No Brasil e no mundo, o e-mail continua sendo o vetor de ameaça número um. O relatório State of the Phish 2024 da Proofpoint revelou que 68% das organizações brasileiras pesquisadas foram alvo de ataques de comprometimento de e-mail comercial (BEC) em 2023.
Por Redação, com Homework – de Brasília
Metade dos sites mais acessados no Brasil está atrasada em relação às medidas básicas de segurança cibernética, colocando os usuários em risco de serem vítimas de fraudes por e-mail. É o que aponta a análise realizada, em agosto de 2024, pela Proofpoint, Inc., empresa líder em segurança cibernética e compliance.
A descoberta é baseada em uma análise de adoção do DMARC (Domain-based Message Authentication, Reporting and Conformance) dos 20 sites mais visitados pelos brasileiros. O DMARC é um protocolo de validação de e-mail amplamente reconhecido que verifica se o remetente é realmente quem diz ser. O levantamento foi feito a partir dos domínios de URL das organizações incluídas no ranking Top Websites da Semrush, ferramenta de insights de marketing, com base nos dados da ferramenta Semrush Traffic Analytics.
– O DMARC procura trazer confiança e segurança ao endereço ‘de’ visível de um e-mail, de modo que, quando você recebe um e-mail de uma organização, como seu banco ou um site de comércio eletrônico, você pode dizer com absoluta certeza que ele definitivamente veio deles – explica Rogério Morais, vice-presidente da Proofpoint para a América Latina e o Caribe.
A tecnologia foi projetada para proteger os nomes de domínio contra falsificações e uso indevido por criminosos cibernéticos, autenticando a identidade do remetente antes de permitir que uma mensagem chegue ao destinatário pretendido. O DMARC tem três níveis de proteção – monitora, colocar em quarentena e rejeitar, sendo a rejeição o mais seguro para impedir que mensagens suspeitas de e-mail cheguem às caixas de entrada dos usuários.
Embora a maioria dos sites analisados (90%) tenha implementado o DMARC em algum nível, apenas metade (50%) o fez na forma mais avançada e recomendada, ou seja, “rejeitar”. Isso significa que, 50% dos sites mais populares do Brasil, não protege ativamente os clientes de e-mails potencialmente fraudulentos. De fato, 10% desses sites não tem DMARC implementado de nenhuma forma. Sem a adoção do DMARC, os cibercriminosos têm a capacidade de se fazer passar por marcas conhecidas, com o objetivo de enganar os consumidores para que cliquem em links perigosos, pondo em risco os seus dados sensíveis ou mesmo perdendo dinheiro diretamente.
– A nossa análise revela um cenário preocupante, uma vez que o e-mail é o método de ataque preferido dos cibercriminosos que visam os usuários com o objetivo de roubar o seu dinheiro ou informações privadas – destaca Morais. “A pressa e a curiosidade fazem com que, nem sempre, as pessoas prestem atenção às suas atividades online, razão pela qual é ainda mais importante que as empresas se equipem para evitar que os golpes sejam cometidos em seu nome. A adoção do DMARC ao mais alto nível garante segurança do e-mail, não só para as empresas, mas também para todos os seus clientes.”
E-mail segue como principal vetor de ameaça
Embora os ataques por e-mail estejam evoluindo continuamente, a técnica permanece praticamente a mesma há anos. Os criminosos cibernéticos fingem ser uma empresa bem conhecida, geralmente personificando o nome de domínio da empresa, e exigem uma transferência ou informação de um funcionário, que acredita estar lidando com uma pessoa legítima.
No Brasil e no mundo, o e-mail continua sendo o vetor de ameaça número um. O relatório State of the Phish 2024 da Proofpoint revelou que 68% das organizações brasileiras pesquisadas foram alvo de ataques de comprometimento de e-mail comercial (BEC) em 2023.
Embora as empresas devam adotar medidas rigorosas para proteger o público, os próprios usuários devem estar extremamente vigilantes e ter em conta as seguintes recomendações:
Desconfie de e-mails, mensagens de texto ou chamadas não solicitadas, especialmente, se sugerirem uma ação “urgente” ou pedirem um pagamento;
Nunca forneça informações financeiras ou senhas por e-mail, WhatsApp ou SMS. Ligue sempre diretamente para o seu banco se receber um pedido potencialmente suspeito;
É importante criar uma senha única para cada conta online que utiliza, formada por palavras aleatórias para criar uma senha forte, e ativar a autenticação multifator (MFA) sempre que possível.
