Nos últimos anos, aprendemos a treinar pessoas para detectar e-mails suspeitos e a colocar filtros que bloqueiam ameaças conhecidas. No entanto, há uma segunda linha de defesa que recebe menos atenção e que os atacantes tornaram-se alvo: o processo de investigação que segue um relatório de phishing. Quando esse processo se torna lento ou inconsistente, a organização deixa uma porta aberta que não se vê nos diagramas de rede: a atenção humana.
Os atacantes já não só tentam enganar um empregado; buscam esgotar a equipe que investiga. Em vez de apostar tudo a um único e-mail muito sofisticado, muitas campanhas combinam uma maré de mensagens de baixa complexidade com alguns e-mails cuidadosamente direcionados. O objetivo aparente — fazer ruído — oculta um propósito estratégico: congestionar a cauda de trabalho do centro de operações (SOC) até que as poucas mensagens valiosas passem despercebidos.
Esse fenômeno, que pesquisadores e praticantes já descrevem como uma forma de recusa de serviço informacional (IDoS), explora uma propriedade básica de qualquer sistema com recursos limitados: a atenção humana não escala indefinidamente. Estudos sobre fadiga de alertas e pesquisas em operações de segurança mostram que quando o volume de relatórios dispara, a qualidade da análise tende a baixar (ver estudo em arXiv), e pesquisas da indústria revelam que uma grande parte dos SOCs simplesmente não pode gerenciar todos os alertas entrantes com a profundidade necessária (relatório SANS 2024).
Imagine o seguinte cenário: milhares de funcionários relatam dezenas de milhares de mensagens que, em sua maioria, são irritantes, mas inofensivos. Cada um desses relatórios requer algum processamento: abrir a mensagem, verificar cabeçalhos, validar links, correlacionar telemetria de endpoints e tomar uma decisão. Se os analistas estão sobrecarregados, adotam atalhos cognitivos úteis no curto prazo, mas perigosos em conjunto: revisam acima, confiam em indicadores superficiais e priorizam a limpeza da cauda. É justamente nesses atalhos onde os spear-phishing bem projetados encontram sua oportunidade.
A economia do ataque está a favor do atacante. Produzir e distribuir milhares de e-mails de baixa sofisticação custa quase nada, especialmente com ferramentas de automação e geração de texto. Para o defensor, cada mensagem relatada consome minutos de profissionais qualificados; uma pesquisa exaustiva pode chegar a exigir horas. Essa assimetria — baixo custo para criar ruído, alto custo para processar — torna a saturação em uma tática rentável.
A resposta imediata de muitos equipamentos tem sido aumentar a automação baseada em regras: fechar automaticamente relatórios de domínios de confiança, desduplicar relatórios idênticos ou aplicar listados reputacionais. Essas medidas ajudam a reduzir o volume, mas têm limites importantes. As regras fixas criam padrões exploáveis; se os atacantes sabem ou infirem que certos sinais provocam auto-cerre, podem alterar superficialmente suas mensagens para sortear essas defesas. Além disso, quando a automação funciona como uma "caixa negra" que não explica suas decisões, o pessoal suspeitará, reabrirá casos ou anulará ações automáticas, eliminando os ganhos prometidos pela automação.
Mais dados e mais regras não resolvem o problema central: o que falha é a capacidade de converter informações em decisões rápidas e confiáveis. É por isso que está a emergir uma nova forma de o fazer: não se trata apenas de analisar e-mails, mas de entregar Pesquisas preparadas para a decisão. Em vez de apresentar um analista um conjunto de indicadores crus, a ideia é que um motor de pesquisa produza um veredicto motivado, com a evidência e o raciocínio necessário para que o humano reveja e valide, não que volte a reconstruir de zero.
Uma aproximação promissora usa arquiteturas de IA "agentiva" nas quais diferentes agentes especializados trabalham em paralelo sobre diferentes dimensões da pesquisa. Um agente pode ser encarregado de verificar a autenticidade do remetente (SPF, DKIM, DMARC, história do domínio), outro de analisar a linguagem da mensagem em busca de sinais de engenharia social, e um terceiro de correlacionar com telemetria de endpoints e atividade anómala. O essencial não é que a IA decida por si só, mas que cada agente documente que verificou, o que encontrou e como isso afeta a conclusão.
A transparência e a rastreabilidade mudam a relação de confiança entre humanos e máquinas. Se o sistema entrega uma conclusão e também mostra a cadeia de evidência, os analistas podem entender as razões, desafiar hipóteses e, com o tempo, confiar em que as decisões automatizadas são explicáveis. Essa confiança permite que as resoluções rotineiras sejam geridas com autonomia controlada, enquanto os humanos se concentram nos incidentes que requerem julgamento e criatividade.
O benefício prático mais tangível é o tempo. A diferença entre uma pesquisa que se encerra em minutos frente a outra que demora horas não é uma melhoria operacional menor: é a diferença entre uma credencial revogada antes de o atacante prejudicar e uma que já serviu para se mover lateralmente, escalar privilégios ou exfiltrar informações. Os relatórios sobre custos e tempos de resposta em vazamentos demonstram que cada hora conta quando um ator malicioso conseguiu acesso inicial (IBM: custo de brechas).
Esta abordagem também requer repensar quais métricas importam. Os quadros de comando tradicionais do SOC miden desempenho operacional: tempo médio de resposta, tickets fechados por analista, etc. Para resistir a táticas que exploram volume, as métricas devem capturar a consistência da qualidade investigativa sob carga, a latência para chegar a um veredicto confiante, a precisão das escaladas durante picos de atividade e a porcentagem de decisões automatizadas que incluem um raciocínio auditável. Medir proatividade — que tão perto do ponto de impacto se detectam as ameaças — completa a visão.
Ao mudar o foco de "mais sinais" para "decisões mais precisas e explicadas", a defesa altera radicalmente o panorama estratégico. Se o volume elevado já não degrada o aprofundamento nem o tempo de decisão, a tática de inundar o SOC deixa de ser efetiva: a oleagem de mensagens baratas não oculta nada e o atacante terá gasto recursos sem ganho. A simetria inverte-se.
Esta abordagem não elimina a necessidade de formação a empregados ou a importância de camadas de protecção perimetral. Manter o botão de relatório visível e promover a responsabilidade do pessoal permanece crucial. A diferença está em que agora o motor por trás desse botão não será um pescoço de garrafa exploável, mas uma barreira resiliente: um sistema que não se fadiga e que entrega, em minutos, uma avaliação com evidências.
Para organizações que avaliam soluções, é útil rever pesquisas e guias publicados pela comunidade de segurança e agências públicas, como a documentação técnica de autenticação de correio na Microsoft (Microsoft: proteção do correio) ou recomendações práticas sobre phishing e resposta da agência CISA (CISA: conselhos anti-phishing). Além disso, os relatórios anuais de incidentes oferecem contexto sobre onde ocorrem os maiores danos quando falha a detecção precoce, como os relatórios da indústria sobre lacunas (Verizon DBIR).
Não existe uma solução mágica, mas há uma rota clara: projetar processos e tecnologias que reduzam a dependência da memória e da resistência humana em picos de carga, ao mesmo tempo que preservem a capacidade dos analistas para intervirem com critério. Algumas plataformas comerciais já estão aplicando arquiteturas agentivas para produzir pesquisas "listas para decidir" e reduzir drasticamente os tempos de resolução; conhecer as capacidades e a transparência dessas ferramentas é um passo que cada SOC deveria dar agora.
No final, a defesa efetiva contra campanhas que buscam esgotar a equipe humana exige mudança de perspectiva: deixar de ver cada e-mail como uma unidade isolada e começar a gerenciar a pesquisa como uma cadeia de decisões. Se o objetivo do atacante é consumir sua atenção, a melhor resposta é construir uma pesquisa que não se canse. Para conhecer soluções que levantam esta aproximação, informações técnicas sobre plataformas que implementam agentes especializados e racionais auditáveis (mais informações sobre o CognitiveSOC).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...