Funcionário foi vítima de phishing
Resposta rápida
Funcionário caindo em phishing exige resposta em minutos, não em horas. Em ordem: bloqueie imediatamente a conta comprometida (tirar acesso a tudo, não só ao e-mail), force logoff de sessões ativas, revogue tokens e chaves de aplicativos vinculados. Em paralelo, investigue o que foi feito na janela em que a credencial esteve nas mãos do atacante — e-mails enviados em nome do usuário, regras de encaminhamento criadas (técnica clássica para esconder rastros), arquivos acessados ou baixados, contas adicionais que possam ter sido comprometidas pelo mesmo movimento. Troque a senha do usuário e habilite MFA se ainda não estava (esse incidente costuma justificar o rollout de MFA generalizado). Comunique o funcionário sem tom punitivo — pessoa avisada da própria falha aprende; pessoa envergonhada esconde da próxima vez. E investigue se o phishing atingiu mais alguém da empresa em paralelo: campanha raramente é dirigida a um único alvo.
Na empresa pequena, o ambiente é mais compacto e a investigação pode ser feita olhando direto na conta comprometida: histórico de e-mails enviados, regras criadas, logins recentes. MSP costuma ajudar na investigação. Bloqueio é rápido pelo console do Microsoft 365 ou Google Workspace. O risco aqui é subestimar — funcionário "só clicou e fechou rápido" pode ter exposto credencial mesmo assim, e atacante automatizado entra em minutos. Trate todo caso como real. Comunicação interna costuma ser conversa direta com o funcionário e aviso ao time sobre a campanha de phishing observada (sem identificar quem caiu). Esse incidente é a justificativa perfeita para implantar MFA universal e treinamento básico de phishing como prática contínua.
Na empresa média, há mais sistemas conectados via SSO e mais lateralidade possível a partir de uma conta comprometida. A investigação precisa ir além do e-mail: o que essa pessoa acessava (CRM, ERP, drives compartilhados), se tinha privilégio em algum sistema, se a credencial era reutilizada em outros lugares. Bloqueio centralizado pelo SSO ou IdP cobre a maior parte de uma vez. Comunicação ao time precisa ser educativa, não punitiva — alerta sobre a campanha observada, exemplo do que ela fazia, lembrete dos canais oficiais. Se for parte de campanha mais ampla (vários funcionários receberam o mesmo phishing), considere acionar fornecedor de proteção de e-mail para ajustar filtros. RCA inclui revisão do treinamento e da política de MFA.
Na empresa grande, há SOC que costuma detectar phishing por anomalia de comportamento da conta antes mesmo do funcionário avisar. A resposta é via incident response: bloqueio automatizado da conta, investigação forense da atividade na janela comprometida, varredura de impacto em sistemas integrados. Para campanhas direcionadas a executivos (spear phishing), tratamento diferenciado — acessos e dados desses cargos costumam ter peso maior. Comunicação corporativa pode ser massiva quando a campanha é detectada cedo (alerta a todos com exemplo do golpe). Treinamento contínuo com simulação de phishing periódica é prática consolidada nesse porte. Indicadores como taxa de clique em simulação e taxa de reporte ao time de segurança entram no quadro de governança.
- Funcionário avisou que clicou em link e digitou credencial em página falsa
- Alerta de login da conta veio de localização ou dispositivo incomum
- Contatos do funcionário receberam e-mails estranhos vindos do endereço dele
- Apareceu regra de encaminhamento que o usuário não criou
- Arquivos foram acessados ou baixados em volume anormal
- Conta entrou em provedor de identidade a partir de IP suspeito
Os primeiros minutos: bloquear tudo
Atacante automatizado entra na conta em minutos depois da credencial ser entregue. A janela para conter é curta. Bloquear só o e-mail não basta — credencial corporativa costuma dar acesso a SSO, drive, aplicativos integrados. Bloqueio precisa ser na identidade, não no aplicativo.
- Bloqueie a conta no provedor de identidade. Desabilitar conta no IdP ou Active Directory tira acesso a tudo de uma vez, não só ao e-mail.
- Force logoff de sessões ativas e revogue tokens. Sessões abertas em outros dispositivos podem continuar funcionando após o bloqueio. Force término global e revogue tokens de aplicativos integrados.
- Troque a senha do usuário. E exija MFA se ainda não estava. Quando o usuário voltar a ter acesso, é com credencial nova.
- Investigue o que foi feito. E-mails enviados em nome do usuário, regras de encaminhamento criadas, arquivos acessados ou baixados, logins recentes, alterações em outros sistemas integrados.
- Reverta o que o atacante fez. Desativar regras de encaminhamento criadas, deletar e-mails maliciosos enviados em nome do usuário (avisando os destinatários), recolher arquivos que tenham sido distribuídos.
- Investigue lateralidade. Outras contas comprometidas pelo mesmo movimento, sistemas adicionais acessados, credenciais reutilizadas que podem estar vazadas em outros lugares.
- Comunique o usuário sem tom punitivo. Pessoa avisada da própria falha aprende; pessoa envergonhada esconde da próxima vez. Vergonha é inimiga da resposta rápida.
Verificar se é parte de campanha maior
Phishing raramente é dirigido a um único alvo. Se um funcionário caiu, outros provavelmente receberam o mesmo e-mail e podem ter clicado também. Investigue: quantos funcionários receberam mensagem similar, quantos clicaram (medível por log de proxy ou EDR), quantos digitaram credencial. Se a campanha é ampla, comunicação interna geral é necessária — alerta com exemplo do golpe, instrução de o que fazer se já clicou. Acione fornecedor de proteção de e-mail para ajustar filtros, e em casos graves bloqueie o domínio remetente em toda a empresa.
Comunicação ao funcionário e ao time
Como você fala com o funcionário que caiu define se a próxima vez ele avisa ou esconde. Cultura punitiva de erro de phishing é o pior incentivo possível — o atacante depende da demora entre clique e aviso, e demora é exatamente o que vergonha causa. Tom da conversa: factual, sem julgamento, focado em o que foi feito para conter e o que aprender. Para o time, comunicação geral sobre a campanha (sem identificar quem caiu) é educativa e cria cultura de reporte.
A solução estrutural: MFA e treinamento contínuo
Phishing isolado é evento; phishing repetido é problema de arquitetura de segurança. Os dois pilares preventivos são MFA universal (que reduz drasticamente o valor da credencial comprometida, porque ter senha sem segundo fator não dá acesso) e treinamento contínuo com simulação periódica (que cria reflexo de desconfiança e mede vulnerabilidade real). Política de segurança de e-mail (DMARC, SPF, DKIM) reduz a chance de o phishing chegar; bloqueio em proxy de domínios maliciosos conhecidos cobre parte. Mas o atacante sempre encontra brecha técnica — o ser humano treinado é a camada que faz diferença em larga escala.
Bloquear só o e-mail. Credencial corporativa abre muito mais. Bloqueio precisa ser no provedor de identidade para cobrir tudo de uma vez.
Não revisar regras de encaminhamento. Atacante deixa regra criada para receber cópia das mensagens. Sem checar, a "resolução" deixa porta aberta invisível.
Tratar como caso isolado quando é campanha. Um funcionário caiu, outros receberam. Sem investigar amplitude, deixam-se contas comprometidas em silêncio.
Cultura punitiva contra quem caiu. Vergonha gera demora; demora aumenta o estrago. Tom factual e foco em aprendizado constrói cultura que reporta — que é o que reduz risco no longo prazo.
Adiar MFA universal. Sem MFA, cada credencial comprometida é incidente de verdade. Com MFA, a maioria dos phishings que conseguem senha não conseguem entrar.
- Conta foi bloqueada no provedor de identidade
- Sessões ativas foram terminadas e tokens revogados
- Senha foi trocada e MFA exigida
- Regras de encaminhamento da conta foram revisadas
- Atividade na janela comprometida foi investigada
- Amplitude da campanha foi avaliada (outros funcionários, outras contas)
- Funcionário foi comunicado sem tom punitivo
- Time foi alertado sobre a campanha (sem identificar quem caiu)