O Centro de Reclamações de Crimes na Internet do FBI recebeu 21.442 denúncias de Comprometimento de E-mail Empresarial (BEC) em 2024. As perdas totais nesses incidentes somaram US$ 2,77 bilhões. Isso equivale a uma perda média de aproximadamente US$ 129.000 por incidente, e esses são apenas os casos em que as vítimas registraram uma denúncia. O número real é quase certamente maior.
As perdas acumuladas por BEC rastreadas pelo FBI na última década superam US$ 55,5 bilhões. Nenhuma outra categoria de crime cibernético gera perdas financeiras dessa magnitude com essa consistência, ano após ano.
A característica definidora do BEC é que ele explora a confiança, não a tecnologia. Os atacantes não precisam atravessar firewalls ou implantar malware. Eles precisam fazer com que um alvo acredite que está se comunicando com uma parte conhecida e confiável, e então direcionar esse alvo para transferir fundos, compartilhar credenciais ou alterar os dados da conta de pagamento. O mecanismo para estabelecer essa falsa confiança é quase sempre o e-mail.
Três formas pelas quais os atacantes de BEC chegam à sua caixa de entrada
Os pesquisadores que estudam ataques de BEC geralmente identificam três vetores principais de falsificação de identidade.
Falsificação de domínio. O atacante envia um e-mail que parece, no cabeçalho De:, originar-se de um domínio legítimo: o domínio do seu CEO, o domínio de um fornecedor, o domínio de uma instituição financeira. Sem a aplicação do DMARC no domínio alvo, os servidores de e-mail receptores não têm instrução para rejeitar ou colocar em quarentena esse tráfico falsificado. Ele simplesmente chega.
Domínios semelhantes. O atacante registra um domínio que se assemelha ao alvo: substituindo uma letra, adicionando um hífen ou trocando um caractere. Esses ataques são mais difíceis de bloquear com DMARC porque o domínio remetente é tecnicamente legítimo, apenas enganoso.
Comprometimento de conta. O atacante compromete uma conta de e-mail legítima, muitas vezes por meio de phishing de credenciais, e envia mensagens fraudulentas de uma conta real em um domínio real. O DMARC não oferece proteção direta aqui porque o domínio remetente autentica corretamente.
Desses três vetores, o DMARC em modo de aplicação com p=reject elimina o primeiro completamente e reduz o terceiro ao tornar os e-mails de phishing de credenciais mais difíceis de entregar em escala. Ele não aborda domínios semelhantes, mas esse é um problema separado que requer um controle separado.
A lacuna de autenticação que a Cloudflare encontrou
O Relatório de Ameaças da Cloudflare 2026 analisou 450 milhões de e-mails e publicou descobertas que ajudam a explicar por que a falsificação de domínios permanece viável em escala industrial.
De acordo com os dados da Cloudflare, 46% desses e-mails falharam na validação DMARC. Mais de 43% falharam nas verificações SPF. Mais de 44% não tinham assinaturas DKIM válidas.
O relatório também documentou a ascensão das plataformas de Phishing como Serviço (PhaaS) que exploram ativamente essas lacunas. Essas plataformas permitem que agentes de ameaças com habilidades técnicas mínimas lancem campanhas falsificadas visando qualquer domínio que não tenha aplicado o DMARC. O domínio não precisa ser famoso ou de alto valor. Qualquer marca, fornecedor ou instituição reconhecível se torna um alvo de falsificação viável se seu registro DMARC estiver em p=none.
Os pesquisadores da Cloudflare interceptaram mais de US$ 123 milhões em tentativas de roubo financeiro por BEC em 2025 por meio de suas ferramentas de segurança de e-mail. Esse número representa tentativas detectadas e bloqueadas, não perdas. Ele dá uma ideia do volume de fraudes que são ativamente tentadas contra organizações em qualquer ano.
A IA mudou o que os filtros de conteúdo conseguem detectar
Durante anos, o conselho padrão para identificar tentativas de BEC envolvia procurar indicadores suspeitos no próprio e-mail: frases estranhas, urgência incomum, informações do remetente que não correspondiam a um exame mais atento. Filtros de spam e ferramentas de análise de conteúdo foram treinados para identificar esses sinais.
A IA generativa degradou sistematicamente essa abordagem. Pesquisas publicadas no início de 2026 descobriram que aproximadamente 40% dos e-mails de BEC são agora gerados por IA, com qualidade de prosa indistinguível da comunicação empresarial legítima. Esses e-mails usam títulos de cargo precisos, fazem referência a projetos ou relacionamentos reais e aplicam o tom adequado para o executivo ou fornecedor representado.
Quando o conteúdo de um e-mail fraudulento é indistinguível de uma comunicação legítima, o único sinal confiável restante é se o domínio remetente é quem afirma ser. Isso é exatamente o que o DMARC responde.
Um registro DMARC com p=reject em um domínio instrui todos os servidores de e-mail receptores no mundo: se uma mensagem afirmar vir deste domínio mas não passar no alinhamento SPF ou DKIM, não a entregue. A instrução é universal, automática e não depende de nenhum ser humano ler o e-mail e notar algo errado.
A divisão entre grandes empresas e todos os demais
O Relatório de Adoção e Aplicação de DMARC 2026 da EasyDMARC, que analisou 1,8 milhão de domínios incluindo a Fortune 500 e Inc. 5000, documentou uma divisão acentuada na aplicação do DMARC entre grandes empresas e organizações menores.
Entre as empresas da Fortune 500, 95% têm o DMARC configurado, com mais de 80% em políticas de nível de aplicação. Entre as empresas da Inc. 5000, a adoção é menor e a aplicação é muito menor: apenas 15,2% chegaram ao p=reject, em comparação com 62,7% das empresas da Fortune 500.
Essa divisão não é apenas uma estatística de conformidade. É um mapa de alvos. Os atacantes que constroem campanhas de BEC selecionam alvos em parte com base em qual falsificação de identidade é possível. Um domínio em p=none ou sem nenhum registro DMARC é um convite aberto. O fornecedor que emite faturas para você, o escritório de advocacia que cuida da sua transação, a empresa de logística que gerencia suas remessas: se qualquer uma dessas organizações não aplicou o DMARC, seu domínio pode ser falsificado em e-mails direcionados a você.
O FBI documentou especificamente que os atacantes de BEC frequentemente falsificam domínios de fornecedores ou terceiros em vez do próprio domínio da organização alvo. Organizações receptoras com autenticação forte em seu próprio domínio ainda estão expostas se seus fornecedores e parceiros não aplicaram o DMARC.
O que a aplicação do DMARC realmente exige
Passar de p=none para p=reject é um processo de várias etapas, mas as etapas são bem definidas e alcançáveis para organizações de qualquer tamanho.
A fase de monitoramento vem primeiro. Publicar um registro DMARC em p=none com endereços de relatórios agregados (rua= e ruf=) permite que uma organização veja cada fonte que envia e-mail afirmando usar seu domínio. Essa fase geralmente dura de duas a quatro semanas.
A fase de descoberta vem a seguir. Os relatórios agregados revelarão seu ESP, sua plataforma de CRM, seu serviço de e-mail transacional, seu sistema de help desk, qualquer aplicativo de terceiros que envia e-mail em seu nome. Cada um precisa passar no alinhamento SPF ou na assinatura DKIM antes que seja seguro habilitar a aplicação.
Uma vez que todas as fontes legítimas estejam autenticando corretamente, a política pode ser movida para p=quarantine e depois para p=reject. A transição deve ser gradual, com monitoramento próximo dos relatórios agregados em cada etapa para identificar fontes que foram perdidas durante a descoberta.
O processo é metódico, não tecnicamente complexo. A razão pela qual a maioria das organizações não o concluiu não é que seja difícil. É que requer atenção, ferramentas para interpretar os relatórios e alguém responsável por levá-lo à conclusão.
O argumento de negócios para concluir o trabalho
O incidente de BEC médio custa US$ 129.000. O custo de implantar e gerenciar a aplicação do DMARC por um ano é uma pequena fração desse valor. Até mesmo um único ataque interceptado paga anos de infraestrutura de autenticação.
A formulação mais direta é esta: cada dia que um domínio opera em p=none ou sem DMARC, ele está fazendo uma oferta gratuita a cada agente de ameaças com acesso a uma plataforma PhaaS. A oferta é o uso ilimitado da identidade desse domínio para atacar qualquer pessoa no mundo. A aplicação retira a oferta.
A Excello Mail gerencia o caminho completo do monitoramento até a aplicação de p=reject – análise de relatórios agregados, descoberta de fontes de envio, identificação de lacunas de autenticação e escalonamento guiado de políticas. Cadastre-se gratuitamente em excello.email →