João Paes
RedatorEscreve sobre tecnologia, games e cultura pop há mais de 10 anos, tendo se interessado por tudo isso desde que abriu o primeiro computador (há muito mais de 10 anos).
Aquele e-mail do RH pedindo para revisar a nova política de benefícios pode não ser o que parece. Em 2025, ataques de phishing direcionados a departamentos de Recursos Humanos cresceram 120%, segundo um levantamento da KnowBe4, plataforma global de gestão de riscos humanos e de IA agentiva. O motivo é simples: o RH fala com todo mundo — e essa confiança virou o disfarce perfeito para os golpistas.
O estudo mostra que quase metade (45,2%) das mensagens fraudulentas menciona o RH em algum ponto, e 98,4% exploram temas internos como mudanças salariais, folha de pagamento e atualizações de políticas. Em outras palavras, o golpe chega com o tom e o vocabulário de um e-mail legítimo da empresa, o que explica a taxa altíssima de cliques.
Segundo os dados, 80,6% dos links mais clicados em simulações de phishing envolviam comunicações falsas do RH — o que consolidou o setor como o principal alvo dos cibercriminosos neste ano.
Golpe com crachá
O RH é um alvo estratégico porque, dentro de uma empresa, ele ocupa um papel de autoridade e legitimidade. Quando um e-mail com o logo da companhia e uma mensagem sobre “ajustes no salário” aparece na caixa de entrada, o reflexo é clicar. E é exatamente esse impulso que os criminosos exploram.
As táticas vão muito além do e-mail genérico. Os ataques usam encurtadores de URL, redirecionamentos múltiplos e campanhas segmentadas de acordo com cada área da empresa — tudo isso em períodos de maior movimentação administrativa, como fechamento de folha ou renovações de contratos. O senso de urgência (“revise seus dados até amanhã”) é o gatilho que completa o golpe.
Entre os setores mais visados em ataques de personificação do RH estão manufatura (14,9%), serviços empresariais e de consumo (14,8%), bancos e finanças (13,2%) e tecnologia (10,4%), segundo a PhishER. Em todos os casos, o padrão é o mesmo: o golpe se disfarça de rotina.
Trabalhadores da indústria recebem falsos alertas de segurança; profissionais da saúde, notificações sobre a LGPD ou o PEP (Prontuário Eletrônico do Paciente). Tudo cuidadosamente adaptado para parecer autêntico.
Conhecimento é a melhor defesa
Para Lécio DePaula, vice-presidente de proteção de dados da KnowBe4, o problema não está só na tecnologia, mas nas pessoas. “Os ataques de phishing aumentaram não apenas em volume, mas também em sofisticação”, explica. “O RH continuará sendo o ponto de entrada mais explorado se as empresas não abordarem a gestão de riscos humanos. Treinar funcionários com frequência é a defesa mais eficaz”.
Em um momento em que IA generativa ajuda até golpistas a escrever e-mails convincentes, o phishing deixou de ser um erro amador de português para virar uma operação quase profissional. E, se antes o vírus vinha anexado a um arquivo .exe, hoje ele chega com um assunto corporativo, um emoji discreto e a assinatura “Equipe de RH”.
Crédito de imagens: Jakub Porzycki/NurPhoto via Getty Images, Annette Riedl/picture alliance via Getty Images
Ver 0 Comentários