A KnowBe4 divulgou uma análise sobre períodos sazonais de alto consumo, como Black Friday e Natal, e afirma que as datas continuam entre os momentos de maior risco cibernético para empresas em toda a América Latina. A pesquisa fala que durante esse período, o aumento do tráfego digital, o maior volume de e-mails e a sobrecarga das equipes de TI criam a “tempestade perfeita” de risco. Os pesquisadores afirmam que o cenário se agrava devido a fatores típicos do setor varejista, como o uso de funcionários temporários não treinados e a complexidade de ambientes multicanais que combinam lojas físicas, e-commerce, aplicativos e sistemas de pagamento.
De acordo com o Global Retail Report 2025, o varejo está entre os cinco setores mais visados do mundo. O custo médio de uma violação de dados nesse segmento atingiu US$ 3,48 milhões em 2024 (IBM), um aumento de 18% em relação ao ano anterior. A América Latina aparece como a segunda região mais atacada, respondendo por 32% de todas as tentativas, atrás apenas da América do Norte (56%). O Brasil está entre os cinco países mais afetados por ransomware no varejo.
A análise fala que cibercriminosos aproveitam o ritmo acelerado e o aumento da comunicação no período para inserir mensagens fraudulentas que se misturam às legítimas. Esses ataques afetam tanto empresas, que podem ter seus sistemas comprometidos, quanto consumidores, que muitas vezes compartilham dados pessoais e de pagamento durante promoções online. Um dos golpes mais frequentes, segundo os pesquisadores, envolve promoções falsas que imitam ofertas de grandes varejistas e redirecionam usuários para sites clonados. Nessas páginas, logins e senhas corporativas ou pessoais são roubados e vendidos em fóruns maliciosos.
Outra tática comum, apontada no estudo, envolve mensagens que simulam alertas técnicos, como atualizações de software, redefinições de senha ou notificações de entrega. Escritas de forma profissional e com aparência legítima, essas comunicações induzem o usuário a clicar em links ou abrir arquivos anexados, resultando na instalação de malware ou spyware capaz de monitorar atividades, roubar cookies de sessão e capturar credenciais armazenadas.
Segundo a organização, esses golpes exploram gatilhos psicológicos como urgência, recompensa e familiaridade. Um e-mail assinado por um colega ou pelo departamento de TI, por exemplo, é menos questionado quando a carga de trabalho está alta e os prazos estão apertados. Isso transforma o fator humano no principal ponto de entrada para ataques cibernéticos.
Combater esse tipo de fraude exige uma mudança cultural nas organizações. Programas contínuos de conscientização e simulações de phishing podem reduzir em até 88% a probabilidade de um funcionário interagir com mensagens maliciosas ao longo de 12 meses. O relatório destaca que, antes do treinamento, o índice médio de suscetibilidade a phishing é de 30,7% em pequenas empresas, 32% em médias e 42,4% em grandes organizações. Após noventa dias, esses índices caem para cerca de 20%.
“Essa evolução mostra que o comportamento humano passou a ser reconhecido como um dos pilares mais eficazes na defesa contra ameaças cibernéticas, especialmente quando os colaboradores aprendem a identificar sinais sutis de fraude, entendem sobre táticas de manipulação psicológica e se tornam participantes ativos na defesa de cibersegurança da empresa”, diz Rafael Peruch, Technical CISO Advisor da KnowBe4.
Além do treinamento, a empresa afirma que é essencial reforçar políticas internas de segurança durante datas sazonais, revisar fluxos de comunicação e implementar autenticação multifator em todos os sistemas. Recursos como real-time coaching e alertas automáticos de phishing ajudam a criar respostas imediatas a tentativas de fraude.
“A automação ajuda a detectar ameaças, mas é o gerenciamento do risco humano que realmente reduz o risco. Com o apoio da inteligência artificial, conseguimos identificar padrões de comportamento e criar programas de conscientização personalizados para cada organização”, conclui Peruch.
