RH lidera a lista de cliques em tentativas de ataques cibernéticos

O departamento de Recursos Humanos está no topo do ranking de cibercrime em 2025, de acordo com uma pesquisa feita plataforma KnowBe4, que atua com gestão de riscos humanos e de inteligência artificial agentiva. O estudo revela ainda que as simulações de ataques de personificação com temas internos lideram a lista e-mails mais clicados, com 98% abordando tópicos como remuneração, mudanças de políticas e outros, tendo o RH mencionado em 45%.

“Nosso relatório mostra que os ataques de phishing aumentaram não apenas em volume, mas também em sofisticação”, afirma Lécio DePaula, vice-presidente de proteção de dados da KnowBe4. “O RH continuará sendo o ponto de entrada mais explorado se as empresas não abordarem a gestão de riscos humanos”. O mais indicado em defesa contra esse tipo de ataque, segundo o executivo, é promover conhecimento e treinamento frequente dos funcionários.

Por que o RH é um alvo estratégico?

O especialista explica que, ao ingressar em uma empresa, os colaboradores encontram uma hierarquia composta por gestores, executivos e conselhos – com o RH atuando como a voz oficial interna, responsável por comunicados, atualizações de políticas e mudanças organizacionais. “Por conta dessa legitimidade e acesso a todos os funcionários, o departamento se tornou um alvo principal”. Em simulações internas, 81% dos links mais clicados exploraram temas familiares de RH, e os ataques ao setor aumentaram 120% entre janeiro e março de 2025.

“Compreender como os mecanismos psicológicos são utilizados nos ataques é o primeiro passo para fortalecer a cultura de segurança e proteger a organização contra ameaças cada vez mais sofisticadas”. Segundo Lécio, isso capacita a força de trabalho a tomar decisões de segurança mais inteligentes no dia a dia.

Táticas e segmentação

Os cibercriminosos que se passam pelo RH combinam gatilhos psicológicos com uma variedade de táticas sofisticadas, como encurtadores de URL, infraestruturas de múltiplos redirecionamentos e campanhas segmentadas por departamento alinhadas a ciclos sazonais. “Eles aproveitam de períodos importantes para que os ataques coincidam com ciclos administrativos e financeiros, frequentemente criando um senso de urgência por meio de prazos curtos para manipular socialmente suas vítimas”, descreve.

Os tópicos mais explorados, segundo o relatório, são mudanças em folha de pagamento e benefícios, atualizações de políticas de RH, contratos eletrônicos e documentos financeiros. “Esses temas não são visados apenas por despertarem curiosidade, mas também porque passam despercebidos durante períodos sazonais de alto volume de e-mails”.

Entre os departamentos mais visados em ataques de personificação do RH entre janeiro e junho de 2025, conforme relatado pela PhishER, estão: manufatura (14,9%), serviços empresariais e ao consumidor (14,8%), serviços bancários e financeiros (13,2%) e o setor de tecnologia, que responde por 10,4% dos ataques. Por exemplo, trabalhadores da indústria podem receber mensagens fraudulentas relacionadas à segurança, enquanto profissionais da saúde são alvos de comunicações falsas sobre a LGPD (Lei Geral de Proteção de Dados) ou o PEP (Prontuário Eletrônico do Paciente).

• Inteligência artificial
• LGPD
• Recursos humanos (RH)
• Segurança digital
• Tecnologia