Nove dias antes da Copa do Mundo FIFA 2026 dar início aos jogos nos Estados Unidos, Canadá e México, uma análise da Proofpoint revelou que mais de um terço dos parceiros oficiais do torneio não possui os controles de segurança de e-mail necessários para impedir que criminosos enviem mensagens fraudulentas se passando por suas marcas.
A descoberta vai muito além do futebol. As marcas associadas a esta Copa do Mundo abrangem companhias aéreas, grupos automotivos, infraestrutura financeira, empresas de energia, gigantes de bens de consumo e fornecedores de tecnologia. Coletivamente, enviam bilhões de e-mails legítimos para centenas de milhões de consumidores e parceiros comerciais. Onde esses domínios não estão totalmente protegidos, cada um desses destinatários se torna um alvo potencial para uma mensagem falsificada projetada para parecer exatamente com a real.
O Que a Proofpoint Encontrou
A Proofpoint analisou os domínios principais de 25 patrocinadores, fornecedores, parceiros e apoiadores oficiais da Copa do Mundo FIFA 2026, examinando os registros DMARC publicados no DNS. Os resultados se dividem claramente em três níveis.
64% dos domínios de parceiros (16 de 25) publicaram uma política DMARC de p=reject. Essa é a única configuração que impede ativamente que e-mails falsificados cheguem às caixas de entrada. Quando p=reject está em vigor, uma mensagem que afirma ser daquele domínio mas que falha nas verificações de autenticação é rejeitada no servidor de e-mail receptor antes mesmo de ser entregue.
32% dos domínios de parceiros (8 de 25) operam com p=none ou p=quarantine. Essas configurações oferecem visibilidade sobre falhas de autenticação por meio de relatórios agregados, mas nenhuma delas impede que uma mensagem falsificada seja entregue da maneira que p=reject faz. p=none não oferece nenhuma aplicação; p=quarantine direciona teoricamente as mensagens reprovadas para a pasta de spam, mas o comportamento de entrega varia significativamente entre os provedores de e-mail e a proteção é muito mais fraca do que a rejeição.
Pelo menos um domínio entre os 25 analisados não possuía nenhum registro DMARC, o que significa que não havia publicado nenhuma política de autenticação.
O próprio domínio da FIFA possui uma política p=reject completa. O organizador do torneio tem a proteção mais robusta possível. A lacuna se concentra entre os parceiros, exatamente as marcas cujos nomes e logotipos os consumidores têm mais probabilidade de encontrar em contextos de ingressos, viagens e produtos oficiais durante o torneio.
Por Que Grandes Eventos Esportivos Amplificam o Phishing
Cibercriminosos seguem a atenção. Um torneio que atrai bilhões de espectadores, gera centenas de milhões de consultas de ingressos, reservas de hotel, pesquisas de voos, compras de produtos oficiais e registros em fan zones oferece o cenário perfeito para fraude por e-mail. Consumidores e empresas esperam receber e-mails de patrocinadores e parceiros durante o ciclo de uma Copa do Mundo. Essa expectativa é a superfície de ataque.
Pesquisadores da KnowBe4 monitorando a infraestrutura de phishing relacionada à Copa já identificaram pelo menos 79 sites que imitam a presença web oficial da FIFA. Esses sites são o destino; os e-mails de domínios de parceiros falsificados são o mecanismo de entrega.
O padrão não é novo. A Proofpoint e outros realizaram análises equivalentes antes da Copa do Qatar 2022 e dos Jogos Olímpicos de Paris 2024. Em cada caso, uma fração significativa dos domínios de parceiros oficiais não tinha aplicação completa do DMARC e, em cada ciclo, campanhas de phishing explorando essas lacunas foram executadas em larga escala. A pergunta para o ciclo de 2026 não é se isso vai acontecer, mas se os parceiros fecham a lacuna antes de 11 de junho ou a deixam aberta durante os sessenta e oito dias do torneio.
A Anatomia de um Ataque por E-mail na Copa do Mundo
Veja o que um invasor pode fazer com um domínio de parceiro em p=none.
Uma marca que gerencia um pacote de hospitalidade oficial da FIFA envia e-mails de confirmação a clientes que assistem às partidas. Um invasor falsifica o domínio dessa marca, elabora uma mensagem que imita o estilo visual e o tom das comunicações autênticas de hospitalidade, e a envia para uma lista de contatos empresariais de alto valor. A mensagem contém um link para um site falso que captura credenciais ou dados de cartão de pagamento. Como p=none não impõe nenhuma restrição sobre quem pode enviar usando esse domínio, a mensagem falsificada passa pelos servidores de e-mail receptores sem que as verificações de autenticação intervenham.
Ou considere a versão voltada ao consumidor: um patrocinador oferece uma promoção de ingressos para a Copa. Um invasor clona a página de destino, falsifica o domínio do patrocinador no cabeçalho From: e executa uma campanha em massa direcionada a torcedores que manifestaram interesse em ingressos. Dezenas de milhares de pessoas recebem uma mensagem que parece exatamente uma promoção legítima de uma marca reconhecida e confiável.
Nenhum desses ataques exige que o invasor comprometa qualquer coisa dentro da organização alvo. A lacuna de autenticação no DNS é suficiente. E como nem a marca nem o consumidor têm visibilidade sobre o tráfego falsificado, as campanhas podem ser executadas por dias ou semanas antes que o padrão se torne aparente.
Os 36% Que Ainda Têm Tempo de Agir
A Copa começa em 11 de junho. A janela até a partida de abertura é real, mas estreita, e passar de uma configuração desprotegida ou parcialmente protegida para p=reject em prazos curtos requer esforço focado.
Organizações atualmente em p=none podem começar garantindo que os relatórios agregados DMARC estejam sendo coletados e revisados. Os relatórios RUA gerados a partir de uma política p=none existente mostram cada origem que envia como o domínio e o resultado de autenticação de cada uma. Essa visibilidade é o pré-requisito para a aplicação. Sem ela, avançar para p=quarantine ou p=reject arriscaria rejeitar ou colocar em quarentena e-mails legítimos de origens que nunca foram identificadas.
Parceiros que já estão coletando dados RUA mas não avançaram para p=reject geralmente estão bloqueados por uma de três coisas: um remetente terceirizado não autenticado que não foi configurado para DKIM, um registro SPF que não cobre toda a infraestrutura de envio, ou uma plataforma legada que requer uma estratégia de subdomínio em vez de mudanças de política no domínio principal.
Nenhum desses obstáculos é insuperável em uma janela de nove dias para organizações que já têm uma base de monitoramento DMARC. O risco de deixar a lacuna aberta durante um torneio de sessenta e oito dias que gera o volume de tráfego de e-mail que uma Copa do Mundo produz é consideravelmente maior do que o risco de interrupção de curto prazo de fechá-la.
Lacunas de DMARC em Domínios Associados a Eventos São um Problema Estrutural
A análise da Proofpoint abrange os parceiros oficiais. O ecossistema mais amplo de marcas relacionadas ao torneio é consideravelmente maior, e a dinâmica da segurança de e-mail em grandes eventos se aplica a todas as empresas que os consumidores associam à competição.
Plataformas de reserva de viagens, hospedagens, revendedores de produtos oficiais, detentores de direitos de transmissão, operadores de apostas e as centenas de marcas que executam campanhas temáticas da Copa nas semanas ao redor do torneio se tornam alvos potenciais de falsificação. Um consumidor que recebe uma mensagem supostamente de uma companhia aérea oferecendo viagens para a Copa ou de uma empresa de apostas oferecendo uma aposta gratuita não tem como distinguir de forma confiável uma mensagem falsificada de uma legítima sem a aplicação do DMARC no domínio remetente.
O ponto estrutural que a análise dos parceiros da FIFA ilustra é simples: a aplicação do DMARC não é um controle complexo ou caro. Requer um registro DNS. O desafio não é a tecnologia. É a disciplina operacional para identificar cada origem de envio legítima, autenticar cada uma e progredir do monitoramento para a aplicação, em vez de ficar em p=none indefinidamente.
Quando as marcas mais visíveis durante o maior evento esportivo do mundo não aplicam essa disciplina em seus próprios domínios, efetivamente convidam criminosos a usar suas reputações como infraestrutura de ataque. O custo não recai sobre a pilha de e-mail da marca, mas sobre os torcedores e clientes que confiam nelas.
A postura de autenticação do seu domínio está a um registro DNS de clareza total. O Excello Mail lê seus relatórios agregados DMARC, mapeia cada origem de envio em relação ao seu alinhamento SPF e DKIM, e mostra exatamente o que está entre você e a aplicação de p=reject. Cadastre-se gratuitamente no Excello Mail e veja o panorama completo de autenticação antes da sua próxima campanha.