Práticas de fraudes por e-mail estão, cada vez mais, presentes no cotidiano de marcas e usuários, impactando a entregabilidade de mensagens em caixas de entrada e a confiança por parte de provedores de e-mail ou de usuários. Devido a sua vulnerabilidade, o e-mail marketing continua a ser um dos serviços de internet mais propenso aos ciberataques.
Os ataques online mais comuns são o phishing – engenharia social, utilizada em mensagens que aparentam ser legítimas, cujo objetivo é enganar destinatários e induzi-los a fornecer informações pessoais e confidenciais – e o spoofing – alteração do nome de remetentes em mensagens de e-mail, de modo que pareçam vir de outros endereços.
Datas comemorativas, como Dia dos Pais, Black Friday e Natal, são períodos em que os índices de práticas de fraudes online crescem consideravelmente. Mensagens fraudulentas com falsos vale-presentes e cupons promocionais são enviadas em massa com o intuito de roubar informações sigilosas ou infectar computadores e dispositivos com programas maliciosos (malwares).
Os ataques de phishing têm origens diversas e se manifestam através de mensagens que contêm links maliciosos e campanhas de marketing falsas, mas muito semelhantes com as legítimas, o que faz com que seja difícil sua detecção. Quando usuários desprevenidos clicam em links fraudulentos, realizam o download de arquivos maliciosos, fazendo com que suas máquinas sejam infectadas e suas informações pessoais e sigilosas fiquem vulneráveis.
Um estudo da Return Path, empresa especializada na prevenção contra fraudes de e-mail, revelou que cinco entre seis grandes marcas são alvo de ataques de phishing e 50% dos usuários que recebem mensagens fraudulentas clicam em links maliciosos. Isso se deve, também, ao fato de que as mensagens cibercriminosas estão cada vez mais sofisticadas, resultando em uma crescente de casos reportados a instituições locais de 162.79%, comparando 2010 a 2014 [Fonte: EMC]
Por que spoofing e phishing acontecem?
Cibercriminosos utilizam as fraudes por e-mail como principal técnica de ataque – engenharia social – para roubar informações confidenciais ou espalhar programas maliciosos através da Internet, falsificando campanhas de e-mail de marcas com grande visibilidade entre usuários. Exemplo dessas práticas são alertas de segurança falsos que solicitam atualização de dados bancários, verificação de notificações com instituições do governo, entre outros.
Qual o impacto?
As consequências da violação de dados variam de acordo com o tipo de indústria. O custo médio global de violação de dados por informações perdidas ou roubadas é de US$ 154 por usuário impactado. No entanto, organizações da área de saúde podem ter esse valor elevado para US$ 363, enquanto as de educação podem ter prejuízo de até US$ 300. O custo médio da indústria varejista, por sua vez, aumentou significativamente desde o ano passado, de US$ 105 para US$ 165 [Fonte: Ponemon Institute].
Como empresas podem alertar seus usuários?
Criminosos virtuais estão diariamente procurando vítimas com menor conhecimento técnico para realizarem seus ataques, por isso, a educação dos usuários na prevenção contra fraudes por e-mail é muito importante: deixe claro qual o perfil de suas comunicações, o design, os assuntos de suas campanhas de e-mail e quais endereços de e-mail serão utilizados para se comunicar.
Veja algumas práticas de segurança e autenticação para evitar que cibercriminosos enviem e-mails fraudulentos usando seu domínio legítimo:(http://returnpath.com/pt-br/blog/protegendo-dados-contra-ataques-maliciosos-de-phishing/)
Por Pablo Dewes, Senior Technical Consultant de Email Fraud Protection, na Return Path Brasil