Uma varredura de 3,1 bilhões de e-mails em um único mês. Um em cada três mensagens sinalizadas como maliciosas ou spam indesejado. Quase metade de toda a atividade maliciosa originada de phishing. Esses são os números de destaque do Relatório de Ameaças de E-mail 2026 da Barracuda, publicado em 12 de maio, e eles descrevem um cenário de ameaças que mudou fundamentalmente nos últimos três anos.
O que está impulsionando o aumento não é apenas o volume. É a industrialização. As plataformas de Phishing-como-Serviço (PhaaS) agora alimentam 90% das campanhas de phishing de alto volume, fornecendo aos atacantes kits prontos de coleta de credenciais, domínios rotativos, lógica de evasão pré-construída e até suporte ao cliente. A barreira para lançar uma operação sofisticada de phishing em múltiplas etapas desmoronou.
O Que o PhaaS Muda sobre as Ameaças de E-mail
O phishing tradicional exigia tempo, habilidade técnica e infraestrutura. Um atacante precisava registrar um domínio parecido, configurar servidores de e-mail, escrever textos convincentes e de alguma forma passar pelos filtros de spam. Os kits PhaaS fazem a maior parte desse trabalho por demanda.
O resultado, de acordo com os dados da Barracuda, é uma mudança dramática na composição dos ataques. Os atacantes estão se afastando de malware baseado em arquivos para URLs, códigos QR e HTML, mecanismos de entrega mais difíceis de detectar por filtros tradicionais e mais fáceis de atualizar quando uma variante é bloqueada. Mais de 10% dos anexos HTML analisados eram maliciosos. E 70% dos PDFs maliciosos agora contêm códigos QR incorporados que redirecionam as vítimas para páginas de phishing fora do alcance dos scanners de links padrão.
A tomada de controle de contas é a consequência direta. 34% das organizações do estudo experienciaram pelo menos um incidente de tomada de controle de conta por mês. Quando uma credencial roubada leva um atacante para dentro de uma caixa de entrada corporativa, ele não precisa mais falsificar o domínio. Ele o possui.
O Caso SPF da Microsoft: Quando a Autenticação Passa Mas Não Deveria
O relatório da Barracuda chegou junto a uma ilustração vívida de como funcionam as superfícies de ataque baseadas em confiança. Em meados de maio, pesquisadores e jornalistas descobriram que golpistas estavam usando um endereço de e-mail interno da Microsoft, [email protected], para enviar spam de phishing em escala.
Os e-mails passaram nas verificações SPF e DMARC devido a uma falha sutil na própria configuração SPF da Microsoft. O registro inclui spf.protection.outlook.com, que efetivamente autoriza qualquer usuário do Outlook.com a enviar e-mail que se autentica como microsoftonline.com. Os golpistas simplesmente criaram novas contas Microsoft e usaram esse acesso para enviar mensagens que pareciam, para qualquer sistema de autenticação, alertas oficiais de segurança da Microsoft.
A lição é clara: a aplicação do DMARC é essencial, mas os registros SPF dos quais ele depende devem ser auditados com o mesmo cuidado. Um registro SPF excessivamente permissivo não é um detalhe de configuração. É uma porta aberta.
O Que o DMARC Impede e Onde Ainda Existem Lacunas
O DMARC em aplicação (p=quarantine ou p=reject) continua sendo o controle único mais eficaz para impedir a falsificação de domínio. Quando um atacante tenta se passar pelo seu domínio sem autorização, uma política DMARC rigorosa significa que esse e-mail nunca chega à caixa de entrada.
Os kits PhaaS sabem disso. É por isso que dependem cada vez mais de domínios semelhantes, variantes de typosquat e homógrafos que são visualmente próximos ao seu domínio, mas tecnicamente distintos. O DMARC não protege contra um domínio que você não possui. Essa é a lacuna que o PhaaS explora.
O panorama completo do que as organizações precisam:
- DMARC em p=reject: A linha base inegociável. Impede a falsificação direta do seu domínio.
- Higiene do registro SPF: Audite cada
include:em sua cadeia SPF. Includes excessivamente amplos podem autorizar remetentes que você nunca pretendeu. - Alinhamento DKIM: As assinaturas DKIM sobrevivem ao encaminhamento de maneiras que o SPF não consegue. O alinhamento DKIM adequado dá à sua política DMARC uma âncora de autenticação estável.
- Monitoramento de domínios semelhantes: Sinalize domínios recém-registrados que se assemelham ao seu antes que os atacantes os armem.
- Monitoramento de engajamento: 34% de tomadas de controle mensais significam que atacantes estão operando dentro de caixas de entrada legítimas. A autenticação não consegue detectar isso. Sinais comportamentais conseguem.
Os Três Passos para Fortalecer Agora
Dado o que os dados da Barracuda revelam, três ações são urgentes para qualquer organização com domínios de envio de e-mail:
1. Avance para a aplicação. Se sua política DMARC ainda é p=none, você está coletando dados, mas não fornecendo proteção alguma. Comece com p=quarantine e avance para p=reject à medida que identifica e autoriza cada remetente legítimo.
2. Audite seu SPF. Execute uma análise completa de achatamento SPF. Procure includes excessivamente permissivos, especialmente em infraestrutura compartilhada como protection.outlook.com, _spf.google.com ou registros de ESP de terceiros que autorizam amplos intervalos de IP. O que você inclui no seu SPF é o que o DMARC tratará como autorizado.
3. Mapeie cada fonte de envio. A razão mais comum pela qual as organizações param no p=none são remetentes não descobertos: plataformas de marketing, CRMs, serviços de e-mail transacional e ferramentas SaaS que enviam em nome do seu domínio sem o alinhamento adequado. Um inventário completo de remetentes, atualizado continuamente, é o pré-requisito para uma aplicação segura.
A Escala do Problema Exige uma Resposta Sistemática
Um em cada três e-mails sendo malicioso ou spam não é um problema que a vigilância individual resolve. O treinamento de conscientização de segurança ajuda na margem. SPF, DKIM e DMARC aplicados juntos, com monitoramento contínuo e um inventário completo de remetentes, abordam a vulnerabilidade estrutural que o PhaaS agora explora em escala.
A industrialização do phishing significa que os defensores precisam igualar essa escala com controles sistemáticos. A aplicação do DMARC, devidamente mantida, é a camada de infraestrutura que torna a economia dos ataques baseados em e-mail desfavorável para os atacantes.
Pronto para levar seu DMARC do monitoramento para a aplicação completa? Crie sua conta gratuita na Excello →