A Proofpoint, Inc, em colaboração com o seu parceiro Exclusive Networks, divulgaram um estudo que confirma que 61% das maiores empresas portuguesas integrantes do PSI20, estão a deixar os clientes em risco de fraude via correio eletrónico, por não terem implementado o protocolo recomendado de autenticação Domain-based Message Authentication Reporting and Conformance (DMARC).
O DMARC é um protocolo de autenticação de correio electrónico adoptado globalmente, que actua como um controlo de passaporte do mundo da segurança de correio electrónico. Verifica que o suposto domínio do remetente não foi imitado. A verificação DMARC baseia-se nas normas estabelecidas DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework) para assegurar que o correio electrónico ilegal não é falsificado no domínio.
A falta de implementação do DMARC torna as empresas muito mais susceptíveis à falsificação da identidade dos cibercriminosos e aumenta o risco de fraude por correio electrónico dirigida aos seus clientes e fornecedores.
Para avaliar o nível de adoção do DMARC em Portugal, a Proofpoint e a Exclusive Networks realizaram uma análise dos domínios empresariais primários das empresas do PSI20, bem como de todos os organismos governamentais. A análise foi levada a cabo em Março de 2021.
Apenas 39% das organizações portuguesas do PSI20 (sete em 18) publicaram registos DMARC para começar a proteger os seus empregados, clientes e parceiros contra fraudes por correio electrónico. Isto significa que 61% estão expostos a cibercriminosos que se fazem passar pelos seus domínios para lançar ataques de phishing, diz o estudo.
Das sete empresas que têm um registo DMARC em vigor, apenas uma está proactivamente a bloquear e-mails fraudulentos e, portanto, em total conformidade com o DMARC, tendo implementado o nível mais rigoroso e recomendado de protecção DMARC. Estas taxas de adopção estão atrás dos níveis actuais testemunhados em toda a Forbes Global 2000, onde 54% das organizações têm um registo DMARC e 16% bloqueiam proactivamente as mensagens de correio electrónico fraudulentas utilizando o seu domínio legítimo.
A adopção foi pior em todo o sector público: todos os 15 ministérios do governo português são abrangidos pelo domínio “portugal.gov.pt”, que não tem registo DMARC, o que significa que “nenhum dos ministérios portugueses está actualmente a proteger os seus domínios de serem imitados por cibercriminosos”.
