar de alta legitimidade, o departamento torna-se o disfarce ideal para criminosos. O objetivo é induzir o colaborador a clicar em links maliciosos sob o pretexto de uma urgência administrativa ou atualização cadastral.

A exploração de mecanismos psicológicos, como a confiança na hierarquia, é o primeiro passo para o sucesso de uma invasão. Criminosos utilizam a autoridade intrínseca ao RH para solicitar dados sensíveis ou instalar softwares maliciosos nos terminais dos funcionários. Compreender essa dinâmica é fundamental para que as empresas fortaleçam sua cultura de segurança e mitiguem riscos de vazamento de dados que podem comprometer a operação.

Kron reforça que a gestão do risco não deve se limitar apenas ao treinamento técnico, mas focar na mudança de comportamento real dos funcionários. Conforme pontua o consultor, “o fato de essa tendência se repetir mostra que não se trata apenas de enganar os usuários, mas de entender o comportamento humano. A plataforma aborda o treinamento para construir uma resiliência duradoura”. A meta é transformar o colaborador em uma camada de defesa ativa.

Como proteger a organização dessas ameaças?

O fortalecimento da cultura de segurança exige que o RH e o TI trabalhem em conjunto na educação contínua das equipes. Isso inclui simulações periódicas e a instrução sobre como identificar elementos suspeitos em comunicações internas aparentemente legítimas. Em 2026, a resiliência cibernética de uma organização depende diretamente da capacidade da sua força de trabalho em tomar decisões de segurança inteligentes no cotidiano.

A adoção de tecnologias de IA agêntica surge como um suporte para gerenciar o risco humano de forma proativa. Essas ferramentas ajudam a monitorar padrões de comportamento e a personalizar o treinamento conforme a vulnerabilidade específica de cada setor ou nível hierárquico. O objetivo final é reduzir drasticamente a taxa de cliques em links maliciosos e proteger a integridade dos sistemas contra ataques cada vez mais sofisticados.

A gestão do risco humano tornou-se uma prioridade estratégica para o RH moderno, que agora lida diretamente com a proteção da infraestrutura digital. Ao integrar a cibersegurança à rotina de treinamento e desenvolvimento, as empresas conseguem reduzir o impacto de ameaças externas de forma sustentável. A proteção dos dados organizacionais passa, obrigatoriamente, pela desconstrução da confiança cega em mensagens rotineiras.