O e-mail é uma das principais inovações tecnológicas que revolucionou como se entende o mundo atual, além de reconfigurar o modelo de negócios. Desde a sua invenção em 1965, a evolução desse meio de comunicação foi inovadora e, de acordo com dados da Statista, já havia mais de 4,260 bilhões de usuários que usavam e-mail em 2022, e o número de e-mails enviados nessa mesma data foi de 330 bilhões, com uma previsão de crescimento de 17,8% até 2026. No entanto, o alto uso dessa tecnologia também a tornou uma das mais vulneráveis: segundo a Techopedia, mais de 3,4 bilhões de e-mails de phishing ocorrem diariamente, sendo esses ataques responsáveis por 90% das violações de dados.
Por ocasião do Dia do E-mail (23 de abril), a Check Point Software analisa a evolução do e-mail, como se desenvolveu para se tornar uma das principais ferramentas de comunicação e, por sua vez, um ponto central de ataque dos cibercriminosos. Segundo os pesquisadores da Check Point, atualmente mais de 90% dos ataques a empresas no mundo têm origem em e-mails maliciosos. Nos últimos 30 dias (março 2024), 62% dos arquivos maliciosos foram distribuídos por e-mail e foi demonstrado que um em cada 379 e-mails contém esse tipo de arquivo, sendo o formato PDF o mais comum, com uma porcentagem de frequência de 59%.
Os especialistas da Check Point Software também revelam como o phishing é predominante em diferentes regiões: na América Latina, uma organização está sendo alvo, em média, 1.767 vezes por semana e 72% dos arquivos maliciosos chegam pela Web. Enquanto isso, uma organização no Brasil está sendo atacada em média 1.817 vezes por semana nos últimos seis meses (outubro 2023 a março 2024), em comparação com 1.168 ataques por organização globalmente. Nos últimos 30 dias, o Brasil registrou o PDF como o tipo de arquivo mais malicioso anexado via e-mail (64%) e também via web (38%).
A evolução desde o primeiro e-mail
O e-mail foi inventado em 1965 por um grupo de pesquisadores do Massachusetts Institute of Technology (MIT). Foi o primeiro sistema de mensagens eletrônicas para uso interno, embora naquela época fosse muito diferente do que se conhece hoje. Em 1971, Ray Tomlinson inventou o sistema de e-mail com uma infraestrutura semelhante à atual: era uma caixa de correio digital pessoal por meio da qual era possível receber mensagens.
O e-mail começou a ser usado como um método para conduzir negócios a partir de 1978, quando a primeira campanha de marketing por e-mail foi lançada por Gary Thuerk. No entanto, o e-mail ficou restrito ao uso comercial até o final da década de 1980. O Microsoft Mail foi o primeiro programa lançado para os usuários, que também incorporou a opção de adicionar anexos em 1992. A partir desse momento, outras opções de caixas de correio eletrônico começaram a surgir: Microsoft Outlook em 1993, Hotmail em 1996, Yahoo Mail e Gmail.
Entretanto, o e-mail tem sido uma das fórmulas mais frequentes para a distribuição de malware, com ataques tão significativos como o Creeper ou o Happy99, causando desastres corporativos como o WannaCry (3,8 bilhões de Euros) ou o MyDoom (34 bilhões de Euros).
Os ataques de phishing são uma das fórmulas mais comumente usadas para distribuir malware e ransomware. Esse tipo de ameaça cibernética começou em 1996, quando o termo foi usado pela primeira vez pela America Online (AOL). Os cibercriminosos criavam números de cartão de crédito aleatórios e abriam novas contas na AOL, fazendo-se passar por funcionários do próprio serviço para roubar as credenciais dos usuários. Mais tarde, nos anos 2000, surgiu o conceito de “Spray and Pray”, uma campanha de phishing em que uma marca conhecida se fazia passar por clientes em potencial para roubar suas credenciais.
Essa ameaça cibernética evoluiu com o tempo, empregando técnicas sofisticadas, como falsificação de identidade e colocando a Inteligência Artificial e a tecnologia DeepFake a seu serviço. Spoofing é uma técnica em que o uso de IA é fundamental: o atacante falsifica o endereço de e-mail para se passar por outra pessoa ou organização com o objetivo principal de enganar o destinatário, fazendo-o acreditar que o e-mail vem de uma fonte legítima.
Os ataques de ransomware geralmente usam esse tipo de método para criptografar os arquivos da vítima ou bloquear todo o sistema até que o resgate seja pago. De acordo com a Check Point Software, 10% das empresas em todo o mundo sofreram ataques de ransomware, o que representa um aumento de 33% em comparação com o ano anterior.
O alcance dos ataques de phishing é ilimitado e afeta principalmente as grandes empresas: de acordo com os pesquisadores da Check Point Research (Brand Phishing Report Q1 2024) sobre ataques de phishing, a Microsoft foi a marca mais visada (38% dos ataques de phishing em todo o mundo), seguida pelo Google e pelo LinkedIn no primeiro trimestre deste ano.
Esse tipo de ameaça pode levar a vazamentos de dados em larga escala, como aconteceu recentemente com o conhecido caso “Mother of all Breaches” em janeiro de 2024, um vazamento supermassivo de mais de 26 bilhões de registros que contêm no LinkedIn, Twitter, Tencent e outras plataformas.
Os pesquisadores da Check Point Software ressaltam que o e-mail é atualmente uma das ferramentas mais eficazes para as organizações, embora as vantagens que ele oferece sejam inúmeras. No entanto, eles recomendam que é necessário estar sempre alerta contra tentativas de ataques cibernéticos que utilizam e-mails, desde ataques de ransomware até esquemas de phishing e golpes.
Eles também apontam que a integração das tecnologias de IA a essas ameaças só aumentou a urgência de defesas robustas na organização e em casa. Todos devem priorizar a implementação de soluções robustas de segurança de e-mail, a educação abrangente dos usuários e a manutenção de uma cultura de vigilância para nos mantermos à frente dessas ameaças. Este é um requisito indispensável para que qualquer organização mantenha a segurança e a integridade de suas operações.
Segurança de e-mail
A implementação das melhores práticas de segurança de e-mail é um fator essencial para proteger os dados dos usuários e a reputação e integridade das empresas. Para isso, é essencial seguir uma série de diretrizes baseadas em conscientização, prevenção e proteção: Conscientização e treinamento de usuários; uso de senhas fortes; emprego de MFA; aplicação de patches; filtragem de spam; uso de criptografia; e implementação da prevenção contra perda de dados (DLP).