Estudo revela vulnerabilidade a fraudes de e-commerces e bancos brasileiros

Nenhum dos 96 bancos e 255 e-commerces brasileiros avaliados possuem proteção completa contra emails fraudulentos, ou seja, a solução capaz de bloquear a mensagem antes mesmo que ela chegue à caixa de entrada do internauta. Os dados fazem parte de recente estudo da Return Path, empresa especializada em Email Intelilligence, que analisou o domínio dessas empresas. “Acredito que a baixa adoção à políticas de proteção de emails por parte das empresas e instituições brasileiras está relacionada à falta de conhecimento de ferramentas eficientes no combate às fraudes”, ressalta Louis Bucciarelli, diretor regional da Return Path para a América Latina.

Na contramão dessa vulnerabilidade, o mecanismo de autenticação DMARC se propõe a emitir instruções claras de bloqueio aos ISPs (provedores de serviços da internet). Sua ação completa consiste em detectar com rapidez quando a identidade de envio de uma marca sofre spoofing. A partir da detecção, o email falso pode ser bloqueado, para que não chegue ao usuário final. Em função das diversas parcerias da Return Path, há uma troca de dados com empresas de antivirus e navegadores de internet, para ampliar a proteção aos usuários, impedindo o acesso ao site fraudulento, além da parceria com empresas de take down, que recebem a informação sobre o site fraudulento em tempo real e podem desativar a página mais rapidamente.. “As soluções tradicionais são inadequadas porque podem levar de sete a vinte e oito horas para desativar o site após detectar a fraude, além de serem reativas, pois muitas empresas descobrem o ataque de phishing somente após serem avisadas por clientes. Nossa experiência mostra que são nas primeiras horas após o envio do email de phishing que o fraudador tem maior sucesso na sua ação, e isso explica a necessidade do bloqueio da fraude ou da desativação do site o mais rápido possível”, diz o executivo.

O diretor da Return Path considera que a evolução do cibercrime é um alerta para a necessidade de empresas, instituições e órgãos monitorarem o uso de seus domínios de emails de uma maneira mais eficiente, garantindo, de forma proativa, a proteção de seus clientes e, como consequência, da reputação da própria marca. “O email marketing é a ferramenta de comunicação de melhor custo-benefício no acesso ao consumidor final e é justamente essa eficácia que atrai o cibercrime. A tendência é que, cada vez mais, o fraudador tenha como objetivo produzir emails de phishing e spoofing relacionados a marcas conhecidas”, diz.

Os estudos da Return Path apontam ainda que os fraudadores exploram duas vulnerabilidades na rede: a social, com a falta de atenção dos internautas ao receberem emails; e a técnica, com a sofisticação na formatação das mensagens fraudulentas, que cresce em larga escala. A prática do spoofing, por exemplo, corresponde a 30% dos ataques de fraude aos maiores ISPs globais.

O DMARC garante a cobertura a mais de 85% das caixas de entrada de consumidores no Brasil. A autenticação pode ser adotada por qualquer marca e o guia de como configurá-lo está disponível para download gratuito no site da Return Path (landingbr.returnpath.com/ebook-como-configurar-dmarc). “A política do DMARC define de onde vem o e-mail, quais assinaturas eletrônicas estão configuradas, quem deve ser notificado quando o e-mail não corresponde e se a tal mensagem deve ser descartada ou entregue. Na falta dessa política, cada provedor define de forma particular o que fazer com as mensagens”, explica Bucciarelli.

O estudo completo pode ser acessado por meio do link: http://br.returnpath.com/files/resource/auto-draft/Phishing_BR_alternative_web_03.pdf