Maioria das empresas nacionais não consegue proteger clientes contra fraudes por email

A Proofpoint e a Exclusive Networks divulgaram um estudo que confirma que 61% das maiores empresas portuguesas integrantes do PSI20 estão a deixar os clientes em risco de fraude via correio eletrónico, por não terem implementado o protocolo recomendado de autenticação Domain-based Message Authentication Reporting and Conformance (DMARC). 

O DMARC, revelado há quase uma década por um consórcio da indústria, é um protocolo de autenticação de correio eletrónico adotado globalmente, que atua como um controlo de passaporte do mundo da segurança de correio eletrónico. Verifica que o suposto domínio do remetente não foi imitado. A verificação DMARC baseia-se nas normas estabelecidas DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework) para assegurar que o correio eletrónico ilegal não é falsificado no domínio. 

A falta de implementação do DMARC torna as empresas muito mais suscetíveis à falsificação da identidade dos cibercriminosos e aumenta o risco de fraude por correio eletrónico dirigida aos seus clientes e fornecedores.

Para avaliar o nível de adoção do DMARC em Portugal, a Proofpoint e a Exclusive Networks realizaram uma análise dos domínios empresariais primários das empresas do PSI20, bem como de todos os organismos governamentais. A análise foi levada a cabo em março de 2021 e teve como principais conclusões que:

• Apenas 39% das organizações portuguesas do PSI20 (sete em 18) publicaram registos DMARC para começar a proteger os seus empregados, clientes e parceiros contra fraudes por correio eletrónico. Isto significa que 61% estão expostos a cibercriminosos que se fazem passar pelos seus domínios para lançar ataques de phishing;
• Das sete empresas que têm um registo DMARC em vigor, apenas uma está proativamente a bloquear e-mails fraudulentos e, portanto, em total conformidade com o DMARC, tendo implementado o nível mais rigoroso e recomendado de proteção DMARC. Estas taxas de adoção estão muito atrás dos níveis atuais testemunhados em toda a Forbes Global 2000, onde 54% das organizações têm um registo DMARC e 16% bloqueiam proactivamente as mensagens de correio eletrónico fraudulentas utilizando o seu domínio legítimo;
• A adoção foi pior em todo o setor público: todos os 15 ministérios do governo português são abrangidos pelo domínio "portugal.gov.pt", que não tem registo DMARC, o que significa que nenhum dos ministérios portugueses está atualmente a proteger os seus domínios de serem imitados por cibercriminosos.

"A fraude por e-mail continua a proporcionar grandes retornos aos cibercriminosos e a nossa última investigação confirma que não vai desaparecer", disse Jaime Torres, diretor regional para Portugal da Proofpoint. "À medida que estas ameaças crescem em alcance e sofisticação, é fundamental que as organizações reforcem as suas defesas contra a fraude por correio eletrónico, adotando tecnologia como a DMARC para proteger a sua marca contra a personificação. Além disso, como os cibercriminosos tiram partido do fator humano para executar as suas campanhas, as empresas devem assegurar-se de que utilizam uma formação eficaz de sensibilização para a segurança para educar os funcionários sobre as melhores práticas, bem como estabelecer uma estratégia centrada nas pessoas para se defenderem contra o foco inabalável dos atores da ameaça em comprometer os utilizadores finais".

"Como fornecedor líder de serviços de cibersegurança na região, é vital que aumentemos a sensibilização para o risco perigoso das ameaças por correio eletrónico que as principais empresas da região enfrentam. Os ciberataques por correio eletrónico estão sem dúvida a aumentar e as organizações podem tomar medidas simples e recomendadas para proteger os seus clientes do risco de fraude de correio eletrónico, implementando uma política DMARC", disse Elizabeth Alves, diretora comercial da Exclusive Networks Portugal. "Na Exclusive Networks, estabelecemos parcerias com os melhores fornecedores, como a Proofpoint, para ajudar as organizações a proteger os seus negócios contra as ameaças cibernéticas avançadas de hoje - e rapidamente".