Estudo da Proofpoint revela que tais sites não impedem proativamente que mensagens fraudulentas cheguem aos usuários
Metade dos sites mais acessados no Brasil está atrasada em relação às medidas básicas de segurança cibernética, colocando os usuários em risco de serem vítimas de fraudes por e-mail. É o que aponta a análise realizada, em agosto de 2024, pela Proofpoint, Inc., empresa líder em segurança cibernética e compliance.
A descoberta é baseada em uma análise de adoção do DMARC (Domain-based Message Authentication, Reporting and Conformance) dos 20 sites mais visitados pelos brasileiros. O DMARC é um protocolo de validação de e-mail amplamente reconhecido que verifica se o remetente é realmente quem diz ser. O levantamento foi feito a partir dos domínios de URL das organizações incluídas no ranking Top Websites da Semrush, ferramenta de insights de marketing, com base nos dados da ferramenta Semrush Traffic Analytics.
“O DMARC procura trazer confiança e segurança ao endereço 'de' visível de um e-mail, de modo que, quando você recebe um e-mail de uma organização, como seu banco ou um site de comércio eletrônico, você pode dizer com absoluta certeza que ele definitivamente veio deles”, explica Rogério Morais, vice-presidente da Proofpoint para a América Latina e o Caribe. A tecnologia foi projetada para proteger os nomes de domínio contra falsificações e uso indevido por criminosos cibernéticos, autenticando a identidade do remetente antes de permitir que uma mensagem chegue ao destinatário pretendido. O DMARC tem três níveis de proteção - monitora, colocar em quarentena e rejeitar, sendo a rejeição o mais seguro para impedir que mensagens suspeitas de e-mail cheguem às caixas de entrada dos usuários.
Embora a maioria dos sites analisados (90%) tenha implementado o DMARC em algum nível, apenas metade (50%) o fez na forma mais avançada e recomendada, ou seja, “rejeitar”. Isso significa que, 50% dos sites mais populares do Brasil, não protege ativamente os clientes de e-mails potencialmente fraudulentos. De fato, 10% desses sites não tem DMARC implementado de nenhuma forma. Sem a adoção do DMARC, os cibercriminosos têm a capacidade de se fazer passar por marcas conhecidas, com o objetivo de enganar os consumidores para que cliquem em links perigosos, pondo em risco os seus dados sensíveis ou mesmo perdendo dinheiro diretamente.
“A nossa análise revela um cenário preocupante, uma vez que o e-mail é o método de ataque preferido dos cibercriminosos que visam os usuários com o objetivo de roubar o seu dinheiro ou informações privadas”, destaca Morais. “A pressa e a curiosidade fazem com que, nem sempre, as pessoas prestem atenção às suas atividades online, razão pela qual é ainda mais importante que as empresas se equipem para evitar que os golpes sejam cometidos em seu nome. A adoção do DMARC ao mais alto nível garante segurança do e-mail, não só para as empresas, mas também para todos os seus clientes.”
E-mail segue como principal vetor de ameaça
Embora os ataques por e-mail estejam evoluindo continuamente, a técnica permanece praticamente a mesma há anos. Os criminosos cibernéticos fingem ser uma empresa bem conhecida, geralmente personificando o nome de domínio da empresa, e exigem uma transferência ou informação de um funcionário, que acredita estar lidando com uma pessoa legítima.
No Brasil e no mundo, o e-mail continua sendo o vetor de ameaça número um. O relatório State of the Phish 2024 da Proofpoint revelou que 68% das organizações brasileiras pesquisadas foram alvo de ataques de comprometimento de e-mail comercial (BEC) em 2023.
Embora as empresas devam adotar medidas rigorosas para proteger o público, os próprios usuários devem estar extremamente vigilantes e ter em conta as seguintes recomendações:
Desconfie de e-mails, mensagens de texto ou chamadas não solicitadas, especialmente, se sugerirem uma ação “urgente” ou pedirem um pagamento.
Nunca forneça informações financeiras ou senhas por e-mail, WhatsApp ou SMS. Ligue sempre diretamente para o seu banco se receber um pedido potencialmente suspeito.
É importante criar uma senha única para cada conta online que utiliza, formada por palavras aleatórias para criar uma senha forte, e ativar a autenticação multifator (MFA) sempre que possível.
Comments