Quando a aplicação do DMARC era fraca, o caminho mais fácil para as finanças de uma organização passava pelo e-mail. Uma mensagem falsificada de “[email protected]” chegava à caixa de entrada, o funcionário realizava a transferência e o ataque estava concluído. Google e Microsoft endureceram esses pontos de entrada. O DMARC com p=reject fechou a janela de falsificação. Agora, segundo o Aviso sobre Fraudes e Golpes do Google de junho de 2026, os atacantes encontraram um novo caminho – e ele não passa pelo e-mail.
O Aviso do Google de Junho de 2026
O mais recente aviso de fraude do Google, publicado este mês, documenta um aumento significativo no que seus analistas descrevem como fraude multimodal impulsionada por inteligência artificial. A característica definidora dessa categoria de ataque é a combinação de múltiplos canais de comunicação – e-mail, chamadas de voz e reuniões por vídeo – em camadas sequenciais para construir credibilidade cumulativa antes de solicitar uma ação financeira.
O aviso destaca especificamente campanhas de personificação de autoridades governamentais e executivos que começam com um e-mail, continuam com uma chamada de voz e, às vezes, escalam para uma reunião por vídeo onde todos os rostos na tela são deepfakes gerados em tempo real. Esses ataques não são experimentais. São a forma dominante de comprometimento de e-mail corporativo (BEC) no segundo trimestre de 2026.
A Consequência Direta do Sucesso do DMARC
A mudança para voz e vídeo não é casual. É a consequência direta da aplicação do DMARC ter se tornado significativa.
Quando o canal de falsificação por e-mail estava aberto, os atacantes o utilizavam. Uma mensagem de um domínio semelhante ou um endereço interno falsificado exigia infraestrutura mínima e, se a organização vítima não tivesse um registro DMARC em p=reject, não encontrava nenhuma barreira técnica para chegar à caixa de entrada. O atacante precisava apenas de uma isca convincente.
À medida que Gmail, Microsoft e Yahoo passaram de avisos para rejeição por falhas de DMARC, e que as plataformas de segurança de e-mail corporativo adicionaram camadas de aplicação efetiva, o e-mail falsificado como mecanismo primário de entrega tornou-se não confiável. Os atacantes se adaptaram. Registraram domínios semelhantes para enviar e-mails que tecnicamente passam no DMARC porque vêm de um domínio que o atacante controla. Depois adicionaram a clonagem de voz para estabelecer o segundo contato que faz a solicitação financeira parecer autenticada.
Como a Cadeia de Ataque Funciona
O ataque BEC deepfake moderno se desenvolve em três etapas.
Primeiro, o atacante envia um e-mail de um domínio semelhante. A mensagem, escrita por IA para imitar de perto o estilo de comunicação do executivo alvo, faz referência a contexto interno real obtido de fontes públicas e cria urgência em torno de uma transferência bancária ou atualização de pagamento a fornecedor. Como o domínio é um que o atacante registrou e configurou, ele passa nas verificações de SPF, DKIM e DMARC. A camada de autenticação cobre o domínio remetente, não se esse domínio pertence a quem afirma representar.
Segundo, em poucas horas, o funcionário alvo recebe uma ligação. A voz do chamador soa exatamente como a do diretor financeiro, do CEO ou do responsável por compras – porque foi clonada a partir de gravações de apresentações de resultados, discursos em conferências ou aparições em podcasts disponíveis online. Uma voz pode ser clonada a partir de apenas três segundos de áudio, e ferramentas disponíveis em mercados criminosos podem produzir um clone por menos de $20.
Terceiro, em algumas variantes documentadas pelo Google e pela CybelAngel, os atacantes escalam para uma videochamada. O funcionário entra no que parece ser uma reunião de emergência. Cada rosto é um deepfake em tempo real. O “diretor financeiro” confirma a solicitação de transferência. O “assessor jurídico” explica a urgência. O funcionário aprova um pagamento acreditando ter sido autorizado pela liderança de sua organização.
A Escala Financeira
Os dados do setor de 2026 tornam o impacto concreto. Deepfakes de IA impulsionam agora 40% dos ataques BEC, em comparação com menos de 5% em 2023. A perda média por incidente de um ataque BEC potencializado por IA supera $4,1 milhões – mais do triplo da média de $1,3 milhão do phishing tradicional. A fraude impulsionada por IA aumentou 1.210% em 2025, com perdas projetadas de $40 bilhões globalmente até 2027.
Uma rede criminosa documentada em relatórios de ameaças de 2026 roubou $25 milhões em várias organizações clonando a voz de executivos para autorizar transferências bancárias fraudulentas. Um funcionário financeiro de uma multinacional entrou no que parecia ser uma chamada no Teams com o diretor financeiro e três colegas. Todos os participantes eram deepfakes. O funcionário aprovou uma transferência de $4 milhões.
O Que o DMARC Faz e o Que Ele Não Consegue Fazer
Entender essa cadeia de ataque é importante porque esclarece o que o DMARC protege e onde seu alcance termina.
O DMARC protege o domínio da organização. Se uma mensagem afirma vir de [email protected], o DMARC com p=reject a rejeitará a menos que tenha sido realmente enviada por um servidor de e-mail autorizado para suaempresa.com. Essa proteção é real, importante e impede a forma mais simples de falsificação de domínio em escala.
O que o DMARC não consegue fazer é proteger contra um domínio diferente. Uma mensagem de [email protected] não é uma falha de DMARC – ela passa no DMARC em um domínio que o atacante registrou. Ataques com domínios semelhantes contornam o DMARC por design. O DMARC também não tem autoridade sobre chamadas telefônicas, software de videoconferência ou qualquer canal de comunicação que não envolva o envio de e-mails do domínio protegido.
A implicação não é que o DMARC falhou. A implicação é que os atacantes migraram para canais onde ele não consegue segui-los, e as organizações precisam entender esse limite com clareza.
A Defesa Completa em Camadas
A resposta ao BEC multimodal impulsionado por IA precisa operar em múltiplas camadas simultaneamente.
A camada de e-mail é onde vive o DMARC, e continua sendo essencial. Aplicar p=reject, monitorar relatórios agregados para detectar fontes de envio não autorizadas e implementar BIMI para sinalizar a identidade do remetente verificado na caixa de entrada são passos necessários. Um domínio sem aplicação efetiva do DMARC ainda é um alvo trivialmente explorável para falsificação. Fechar essa porta obriga os atacantes a investir mais nas camadas de domínio semelhante e voz, o que é mais custoso para eles.
Além do e-mail, as organizações precisam de detecção de deepfakes em tempo real na camada de voz e vídeo. A própria implantação do Google de detecção de IA no dispositivo para vozes sintéticas no Android – anunciada como parte de sua resposta ao aumento de fraudes por clonagem – sinaliza que essa capacidade está migrando do laboratório de segurança para o produto de consumo. Equivalentes empresariais já estão disponíveis.
Os protocolos de verificação são importantes independentemente da tecnologia de detecção. Um funcionário financeiro que recebe uma solicitação urgente de transferência por e-mail, confirmada por uma ligação telefônica, deve ter um processo de verificação fora de banda pré-estabelecido: um retorno de chamada para um número conhecido, uma palavra-código pré-acordada, um fluxo de trabalho que exija um segundo aprovador. Esses controles interrompem o BEC deepfake na camada humana independentemente de quão convincente seja a voz ou o vídeo sintético.
O monitoramento de domínios – observando domínios semelhantes recém-registrados que poderiam ser usados na fase inicial de e-mail do ataque – fornece alerta antecipado antes que a cadeia de ataque esteja completa. Serviços de remoção podem interromper a infraestrutura do atacante desde o momento do registro.
O aviso do Google de junho de 2026 nomeia a ameaça; os dados nomeiam o custo. A autenticação de e-mail é a base essencial que força os atacantes para fora do canal mais fácil. Construir sobre essa base com protocolos de verificação e ferramentas de detecção é o que os para nos canais mais difíceis. Proteja seu domínio com DMARC aplicado e identidade de remetente visível – cadastre-se gratuitamente no Excello Mail e proteja a camada de e-mail hoje.