A KnowBe4 divulgou um relatório referente a 2025 mostrando que e-mails falsos com assuntos internos – especialmente os que parecem vir do setor de Recursos Humanos – estão entre os mais clicados em simulações de phishing. Segundo dados da plataforma HRM+, 98,4% das dez mensagens mais abertas entre maio e junho de 2025 tinham temas internos, e 45,2% continham menções diretas ao RH.
A vulnerabilidade comportamental
O estudo aponta que a familiaridade dos funcionários com comunicações legítimas do RH cria uma tendência natural de confiança. Termos como atualização de formulários de imposto, mudanças de código de vestimenta e revisões de desempenho despertam curiosidade imediata e concentram a atenção aos sinais de fraude. Essa confiança automática é explorada por agentes maliciosos que se aproveitam da autoridade e familiaridade do setor de RH para aplicar golpes.
Como os ataques funcionam
Cibercriminosos exploram atalhos mentais (heurísticas)como o viés de autoridade e a representatividade. Os funcionários tendem a confiar em mensagens recebidas de figuras ou departamentos com poder formal e associar comunicações semelhantes a legítimos. O uso de ferramentas de Inteligência Artificial e aprendizagem profunda tem permitido criar e-mails com linguagem, tom e identidade visual indistinguíveis dos reais. Além disso, campanhas sofisticadas usam redirecionamentos múltiplos para roubar filtros de segurança e conduzir as vítimas a páginas de roubo de credenciais.
O aumento das campanhas de e-mails falsos de RH
O KnowBe4 Threat Lab registrou aumento de 120% nos ataques que imitam o RH entre janeiro e março de 2025, comparando com o trimestre anterior. Esses ataques intensificam-se em períodos administrativos e financeiros – quando há maior expectativa de receber comunicações legítimas sobre folhas de pagamento ou benefícios. Essa sobreposição temática ajuda os invasores a enganar os usuários com mensagens aparentemente rotineiras.
As organizações são orientadas a reforçar suas políticas de conscientização e a adotar soluções de Gestão de Risco Humanocomo a plataforma HRM+ da KnowBe4, que aplica inteligência artificial e simulações de phishing personalizadas para treinar usuários e reduzir o risco humano em até 85%. Recomenda-se ainda verificar autenticações de e-mail e aplicar campanhas de conscientização sobre phishing contínuas para neutralizar essas tentativas de fraude.
