Falta de DMARC em portais de viagens brasileiros amplia risco de fraudes por e-mail

Mais da metade dos principais sites de viagens que operam no Brasil ainda não adota o DMARC em seu nível de proteção máxima. O dado vem de um levantamento da empresa de cibersegurança Proofpoint, que examinou os 40 maiores portais do segmento e constatou que 53% deles deixam de configurar o recurso de forma a bloquear totalmente tentativas de falsificação de domínio. Outros 15% sequer contam com qualquer versão do protocolo. O cenário coloca milhões de turistas em posição vulnerável às mensagens fraudulentas que circulam sobretudo em períodos de alta procura por passagens, hospedagem e pacotes.

Quem é afetado

O risco alcança um grupo numeroso de consumidores. De acordo com as estatísticas citadas pela pesquisa, quase seis em cada dez brasileiros planejam viajar no verão de 2024-2025. Esse contingente já movimentou mais de R$ 147 bilhões na economia nacional, com 97% dos viajantes preferindo destinos dentro do país e gasto médio aproximado de R$ 2.500 por viagem. Trata-se, portanto, de um público financeiramente relevante, com grande volume de transações on-line e forte exposição a comunicações eletrônicas de companhias aéreas, hotéis, agências e comparadores de preços.

O que a pesquisa apontou

Entre os 40 maiores portais avaliados, apenas 47% configuraram o DMARC no modo “rejeitar”, etapa considerada a mais rigorosa do protocolo. Nessa configuração, e-mails que não passam pela verificação são integralmente bloqueados, impedindo que cheguem à caixa de entrada dos usuários. Para 53% dos sites, o ajuste permanece em níveis mais brandos, que monitoram ou enviam as mensagens suspeitas para quarentena, mas não executam o bloqueio completo. Além disso, 15% não possuem proteção alguma baseada em DMARC, o que significa que qualquer pessoa mal-intencionada pode enviar e-mails em nome desses domínios sem sofrer barreiras técnicas.

Entenda o DMARC

O DMARC, sigla para Domain-based Message Authentication, Reporting and Conformance, funciona como um sistema de validação de identidade do remetente. Quando devidamente configurado, ele examina se o e-mail foi realmente enviado por quem afirma ser o emissor. O protocolo opera em três níveis graduais:

Monitor – o domínio apenas observa o tráfego e coleta relatórios sobre tentativas de falsificação, mas nada impede o fluxo das mensagens.

Quarentena – as mensagens suspeitas são encaminhadas a pastas de spam ou marcadas como potencialmente perigosas, reduzindo a exposição direta do usuário.

Rejeitar – qualquer e-mail que falhe na autenticação é bloqueado antes de chegar ao destinatário. Este nível é considerado o padrão ouro de proteção, pois elimina o risco de o usuário visualizar o conteúdo fraudulento.

Por que o momento é crítico

O aquecimento do turismo, somado a eventos promocionais como a Black Friday, cria um terreno fértil para golpistas. À medida que companhias e agências divulgam descontos e condições especiais, o volume de mensagens legítimas aumenta e, junto com ele, o de falsificações. Criminosos se aproveitam da familiaridade que o consumidor tem com e-mails de confirmação, alertas de alteração de voo e ofertas relâmpago. Quando um portal não bloqueia comunicações com domínio falsificado, a probabilidade de que a armadilha passe despercebida cresce de forma proporcional.

Táticas utilizadas pelos golpistas

As fraudes mais recorrentes incluem confirmações de reserva inexistentes, supostas promoções com preços irrealistas e cobranças emergenciais alegando mudança de horário de voo. Em todos esses casos, os criminosos enviam mensagens que imitam logos, cores, tipografia e tom de voz de empresas reconhecidas no setor. O objetivo é induzir o viajante a clicar em links que direcionam para páginas de pagamento falsas ou solicitar dados de cartão sob o pretexto de ajustar a reserva.

Consequências para consumidores e empresas

Quando o protocolo não está devidamente configurado, o impacto vai além da perda financeira imediata do usuário. A marca legítima tem sua reputação prejudicada, pois o destinatário associa o golpe à empresa cujo domínio foi falsificado. Para o consumidor, as perdas podem incluir pagamento de tarifas inexistentes, vazamento de dados pessoais e dificuldade para recuperar valores. Já para o portal de viagens, a falta de confiança pode se traduzir em redução de vendas e aumento de custos relativos ao atendimento de reclamações.

Processos, causas e efeitos

A causa primordial da exposição é técnica: a ausência da política “rejeitar” no DMARC permite a entrada de e-mails não verificados. O efeito direto é a entrega bem-sucedida de mensagens forjadas, que exploram o alto valor das reservas de férias. O caráter emocional envolvido em viagens – seja a expectativa de um período de descanso, seja a urgência em resolver qualquer problema logístico – faz com que o usuário reaja com menos cautela, elevando a taxa de sucesso das campanhas criminosas.

Medidas de prevenção para consumidores

Embora a estrutura de segurança deva partir das empresas, o usuário pode adotar práticas que reduzem a exposição:

Senhas fortes e autenticação em duas etapas – ativar a verificação em dois fatores sempre que o serviço disponibilizar esse recurso.

Desconfiar de ofertas excessivamente vantajosas – preços muito abaixo do mercado costumam servir de isca para roubo de credenciais.

Acessar apenas o site oficial – digitar o endereço diretamente na barra do navegador em vez de clicar em links recebidos por e-mail ou redes sociais.

Evitar reações impulsivas a solicitações urgentes – mensagens que exigem pagamento imediato para supostas alterações de voo ou confirmação de dados podem ser fraudulentas.

Pesquisar antes de confirmar pagamentos – ler avaliações independentes e verificar reclamações de outros consumidores ajuda a identificar armadilhas.

Ignorar links suspeitos – sempre que receber promoções inesperadas, optar por buscar a oferta no site oficial em vez de seguir o atalho fornecido na mensagem.

Responsabilidade do setor

A análise da Proofpoint evidencia que o reforço da política de autenticação ainda precisa avançar entre os portais brasileiros de turismo. A adoção do modo “rejeitar” não exige grandes mudanças para o usuário final, mas implica revisão técnica nos servidores de e-mail de cada empresa. Ao incorporar a camada de bloqueio, as plataformas reduzem substancialmente a janela de atuação de falsificadores de domínio.

Números em perspectiva

Em valores absolutos, os R$ 147 bilhões movimentados na temporada refletem o volume de transações que potencialmente circulam por e-mail. Considerando que 53% dos sites analisados não aplicam o DMARC no nível máximo, um percentual significativo dessa quantia trafega em canais suscetíveis a interceptação fraudulenta. Mesmo que apenas uma fração dos viajantes seja afetada, as perdas individuais podem ser elevadas, pois cada reserva reúne passagem, hospedagem e, em alguns casos, aluguel de veículos.

Caminhos para o reforço da segurança

O levantamento indica duas frentes de atuação. A primeira exige ação imediata dos portais de viagens na configuração do DMARC em modo “rejeitar”. A segunda depende de campanhas permanentes de conscientização ao consumidor, enfatizando a verificação de remetente, a cautela com ofertas e a consulta a fontes oficiais. Somadas, essas iniciativas reduzem a efetividade dos golpes que exploram o meio de comunicação por e-mail.