Ataques de phishing seguem sendo uma das principais portas de entrada para incidentes de segurança. Mesmo organizações maduras, com controles técnicos implementados, continuam expostas ao fator humano — especialmente quando não há dados concretos para orientar decisões.
Este case mostra como uma grande organização do varejo utilizou simulação de phishing aliada a um programa de aculturamento em cibersegurança para identificar riscos reais, direcionar treinamentos e fortalecer a cultura de segurança da informação.
O contexto do cliente
O projeto foi realizado em uma organização com aproximadamente 12 mil colaboradores, distribuídos entre áreas administrativas e operacionais.
A campanha de aculturamento contemplou 2.062 endereços de e-mail, incluindo contas nominais e genéricas, abrangendo diferentes perfis de usuários e níveis de exposição ao risco.
A iniciativa foi conduzida pelo CDC Security, com apoio da equipe de TI interna do cliente, garantindo alinhamento técnico e governança durante toda a execução.
Desafio: como medir o risco humano de forma objetiva
Antes do projeto, a organização já havia vivenciado incidentes envolvendo tentativas de phishing por e-mail e telefone, o que acendeu um alerta importante para a liderança.
Entre as principais preocupações estavam:
- Risco de comprometimento de contas corporativas
- Vulnerabilidade humana à engenharia social, mesmo diante de indícios claros de fraude
- Ausência de métricas objetivas para avaliar o nível real de conscientização dos colaboradores
Mais do que treinar, o desafio era medir comportamentos reais, identificar onde estavam os pontos de atenção e transformar esse diagnóstico em ações práticas de melhoria.
Objetivos da Simulação de Phishing
O programa de aculturamento em phishing foi estruturado com objetivos claros:
- Testar a maturidade dos usuários frente a tentativas reais de phishing
- Medir interações com e-mails maliciosos
- Abertura de mensagens
- Cliques em links suspeitos
- Envio de credenciais
- Identificar contas com maior nível de risco
- Gerar dados concretos para direcionar treinamentos e ações corretivas
As metas estavam diretamente ligadas à mensuração de indicadores de risco humano, permitindo decisões baseadas em evidência e não apenas em percepção.
Metodologia aplicada pelo CDC Security
A campanha de phishing teve duração de 30 dias, ocorrendo entre 05/08/2025 e 03/09/2025.
Durante o período, foram realizados:
- 4.124 disparos de e-mail, organizados em 5 grupos
- Utilização de dois templates distintos, simulando comunicações comuns do dia a dia
- Office 365: simulação de problemas na conta para adquirir credenciais Microsoft do usuário
- Cupons iFood: simulação de promoção e vouchers de desconto
- Disparos em dias e horários alternados, para evitar padrões previsíveis
Os e-mails foram propositalmente elaborados com:
- Erros de gramática
- Datas inconsistentes
- Remetentes não confiáveis
O objetivo foi avaliar a atenção dos colaboradores e observar comportamentos reais diante de tentativas de fraude, simulando situações próximas da realidade enfrentada pelas organizações.
Resultados obtidos
Os resultados da campanha tiveram caráter diagnóstico e serviram como base para as ações de aculturamento aplicadas posteriormente.
Indicadores quantitativos
- 89,2% dos e-mails não foram abertos
- 2,2% resultaram em cliques em links maliciosos
- 0,9% culminaram no envio de credenciais
-
39 contas distintas identificadas como comprometidas
- Destas, 16 eram contas genéricas, evidenciando riscos relevantes sob a ótica de governança de acessos
Mesmo com percentual relativamente baixo de cliques e envio de credenciais, os dados revelaram pontos críticos de exposição, especialmente relacionados ao uso de contas compartilhadas.
Impactos qualitativos observados
Além dos números, o projeto gerou impactos importantes no comportamento e na cultura organizacional:
- Maior conscientização dos colaboradores
- Mudança no comportamento diante de e-mails suspeitos
- Fortalecimento da cultura de segurança da informação
- Melhoria nas práticas internas de prevenção
A iniciativa foi bem recebida pela diretoria, que destacou a importância de ações contínuas de aculturamento e o valor de trabalhar com dados claros para embasar decisões estratégicas.
Lições aprendidas
O projeto trouxe aprendizados relevantes para a evolução da segurança da informação na organização:
- Tentativas de phishing continuam sendo eficazes mesmo quando apresentam falhas evidentes
- Uma vez engajado no ataque, o usuário tende a avançar no processo e fornecer informações sensíveis
- Contas genéricas representam um risco significativo e exigem maior controle e revisão de acessos
- Conscientização contínua é um pilar essencial da governança em cibersegurança
Após o projeto, os colaboradores passaram a questionar com mais frequência a legitimidade das mensagens recebidas e a encaminhar conteúdos suspeitos para a equipe de TI, assumindo um papel mais ativo na prevenção de incidentes.
Depoimento do cliente
“A parceria com o CDC Security foi extremamente positiva e estratégica para o fortalecimento da segurança da informação na organização. O projeto foi conduzido de forma organizada, profissional e alinhada à realidade da empresa, permitindo uma visão clara sobre o nível de maturidade dos colaboradores frente a ataques de phishing.
As ações realizadas contribuíram significativamente para o aumento da conscientização em cibersegurança, evidenciando riscos reais e direcionando decisões internas de forma assertiva.”
Conclusão
Este case demonstra como simulações práticas de phishing, aliadas a um programa estruturado de aculturamento em cibersegurança, permitem transformar dados em decisões, fortalecer a cultura organizacional e reduzir riscos associados ao fator humano.
O CDC Security atua apoiando organizações na construção de uma postura de segurança mais madura, baseada em evidência, aprendizado contínuo e engajamento das pessoas como parte ativa da defesa do negócio.
👉 Quer entender como medir o risco humano na sua organização e direcionar ações de aculturamento com dados reais?
