7 min de leitura Por Excello Mail Team

Aviso de Fraude do Google para Junho de 2026: Golpes com IA Cresceram 1.210% e a Autenticação de E-mail Ainda É a Base da Defesa

O aviso oficial de fraude do Google para junho de 2026 documenta crescimento de 1.210% em golpes com IA e perdas globais de US$ 580 bilhões. O e-mail ainda é o principal canal de entrega. Veja o que a aplicação do DMARC protege e o que não cobre nesse cenário.

O Google publicou este mês seu aviso de fraudes e golpes para junho de 2026, baseado em dados do Relatório Global de Crimes Financeiros da NASDAQ e nas equipes internas de inteligência de ameaças da empresa. Os números principais são expressivos: as perdas globais com fraude chegaram a quase US$ 580 bilhões em 2025, aproximadamente um em cada cinco adultos foi vítima de um golpe, e a fraude impulsionada por inteligência artificial cresceu 1.210% em comparação com o período de medição anterior. O aviso não é um alerta abstrato. É um relatório do estado atual da situação vindo da empresa que processa mais e-mails do que qualquer outra organização no planeta.

Para qualquer pessoa responsável pela segurança do e-mail, o aviso tem uma implicação clara: a infraestrutura de fraude que mira seus destinatários nunca foi tão capaz, e os controles básicos que bloqueiam a classe de ataque mais evitável, a falsificação de domínio, ainda não estão universalmente implantados.

O que o aviso do Google documenta

O aviso identifica três padrões de ataque dominantes no cenário de ameaças atual.

O primeiro é a falsificação de identidade em escala. Criminosos se passam por agências governamentais, instituições financeiras, equipes de suporte técnico e fornecedores empresariais. O contato chega por e-mail, mensagem de texto, ligação telefônica ou videochamada. A comunicação é convincente porque a geração por IA tornou a falsificação gramaticalmente correta e contextualmente apropriada barata de produzir em qualquer volume.

O segundo é a fraude baseada em deepfakes. O aviso aponta que os deepfakes agora constituem 11% de toda atividade fraudulenta global. A clonagem de voz permite que atacantes repliquem a voz de um colega ou executivo conhecido com uma curta amostra de áudio. Os deepfakes de vídeo permitem falsificação de identidade em tempo real durante chamadas. A tecnologia passou de ferramenta sofisticada de estados-nação para capacidade disponível comercialmente por meio de kits de fraude.

O terceiro são cadeias de entrega híbridas. Os atacantes combinam o e-mail como vetor de contato inicial com ligações telefônicas, mensagens de texto e sessões de vídeo para construir o tipo de engajamento em múltiplas etapas que supera o ceticismo natural de um destinatário. Kits de phishing adversário-no-meio interceptam sessões de autenticação em tempo real, capturando cookies de sessão junto com credenciais e contornando completamente a autenticação multifator.

Por que o e-mail ainda é o ponto de entrada

Cada um desses padrões de ataque tem uma origem comum: a maioria começa com, ou é apoiada por, um e-mail.

O contato inicial de falsificação de identidade é tipicamente entregue por e-mail porque é o canal de comunicação com a menor barreira para entrega em massa. Não exige que o atacante tenha o número de telefone do destinatário. Não exige uma conta comprometida para parecer legítimo. Na ausência de autenticação de domínio adequada, qualquer pessoa pode enviar um e-mail alegando vir de qualquer domínio.

Esse é o problema que o DMARC foi criado para resolver.

O que a aplicação do DMARC bloqueia

O DMARC, junto com SPF e DKIM, cria um vínculo verificável entre o domínio no cabeçalho From de um e-mail e a infraestrutura que o enviou. Quando um servidor de e-mail receptor verifica uma mensagem de seu-banco.com, ele confirma que o servidor de envio está autorizado pelo registro SPF de seu-banco.com e que a mensagem carrega uma assinatura DKIM da chave de seu-banco.com. O DMARC vincula essas verificações a uma política publicada que instrui o servidor receptor sobre o que fazer quando elas falham: nada (p=none), colocar a mensagem em quarentena (p=quarantine) ou rejeitá-la completamente (p=reject).

Com p=reject, um atacante que tente enviar e-mail alegando ser de seu-banco.com sem acesso à sua infraestrutura de e-mail real terá essa mensagem bloqueada antes de chegar a qualquer caixa de entrada. O e-mail falsificado de seu-banco.com imitando seu departamento de fraudes, a fatura falsa de seu-fornecedor.com solicitando uma transferência bancária, o alerta de phishing de [email protected] direcionando funcionários a redefinir suas senhas: todos esses dependem da capacidade do atacante de usar seu domínio sem autorização. A aplicação do DMARC com p=reject remove essa capacidade.

Essa é a proteção que o crescimento de 1.210% em fraude impulsionada por IA torna mais importante, não menos. A IA permite que atacantes criem e-mails falsificados indistinguíveis de comunicação legítima em tom, formato e contexto. O sinal que permanece detectável é o sinal de autenticação de domínio. Uma mensagem que falha no alinhamento SPF e DKIM é detectável mesmo quando seu conteúdo parece perfeito.

A lacuna que o aviso do Google destaca

O aviso aponta que os atacantes não se limitam à falsificação óbvia. Muitas campanhas de falsificação de identidade agora usam domínios similares, domínios recém-registrados ou infraestrutura legítima que comprometeram ou alugaram. Esses ataques podem passar nas verificações DMARC contra o domínio similar porque o próprio domínio similar está corretamente configurado. O atacante não está falsificando seu-banco.com. Ele está registrando seu-banco-seguranca.com e aplicando SPF, DKIM e uma política DMARC a ele.

Esse é o limite do que a autenticação de domínio pode bloquear. Ela elimina o uso não autorizado do seu domínio. Não impede que atacantes registrem domínios visualmente similares e os autentiquem.

O aviso recomenda que os destinatários verifiquem cuidadosamente os domínios dos remetentes antes de agir em qualquer solicitação envolvendo credenciais, pagamentos ou informações sensíveis. O BIMI, o padrão Brand Indicators for Message Identification, apoia isso exibindo um logotipo de marca verificado na caixa de entrada nos principais clientes de e-mail quando um domínio tem tanto uma política de aplicação DMARC quanto um certificado de marca verificado. Um destinatário que viu seu logotipo exibido consistentemente em sua caixa de entrada notará sua ausência quando um domínio similar tentar se passar por você.

O que os dados de adoção ainda mostram

Apesar do amplo conhecimento sobre esses requisitos, a lacuna de aplicação continua grande. Pesquisas publicadas no primeiro semestre de 2026 mostram consistentemente que mais de 70% dos domínios com registros DMARC permanecem em p=none, a política apenas de monitoramento que coleta dados mas não bloqueia nada. Um domínio em p=none não oferece proteção contra falsificação. Qualquer atacante pode enviar a partir dele livremente.

O Relatório de Adoção DMARC 2026 da EasyDMARC encontrou que 52,1% dos 1,8 milhão de domínios principais têm um registro DMARC, um avanço significativo em relação a anos anteriores. Mas a maioria desses registros ainda está na etapa de monitoramento. A lacuna entre ter um registro DMARC e ter a aplicação do DMARC é a lacuna entre saber que você tem um problema e realmente fechar a porta.

No ambiente que o aviso do Google descreve, fechar essa porta não é opcional.

Três coisas para verificar esta semana

Se sua organização envia e-mail, essas são as três verificações mais importantes a concluir antes do final da semana.

Verifique o nível da política DMARC. Uma consulta DNS para _dmarc.seudominio.com mostrará sua política atual. Se retornar p=none ou nenhum registro, seu domínio pode ser falsificado por qualquer pessoa com um servidor de e-mail. Mover para p=quarantine é um passo intermediário conservador que preserva a entregabilidade enquanto filtra mensagens falsificadas para pastas de spam. Mover para p=reject é o estado de aplicação que as bloqueia completamente.

Revise seus relatórios de agregação DMARC dos últimos 30 dias. Os relatórios de agregação mostram cada endereço IP e serviço de e-mail que enviou e-mail alegando vir do seu domínio, junto com suas taxas de aprovação SPF e DKIM. Qualquer fonte que você não reconheça é um serviço esquecido que você autorizou ou um terceiro externo falsificando seu domínio. Ambos precisam de investigação.

Confirme que todas as fontes de envio autorizadas estão cobertas. Plataformas de marketing, serviços de e-mail transacional, sistemas de CRM, plataformas de suporte e qualquer outro serviço de terceiros que envia em seu nome devem estar cobertos pelo seu registro SPF e assinando com DKIM usando seu domínio. Fontes que não estão cobertas falharão na autenticação quando você aplicar a política. Encontrá-las antes de aplicar é o trabalho que torna a aplicação segura de concluir.


O Excello Mail oferece uma visão em tempo real dos seus relatórios de agregação DMARC, o inventário das suas fontes de envio e sua política de autenticação em todos os domínios que você gerencia. Com o crescimento contínuo da fraude impulsionada por IA, saber exatamente quem está enviando e-mail do seu domínio não é um luxo. Cadastre-se gratuitamente no Excello Mail e feche a porta pela qual o aviso do Google diz que os atacantes ainda estão passando.