De acordo com o ANZ, as perdas cibernéticas entre pequenas empresas ultrapassaram AUD $84 milhões em 2024, destacando como os criminosos estão cada vez mais direcionando seus ataques a organizações menores e mais vulneráveis.

A tendência alarmante

O cibercrime continua desafiando empresas em toda a Austrália. Dados nacionais mostram que, em 2024, as companhias perderam mais de AUD $84 milhões em golpes. De acordo com o Cyber Threat Trends Report da Australian Signals Directorate, mais de 87.400 denúncias de crimes cibernéticos foram registradas durante o ano fiscal de 2023–24 — o equivalente a um relatório a cada seis minutos. Embora isso represente uma redução de 7% em relação ao ano anterior, as pequenas empresas continuam particularmente expostas a riscos financeiros significativos.

Uma das ameaças mais significativas é o Business Email Compromise (BEC), em que os invasores se passam por contatos confiáveis para roubar dinheiro ou dados confidenciais. O BEC representou 13% dos incidentes relatados. Esses golpes geralmente exploram vulnerabilidades nos sistemas de e-mail ou nos processos empresariais, incluindo a invasão de contas para alterar detalhes de pagamento de faturas e redirecionar os fundos para contas controladas por cibercriminosos.

Os cibercriminosos também se aproveitam da confiança que as pequenas empresas depositam no e-mail. Muitas dependem de faturas digitais e da comunicação com fornecedores. Os invasores podem facilmente imitar esses processos por meio de falsificação de domínios e identidades de remetentes falsas. O phishing continua sendo a principal causa de perdas financeiras, mas o BEC está crescendo rapidamente. Esses ataques frequentemente conseguem driblar filtros de spam básicos e explorar métodos de autenticação fracos, resultando em violações graves.

Por que as pequenas empresas estão mais em risco

Ao contrário das grandes corporações com equipes de TI dedicadas, as pequenas empresas geralmente não possuem recursos para uma segurança proativa. A má gestão de senhas, os sistemas desatualizados e a ausência de políticas de DMARC ou SPF as tornam alvos fáceis. O relatório recente do ANZ revela que mais de 70% das pequenas empresas alvo de ataques de phishing não possuíam autenticação de domínio adequada, permitindo que os invasores as impersonassem com pouco esforço.

As pequenas empresas também estão sendo cada vez mais visadas por golpistas que se passam por bancos, órgãos governamentais ou outras instituições financeiras. Esses ataques têm como objetivo enganar indivíduos para que compartilhem informações pessoais, transfiram fundos ou cliquem em links maliciosos. Dados de 2024 mostram que as pequenas empresas são desproporcionalmente afetadas, com o custo médio por incidente de crime cibernético atingindo AUD $49.000 — um aumento de 8% em relação ao ano anterior.

O efeito dominó dos ataques baseados em e-mail

Uma vez que as credenciais são roubadas, os invasores as utilizam para enviar e-mails convincentes, espalhar malware ou solicitar pagamentos fraudulentos. O dano à reputação pode durar mais do que a perda financeira, já que clientes que caem em faturas falsas ou golpes perdem a confiança na marca.

Construindo resiliência cibernética em 2025

As instituições financeiras da Austrália estão incentivando as pequenas empresas a adotarem métodos de autenticação mais robustos e ferramentas de monitoramento contínuo. Os órgãos reguladores também estão promovendo o DMARC como um padrão de segurança fundamental para prevenir e-mails falsificados e ataques de phishing. O Australian Cyber Security Centre (ACSC) recomenda fortemente o uso do DMARC como uma proteção essencial contra falsificação e personificação de e-mails.

As pressões de conformidade também estão aumentando. Sob estruturas globais como o Payment Card Industry Data Security Standard (PCI DSS), a implementação do DMARC se tornará obrigatória para empresas que lidam com dados de cartões de crédito, tornando-o essencial para organizações abrangidas por esse padrão.

A Nova Zelândia já avançou em direção à obrigatoriedade da aplicação rigorosa do DMARC em domínios governamentais, estabelecendo um forte precedente para a adoção regional. À medida que os cibercriminosos passam a usar e-mails gerados por IA e táticas de engenharia social, a conscientização e a automação tornaram-se indispensáveis para proteger as comunicações empresariais.

Repensando a confiança: como as ferramentas modernas podem proteger cada mensagem

O e-mail é vital para a comunicação empresarial, mas também é um dos principais vetores de ataque. Para proteger sua reputação, as pequenas empresas precisam ir além das defesas manuais.

A Skysnag automatiza a aplicação de DMARC, SPF, DKIM, MTA-STS e TLS-RPT, ajudando as organizações a protegerem seus domínios contra falsificação, enquanto aprimoram a entrega de e-mails. A autenticação contínua, os relatórios forenses e os alertas em tempo real permitem que as pequenas empresas interrompam ataques de e-mail antes que eles se intensifiquem. Inicie sua avaliação gratuita de 14 dias.