O Relatório do Panorama de Ataques 2026 da Abnormal AI, publicado em abril, analisou quase 800.000 ataques por e-mail em mais de 4.600 organizações durante o segundo semestre de 2025. Uma descoberta em particular merece atenção: 61% de todos os incidentes de comprometimento de e-mail empresarial (BEC) nesse conjunto de dados estavam relacionados a fornecedores. A maioria do BEC não é mais sobre se passar por um CEO. É sobre se passar por um fornecedor.
Essa mudança tem consequências diretas sobre como as organizações pensam na autenticação de e-mail – e sobre o que o DMARC pode e não pode fazer.
O Que É Realmente o Comprometimento de E-mail de Fornecedor
O comprometimento de e-mail empresarial (BEC) é tipicamente entendido como um atacante que se passa por um executivo sênior para redirecionar fundos ou extrair informações sensíveis. Esse enquadramento era preciso para os ataques que dominaram o BEC uma década atrás. Não é mais o padrão predominante.
O Vendor Email Compromise (VEC), ou comprometimento de e-mail de fornecedor, tem como alvo os relacionamentos com fornecedores e parceiros dos quais as organizações dependem para processar pagamentos, emitir faturas e gerenciar contas. Existem duas variantes principais.
Na primeira, um atacante compromete uma conta de e-mail legítima em um fornecedor – por meio de phishing de credenciais, reutilização de senhas ou tomada de controle de conta – e usa essa conta para enviar instruções de pagamento fraudulentas aos clientes do fornecedor. O e-mail chega do domínio real do fornecedor, usando a infraestrutura real de e-mail do fornecedor. Ele passa em todas as verificações de autenticação porque é, tecnicamente, um e-mail legítimo. O DMARC não pode detê-lo.
Na segunda variante, o atacante não compromete diretamente a conta do fornecedor. Em vez disso, registra um domínio muito parecido – próximo o suficiente para enganar um leitor que está lendo rapidamente – e falsifica ou imita a correspondência do fornecedor. Essa variante pode ser tratada por meio de autenticação se o fornecedor aplicar DMARC no domínio falsificado, ou se as ferramentas de segurança da organização receptora sinalizarem domínios semelhantes.
O relatório da Abnormal AI descobriu que a primeira variante – o comprometimento real de conta que leva ao VEC – agora representa a maioria dos ataques VEC. Os atacantes aprenderam que comprometer uma conta de fornecedor oferece melhores retornos do que registrar um domínio semelhante, em parte porque e-mails autenticados de um remetente confiável contornam a maioria dos sistemas de detecção.
A Armadilha da Atualização de Conta de Cobrança
O isca de VEC mais consistentemente eficaz, segundo os dados da Abnormal AI, é a solicitação de atualização de conta de cobrança. São e-mails que parecem vir de um fornecedor ao qual você já está pagando, notificando uma mudança nos dados bancários, números de roteamento ou destino de pagamento.
O relatório da Abnormal AI encontrou uma taxa de comprometimento de 26,5% nas solicitações de atualização de conta de cobrança. Esse número representa a proporção de destinatários que tomam a ação solicitada – neste caso, atualizar os dados de pagamento para uma conta fraudulenta – antes que a fraude seja detectada. Para comparar, a taxa média de cliques do setor de phishing em todos os tipos de ataques fica abaixo de 5%.
A razão pela qual a taxa de comprometimento é tão alta é a mesma razão pela qual o VEC é difícil de detectar: o e-mail se encaixa em um fluxo de trabalho legítimo. As equipes financeiras recebem notificações genuínas de atualização de conta de fornecedores. O e-mail pode referenciar números reais de faturas, nomes de contato reais e relacionamentos de conta reais. O único elemento fraudulento é o novo destino de pagamento. Quando o pagamento mal direcionado é descoberto, ele geralmente já foi sacado.
O Que o DMARC Aborda e o Que Não Aborda
O DMARC – Autenticação, Relatório e Conformidade de Mensagens Baseados em Domínio – autentica que um e-mail que afirma vir de um domínio foi realmente enviado pela infraestrutura autorizada a enviar em nome desse domínio. Um registro DMARC com p=reject instrui os servidores de recebimento de e-mail a bloquear mensagens que não passem nessa verificação.
Essa aplicação é altamente eficaz para impedir uma classe importante de BEC: a falsificação de domínio. Se o seu domínio aparece em um e-mail de phishing direcionado a outra pessoa, sua política p=reject significa que esse e-mail será rejeitado pelo servidor de e-mail do destinatário – desde que esse servidor aplique DMARC, e a maioria dos principais provedores agora o faz.
O que o DMARC não pode abordar é um fornecedor cuja conta de e-mail legítima foi comprometida. Se um atacante está enviando de dentro da infraestrutura do fornecedor usando uma conta real, o e-mail passa nas verificações de SPF, DKIM e DMARC no domínio do fornecedor. A autenticação responde à pergunta de se a infraestrutura de envio está autorizada para o domínio remetente. Ela não responde se o humano que enviou o e-mail é quem ele afirma ser.
Isso significa que o DMARC no seu próprio domínio protege sua identidade de ser falsificada. Ele não te protege de ser enganado por uma conta de fornecedor comprometida. Os dois problemas requerem soluções diferentes.
O Que o DMARC Ainda Fornece
Nada disso torna a aplicação do DMARC menos importante. Muda onde o DMARC se encaixa no modelo de defesa.
A aplicação do DMARC com p=reject no seu próprio domínio elimina a possibilidade de que seu domínio seja usado para enviar ataques de phishing ou BEC contra outros – incluindo seus fornecedores, seus clientes e seus funcionários. Se um atacante tentar falsificar seu domínio para se passar por você em um ataque VEC direcionado ao seu fornecedor, sua política p=reject garante que esses e-mails sejam rejeitados.
Os relatórios agregados do DMARC (rua=) fornecem visibilidade contínua de todas as fontes que enviam e-mails afirmando ser do seu domínio. Isso inclui fontes autorizadas – seu ESP, seu CRM, seu sistema de e-mail transacional – e fontes não autorizadas. Se alguém está usando seu domínio em um ataque, os relatórios agregados vão detectar isso, normalmente em 24 horas.
O DMARC também dificulta a escalada de ataques de phishing de credenciais contra seus funcionários. Os atacantes que implantam phishing para obter acesso inicial a contas de fornecedores frequentemente usam domínios falsificados dos próprios fornecedores do alvo. Se esses domínios de fornecedores aplicarem o DMARC, os e-mails de phishing falsificados são rejeitados. Uma melhor autenticação em toda a cadeia de fornecimento reduz o conjunto de contas comprometidas disponíveis para VEC.
O Modelo de Defesa que o VEC Exige
Parar o comprometimento de e-mail de fornecedor requer uma abordagem em camadas que vai além da autenticação.
A autenticação é a base. Aplique o DMARC com p=reject no seu próprio domínio. Verifique se seus fornecedores críticos fizeram o mesmo. A aplicação do DMARC em toda a cadeia de fornecimento reduz a variante de domínio semelhante do VEC e restringe o conjunto de contas que podem ser alvo de phishing para acesso inicial.
A verificação de processos é o controle. Nenhuma instrução de pagamento chegando por e-mail deve alterar os dados da conta bancária sem verificação independente por meio de um segundo canal – uma ligação telefônica para um número que você tem registrado, não o fornecido no e-mail. As equipes de operações financeiras precisam de políticas claras exigindo confirmação fora de banda para qualquer mudança de destino de pagamento.
A detecção comportamental identifica anomalias. O relatório da Abnormal AI argumenta que a detecção de VEC requer cada vez mais IA comportamental: sistemas que modelam os padrões normais de comunicação de fornecedores e sinalizam desvios. Um e-mail de um fornecedor com o qual você trabalhou por três anos que de repente instrui você a atualizar o roteamento de pagamentos para uma conta em uma nova jurisdição é anômalo. Filtros baseados em conteúdo treinados em indicadores maliciosos não o detectam. Sistemas comportamentais ajustados a padrões de comunicação conseguem.
Os relatórios agregados ampliam sua visibilidade. Se você recebe relatórios agregados do DMARC e os analisa regularmente, saberá quando o tráfego que afirma se originar do seu domínio está falhando na autenticação – o que pode indicar que um atacante está mirando seus fornecedores falsificando seu domínio. Essa visibilidade pode ajudá-lo a alertar os fornecedores sobre e-mails fraudulentos antes que sejam vitimados.
A Cadeia de Fornecimento É a Superfície de Ataque
A descoberta central do relatório da Abnormal AI não é que uma tática específica se tornou mais comum. É que a superfície de ataque mudou. Durante a maior parte da história do BEC, o alvo da falsificação era a própria organização da vítima – o CFO, o CEO, o helpdesk de TI. Os atacantes agora aprenderam que a cadeia de fornecimento fornece uma superfície de ataque mais escalável, porque os relacionamentos com fornecedores são de confiança, os fluxos de pagamento são rotineiros e as notificações de atualização de conta de fornecedor são esperadas.
Essa mudança não diminui a importância de proteger seu próprio domínio. Ela adiciona um argumento para tratar os domínios de seus fornecedores críticos também como parte de sua postura de segurança.
O Excello Mail oferece visibilidade completa do seu status de autenticação, análise de relatórios agregados e orientação para alcançar a aplicação de p=reject – para que quando os atacantes de VEC tentarem falsificar seu domínio para alcançar seus fornecedores ou clientes, a infraestrutura já esteja em vigor para detê-los. Cadastre-se gratuitamente no Excello Mail e proteja a sua ponta da cadeia de fornecimento.