O email é o principal canal de comunicação das organizações e também o meio de comunicação preferido dos consumidores. E onde quer que as pessoas estejam, os hackers as seguem. Os cibercriminosos continuam explorando o e-mail para distribuir phishing, fraudes, spam e outros golpes. Por isso, o Google, o Yahoo! e a Apple estão trazendo novos requisitos de autenticação de e-mail projetados para evitar que os agentes de ameaças abusem do e-mail.
Embora esta grande mudança seja uma ótima notícia para os consumidores, as organizações não têm muito tempo para se preparar – Google, Yahoo! e a Apple começará a aplicar seus novos requisitos ainda no primeiro trimestre de 2024.
À medida em que essas regras começarem a entrar em vigor, algumas organizações brasileiras que foram consideradas na lista Forbes Global 2000 estão despreparadas para essas novas exigências; isso pode impactar significativamente a sua capacidade de entregar comunicados importantes via e-mail aos clientes em tempo hábil e também colocá-los em risco de fraudes e golpes.
Segundo o relatório State of the Phish de 2024, o volume de tentativas de fraude por e-mail comercial (BEC) cresceu em países como o Brasil (aumento de 21%), Japão (35%), Coreia do Sul (31%) e Emirados Árabes Unidos (29%). Esses países podem ter visto anteriormente menos ataques BEC devido a barreiras culturais ou linguísticas, mas a IA generativa permite que os atacantes criem e-mails mais convincentes e personalizados em vários idiomas.
A análise da Proofpoint da lista de empresas brasileiras na Forbes Global 2000 e a sua adoção do protocolo aberto DMARC (Domain-based Message Authentication Reporting and Conformance), um protocolo de autenticação amplamente utilizado que ajuda a garantir a identidade das comunicações por e-mail protegendo nomes de domínio de sites contra falsificação e uso indevido, mostra que:
• Um número surpreendente de 63% não está bloqueando ativamente e-mails fraudulentos de chegarem aos seus clientes; mais de um terço (37%) implementou o mais alto nível de proteção para impedir que e-mails suspeitos cheguem às caixas de entrada de seus clientes.
• 5% das empresas brasileiras no Global 2000 não possui nenhum registro DMARC, indicando que não estão preparados para os próximos requisitos de autenticação de e-mail.
• 53% implementaram uma política de monitoramento, o que significa que e-mails não qualificados ainda podem chegar na caixa de entrada do destinatário; e apenas 5% implementaram uma política de quarentena para direcionar e-mails não qualificados para pastas de spam/lixo eletrônico.
“Como qualquer ferramenta de segurança, o DMARC não é uma solução mágica, mas adiciona outra camada de proteção para fortalecer suas defesas gerais”, diz Rogério Morais, vice-presidente da Proofpoint Latin America. “É encorajador que a maioria das empresas brasileiras no G2000 tenham dado os primeiros passos em sua jornada DMARC, estabelecendo um recorde. Mas, a menos que as organizações implementem o mais alto nível de proteção, estarão expondo os seus clientes a e-mails suspeitos e maliciosos. Os novos requisitos de e-mail são uma grande oportunidade para as organizações preencherem as lacunas na segurança do e-mail.”
A autenticação de e-mail tem sido uma prática recomendada há anos. DMARC é o padrão ouro para proteção contra falsificação de identidade de e-mail, uma técnica importante usada em fraudes por e-mail e ataques de phishing. Mas, como revela a nossa análise do Global 2000, muitas empresas ainda não o implementaram, e aquelas que registram atrasos na adoção terão que recuperar o atraso rapidamente se quiserem continuar a enviar e-mails aos seus clientes. As organizações que não cumprirem poderão ver seus e-mails roteados diretamente para as pastas de spam dos clientes ou totalmente rejeitados.
A implementação, no entanto, pode ser desafiadora, pois requer uma variedade de etapas técnicas e manutenção contínua. Nem todas as organizações possuem recursos ou conhecimento interno para atender aos requisitos em tempo hábil. É possível aproveitar recursos como o resumo técnico e o kit de autenticação de e-mail da Proofpoint. A Proofpoint também oferece uma ferramenta para verificar os registros DMARC e SPF do seu domínio, bem como criar um registro DMARC para o domínio.
CYBERSECURITY FORUM 2024
A TI INSIDE promove no dia 24 de abril, no WTC-SP, a 3a edição do Cybersecurity Forum. Veja a grade e faça sua inscrição no site https://cybersecurityforum.com.br/
