Defaults.Exposed › Correções › Guides
Aquela História de Fraude de Faturas Que Ouviu — Podia Acontecer à Sua Empresa? Descubra em Dois Minutos (2026)
Publicado 2026-07-08
Números a 2026-06-29 · metodologia v7. Dados agregados do censo de 261 milhões de domínios classificados — nunca publicamos os resultados de um domínio individual. Veja como classificamos.
Muito provavelmente, sim — e pode descobrir com certeza em cerca de dois minutos, gratuitamente. 89,41% dos 261.086.232 domínios classificados no censo do Defaults.Exposed (a 2026-06-29) podiam ser usurpados da forma que essa história descreve, porque uma definição gratuita que bloqueia isso nunca foi ativada. A verificação mostra se o seu é um deles.
Em palavras simples, esta página cobre: o que aconteceu na história que ouviu, porque foi possível, a verificação gratuita de dois minutos, e uma nota para copiar e enviar — com o relatório anexado — a quem trata da sua área de TI.
O que aconteceu realmente nessa história?
Os detalhes variam, mas o padrão é quase sempre o mesmo. Um criminoso envia uma fatura que parece, a qualquer leitor normal, exatamente vinda do endereço de email de uma empresa real — mesmo nome, mesmo endereço a seguir ao @, um montante plausível. Um cliente paga-a, o dinheiro é movido dali a horas, e a empresa cujo nome estava no email — que não fez nada de errado e nada sabia sobre isto — recebe o telefonema zangado e a relação danificada.
Repare no que falta nessa história: ninguém foi pirateado. O criminoso nunca tocou nos sistemas da empresa.
Como é que alguém pode enviar um email que pareça vir da minha empresa?
Porque o email continua a funcionar como funcionava há décadas: a linha “from” é como o endereço de remetente num envelope — qualquer um pode escrever lá o que quiser. A menos que o seu domínio diga o contrário, um sistema de correio recetor não tem forma de saber se “um email da sua empresa” veio mesmo de si.
Há definições gratuitas — pequenas linhas de texto publicadas junto ao nome do seu domínio — que dizem ao mundo: o email genuíno de nós vem só destes sítios; recuse tudo o resto como falso. Ativadas e aplicadas, a fatura da história é rejeitada antes de um humano sequer a ver. Desligadas, chega à caixa de entrada com um aspeto perfeito.
A maioria das empresas nunca as ativou — ninguém lhes disse que as definições existiam. Dos 261.086.232 domínios classificados no censo do Defaults.Exposed (a 2026-06-29), 89,41% não aplicaram a definição que bloqueia a usurpação de identidade, e 46,4% nunca deram sequer o primeiro passo. Nessa maioria não é negligente — é normal. Mas é verificável, e a correção também é. (Explicação mais longa: alguém pode falsificar o meu domínio?)
Como descubro em dois minutos se isto nos podia acontecer?
- Execute a verificação gratuita em defaults.exposed. Escreva o seu domínio — a parte do seu endereço de email a seguir ao @. Sem registo, sem cartão; lê apenas definições públicas e nunca toca nos seus sistemas.
- Leia a classificação. Um A significa que o correio falsificado com o seu nome é recusado pelos sistemas de correio recetores. Qualquer coisa abaixo de A significa que a porta está aberta em alguma medida.
- Guarde o relatório. Está datado, em linguagem simples, e lista o que está em vigor e o que falta.
- Reencaminhe-o — secção seguinte.
Onde as empresas realmente estão:
| Onde estão os domínios | Fração dos 261.086.232 domínios que classificámos (a 2026-06-29) | O que significa para a história |
|---|---|---|
| Usurpação não bloqueada — a definição de aplicação nunca foi ativada | 89,41% | A história podia acontecer amanhã com o nome deles na fatura |
| Nunca deram sequer o primeiro passo | 46,4% | Os sistemas de correio recetores não sabem nada sobre o aspeto do email genuíno vindo deles |
| Protegidos — as falsificações são recusadas | cerca de um em cada dez domínios | A fatura falsa é devolvida antes que alguém a possa pagar |
O que faço com o resultado?
Reencaminhe o relatório para quem trata da sua área de TI — a pessoa que configurou o seu email, ou a quem ligaria quando algo se avaria. Não precisa de perceber o conteúdo; precisa que eles percebam. Copie e envie isto junto:
Olá — depois de ouvir falar de um caso de fraude de faturas que anda a circular, executei uma verificação gratuita ao nosso domínio em defaults.exposed. O relatório vai em anexo. Podes ver as definições de email que assinala e dizer-me o que é preciso para chegarmos a um A? Percebo que é configuração e não software novo — cerca de uma tarde de trabalho. Fico feliz por aprovar esse tempo. Obrigado.
Quando abrirem o relatório, as palavras que vão usar são SPF, DKIM e DMARC — o último (Domain-based Message Authentication, Reporting and Conformance) é a definição que diz aos sistemas de correio do mundo para recusarem falsificações com o seu nome. O relatório mostra qual dos três o seu domínio tem e liga a instruções passo a passo, a começar por como corrigir o DMARC. É a linguagem da sua pessoa de TI, deliberadamente.
Se não tem pessoa de TI, o relatório diz-lhe exatamente o que pedir. Leve-o a quem registou o seu domínio ou aloja o seu email — a equipa de suporte deles trata destas definições todos os dias — e peça o que aparece assinalado como em falta.
Isto vai ser caro de corrigir?
Não — e esta é a parte honesta, não a parte de venda. As definições são gratuitas: linhas de texto na configuração do seu domínio, não software, não uma subscrição. Para uma pessoa de TI competente, levar uma pequena empresa típica a um A é o trabalho de uma tarde — o cuidado está em listar primeiro todos os remetentes legítimos (fornecedor de email, ferramenta de newsletter, sistema de faturação) para que o email real continue a fluir quando a aplicação for ativada. A barreira nunca foi dinheiro; foi ninguém lhe ter dito.
Perguntas frequentes
Isto é o mesmo que ser pirateado? Não. Nada foi invadido — nenhuma palavra-passe roubada, nenhum vírus, ninguém dentro dos seus sistemas. O criminoso escreve o seu nome no envelope e envia-o a partir de outro sítio: falsificação, não arrombamento. É também por isso que os antivírus e as firewalls nunca o apanham — não há nada do seu lado para eles verem. As definições em falta são a única coisa que o impede, e 89,41% dos 261.086.232 domínios que classificámos (a 2026-06-29) estão expostos a isto.
Corrigir isto vai custar dinheiro? As definições são gratuitas; pagar a alguém para as configurar com cuidado é o trabalho de uma tarde. Dado que 46,4% dos domínios classificados nunca deram sequer o primeiro passo gratuito (censo a 2026-06-29), é uma das reduções de risco genuínas mais baratas que uma empresa pode comprar.
Como saberia se já está a acontecer? Normalmente não saberia — até um cliente ligar por causa de uma fatura que nunca enviou. A empresa falsificada é tipicamente a última a saber; a verificação de dois minutos é mais rápida do que esperar por essa chamada. Se a chamada já chegou, vá diretamente ao guia de emergência: alguém está a enviar emails a partir do seu domínio.
E aquele domínio antigo do nosso rebranding — o que ainda temos mas não usamos? Verifique-o também. Um domínio que não envia email nenhum ainda pode ser usurpado se nunca foi trancado — e ninguém o vigia: aquele domínio antigo do seu rebranding é uma porta que deixou aberta.
Reencaminhe isto para quem trata da sua área de TI
É essa toda a ação que esta página pede: execute a verificação gratuita, depois reencaminhe o relatório com a nota acima. Dois minutos para a verificação, um para o email — e o medo da terça-feira de manhã torna-se um documento datado e uma tarde de trabalho de outra pessoa reservada. Guarde o relatório: é a mesma evidência que responde à pergunta de segurança de email que agora aparece nos formulários de renovação do seguro cibernético.
Verifique o seu domínio → · Alguém está a enviar emails a partir do seu domínio → · Alguém pode falsificar o meu domínio? → · Apenas dados agregados. Dados armazenados e processados na UE.