O Centro de Reclamações de Crimes na Internet (IC3) do FBI publicou em abril seu Relatório de Crimes na Internet de 2025, marcando 25 anos de acompanhamento de crimes cibernéticos denunciados nos Estados Unidos. O número principal já é impressionante por si só: 1.008.597 denúncias e 20,877 bilhões de dólares em perdas reportadas, um aumento de 26% em relação a 2024 e o primeiro ano em que o número de denúncias ultrapassa um milhão. Mas o dado que mais deveria importar para quem é responsável pela segurança de e-mail de um domínio está algumas páginas adiante, na categoria de phishing e falsificação.
As denúncias de phishing e falsificação passaram de aproximadamente 193.000 em 2024 para 191.561 em 2025. Isso é uma queda. Enquanto isso, as perdas reportadas por essas mesmas denúncias subiram de 70 milhões para 215,8 milhões de dólares, um aumento de 208% em um único ano e um crescimento de onze vezes em relação a dois anos atrás. O número de ataques não cresceu. O dano causado por cada ataque, sim.
Três Categorias, Um Único Vetor Subjacente, Mais de 4 Bilhões de Dólares
O IC3 divide a fraude financeira por e-mail em várias categorias de denúncia, e três delas compartilham o mesmo mecanismo subjacente: convencer alguém de que uma mensagem é legítima quando não é.
O Comprometimento de E-mail Corporativo (BEC) registrou 24.768 denúncias e 3,046 bilhões de dólares em perdas, tornando-se a segunda categoria de crime mais cara de todo o relatório, atrás apenas da fraude de investimento. O BEC já custou às vítimas denunciantes cerca de 8,5 bilhões de dólares somente nos últimos três anos.
O phishing e a falsificação, como mencionado, geraram 215,8 milhões de dólares em perdas com um volume de denúncias praticamente estável.
A falsificação de autoridades governamentais, uma categoria que o IC3 acompanha separadamente do phishing, viu as denúncias quase dobrarem, de 17.367 para 32.424, enquanto as perdas subiram de 405,6 milhões para 797,9 milhões de dólares.
Somando as três, a exploração de confiança por e-mail representou mais de 4 bilhões de dólares em perdas reportadas em 2025, um aumento de 46% em relação ao ano anterior. Pela primeira vez na história do relatório, o IC3 também separou a inteligência artificial como categoria própria: 22.364 denúncias e quase 893 milhões de dólares em perdas, com ferramentas generativas cada vez mais usadas para redigir as mensagens e clonar as vozes que tornam as três categorias acima mais convincentes.
Por Que as Perdas Superaram o Volume
Um número de denúncias estável combinado com uma triplicação das perdas conta uma história específica: os atacantes não estão ampliando a rede, estão ficando melhores em converter as tentativas que já fazem. Essa mudança está alinhada com o que as equipes de inteligência de ameaças vêm relatando ao longo do ano. O comprometimento de e-mail corporativo cada vez mais começa com uma conta de fornecedor comprometida em vez de um domínio falsificado. Campanhas de falsificação de governo tomam emprestada a credibilidade de nomes reais de agências e, em alguns casos documentados, infraestrutura .gov real e comprometida. Texto gerado por IA e clonagem de voz eliminam os erros gramaticais que antes facilitavam identificar phishing.
Nada disso torna a autenticação de domínio obsoleta. Torna-a necessária, mas não mais suficiente sozinha, o que é um problema diferente daquele que a maioria das implementações de DMARC foi criada para resolver.
Onde a Aplicação do DMARC Ainda Traça a Linha
O DMARC com política p=reject fecha exatamente uma das portas que esses números descrevem: uma mensagem que afirma vir do seu domínio, mas que na verdade não se originou na sua infraestrutura autorizada. Para a falsificação direta de domínio, essa é uma solução completa, e é por isso que cada valor em dólares do relatório do IC3 inclui uma fração de vítimas que não teriam sido alcançadas se a organização falsificada aplicasse o DMARC.
Ele não fecha as outras portas. Uma conta de fornecedor genuinamente comprometida passa por SPF, DKIM e DMARC porque o domínio de envio se autentica corretamente; a fraude está na conta, não no registro DNS. Um e-mail de falsificação de governo enviado a partir de um domínio semelhante que ninguém aplicou é um problema diferente, ainda que relacionado. Uma mensagem de BEC escrita por IA e enviada de uma caixa de entrada real e sequestrada vai passar por todos os controles de autenticação já criados, porque não há nada contra o que autenticar.
É por isso que vale a pena ler os números do IC3 como um sistema, não como três itens isolados. Aplique o DMARC para eliminar a falsificação direta. Monitore continuamente seus relatórios agregados e forenses de DMARC para detectar anomalias nos seus remetentes autorizados antes que se tornem incidentes de seis dígitos. E trate o comprometimento de contas, não apenas a falsificação de domínio, como o modelo de ameaça que a autenticação de e-mail sozinha não consegue fechar por completo.
A Conclusão para Quem Possui um Domínio
Um registro que permanece em p=none não contribui em nada para a versão deste relatório no próximo ano. Se o seu domínio nunca aplicou uma política, ou se você não revisa seus relatórios agregados há meses, você é uma das organizações cuja exposição esses dados estão medindo. O volume de ataques não precisou crescer para que as perdas crescessem. Bastaram domínios desprotegidos suficientes e contas já comprometidas suficientes em circulação, e ambas as condições já estão presentes.
As perdas reportadas por phishing, BEC e fraude de falsificação só aumentam quando ninguém observa os dados de autenticação. Cadastre-se gratuitamente na Excello Mail e tenha visibilidade contínua sobre quem envia e-mails em nome do seu domínio, antes que isso vire a estatística do IC3 do próximo ano.