Falhas no roteamento de e-mail são exploradas por cibercriminosos para simular mensagens internas
Ataques sofisticados de phishing burlam filtros de segurança e aumentam riscos para empresas
Cibercriminosos estão se aproveitando de falhas no roteamento de e-mail corporativo para enviar mensagens que aparentam ter sido geradas dentro das próprias organizações. A técnica aumenta significativamente a eficácia de golpes de phishing, já que os e-mails chegam aos destinatários com aparência legítima, dificultando a identificação de fraude por usuários e sistemas automatizados.
De acordo com especialistas em segurança digital, o problema está associado a configurações inadequadas de mecanismos de autenticação, como SPF, DKIM e DMARC. Quando esses protocolos não estão corretamente ajustados, mensagens externas podem ser entregues como se fossem internas, contornando verificações básicas e reduzindo a eficiência de filtros antiphishing.
A estratégia tem sido usada para disseminar comunicações falsas com temas rotineiros do ambiente corporativo, como avisos de documentos compartilhados, solicitações do setor de recursos humanos ou alertas de redefinição de senha. O tom familiar e o remetente aparentemente confiável elevam as chances de cliques em links maliciosos ou do fornecimento de credenciais.
Especialistas alertam que esse tipo de ataque pode evoluir para incidentes mais graves, como comprometimento de contas corporativas, roubo de dados e fraudes financeiras. A simulação de mensagens internas é considerada especialmente perigosa porque dribla uma das principais barreiras de segurança: a identificação de remetentes externos.
Empresas com infraestruturas de e-mail mais complexas, que utilizam encaminhamento entre diferentes servidores ou serviços de terceiros, estão entre as mais expostas ao risco. Nessas situações, a ausência de políticas rigorosas de autenticação amplia a superfície de ataque.
Para reduzir a vulnerabilidade, especialistas recomendam auditorias periódicas nas configurações de e-mail, adoção de políticas restritivas de autenticação e rejeição de mensagens não autorizadas, além de treinamento contínuo dos funcionários para reconhecer sinais de phishing, mesmo quando a mensagem aparenta ser interna.
