Como funciona o comprometimento de e-mails comerciais (BEC)
Publicado em: 15 Fev 2022
Última modificação em: 8 Set 2025
O Business Email Compromise (BEC) é uma das mais complexas fraudes baseadas na engenharia social, que rende grandes somas de dinheiro aos seus autores. Enquanto o ransomware é notícia, o BEC parece não fazer tanto sucesso. No entanto, uma investigação do FBI revelou que o volume de BEC é quatro vezes superior ao do malware.
O Verizon Data Breach Investigations Report (DBIR) salienta que a grande maioria (86%) do cibercrime tem motivações financeiras. Em 2021, o FBI descreveu o BEC como “um dos crimes em linha mais prejudiciais do ponto de vista financeiro”.
Os burlões, os autores de fraudes e os cibercriminosos fazem parte de uma comunidade nefasta que utiliza tácticas de engenharia social e e-mails de phishing para ajudar a levar a cabo os seus cibercrimes. Compreender como funciona uma fraude pode ajudar a evitar que a tua organização seja vítima deste ataque informático.
Eis como funciona o Business Email Compromise e como podes impedir que os autores de fraudes BEC roubem o dinheiro da tua empresa.
Análise de um ataque BEC típico
Os autores de fraudes de Business Email Compromise visam empresas de todas as dimensões e de todos os sectores. Uma fraude de BEC utiliza a engenharia social ao máximo, manipulando os funcionários visados, à medida que a cadeia de destruição avança através de uma organização.
Em 2020, a unidade de investigação de cibercrime do FBI, IC3, descobriu que os cibercriminosos tinham explorado mais de 2 mil milhões de dólares de empresas americanas utilizando técnicas de BEC. O BEC não é menos comum no Reino Unido, com mais de 500 PMEs visadas por fraudadores de BEC em 2018.
Os esquemas de Business Email Compromise são lucrativos. Mas exigem um elevado nível de empenho para obter acesso às grandes somas de dinheiro que os burlões procuram. A fraude BEC pode ser considerada como uma ameaça avançada de correio eletrónico, uma vez que normalmente contém um elemento de comprometimento de correio eletrónico e phishing numa fase inicial do ciclo de ataque.
Aqui estão os processos típicos por trás de um esquema de comprometimento de e-mail comercial:
Um esquema de BEC depende de enganar indivíduos específicos dentro de uma organização para que façam uma transferência eletrónica para transferir dinheiro para a conta de um fraudador. Existem várias variantes do esquema, mas todas têm um elemento comum: encontrar uma forma de enganar alguém para que acredite que está a efetuar uma transferência de dinheiro importante a pedido de uma pessoa de nível superior e/ou de um cliente importante. As fases típicas de um esquema de BEC são:
Primeira fase: recolha de informações e estratégias
Os crimes de BEC são exercícios sérios de obtenção de dinheiro que exigem a recolha de informações para aperfeiçoar o crime. A vigilância envolve normalmente a recolha de informações gerais disponíveis ao público sobre uma empresa, quem são os executivos de nível C, a estrutura da empresa, etc.
Durante esta fase, os cibercriminosos compreendem as operações da empresa e tentam descobrir como e a quem são feitos os pagamentos. Um burlão de BEC utiliza então esta informação para iniciar a segunda fase do ataque.
Segunda fase: Compromisso de e-mail ou falsificação de e-mail
Utilizando as informações recolhidas na primeira fase, o fraudador BEC recorre a uma de duas tácticas para continuar o ataque:
O comprometimento de contas de correio eletrónico é uma possibilidade. O controlo de contas (ATO) exige que o cibercriminoso roube as credenciais de início de sessão e a palavra-passe de uma conta de correio eletrónico visada. Isto pode ser feito utilizando spear-phishing; é mais complicado (mas não impossível) se for utilizado um segundo fator para proteger uma conta.
Se o cibercriminoso conseguir sequestrar uma conta, centrar-se-á num executivo de nível C ou em alguém que controle os pagamentos. Uma conta sequestrada de um CXO é altamente valiosa e pode ser usada para exigir pagamentos “urgentes” para a conta bancária do hacker, fazendo-se passar por um “cliente valioso”.
No caso da ATO do funcionário “contas a pagar”, o fraudador poderá observar o tráfego de correio eletrónico, procurando informações sobre quem está a ser pago, quando é pago, etc. Ter este nível de controlo sobre o correio eletrónico de uma organização também lhes permite intercetar facturas, alterando os detalhes para garantir que os pagamentos são feitos para a conta bancária do fraudador.
A segunda opção é falsificar o endereço de correio eletrónico do executivo de nível C visado. A falsificação de um e-mail é uma forma comum de phishing e uma forma reconhecida de enganar os destinatários, levando-os a pensar que o e-mail é de uma determinada pessoa. Um exemplo de um endereço de correio eletrónico falso seria [email protected] ou [email protected] – ficaste com a ideia… fácil de imitar, difícil de detetar, especialmente se fores um empregado ocupado a trabalhar em contas a pagar.
Terceira fase: Extrair o dinheiro
A terceira fase é quando o dinheiro é transferido para a conta bancária do autor da fraude. Isto pode assumir várias formas e fará parte da estratégia original de execução definida nas fases um e dois. As formas típicas de execução da terceira fase são:
Fraude do CEO: utilizando uma conta de nível C falsificada ou pirateada, o burlão envia uma mensagem de correio eletrónico marcada como “urgente”, explicando que, se não enviar £££££ até uma determinada hora, perderá a conta de um cliente importante.
Fraudede facturas: Se uma conta de correio eletrónico for pirateada, o fraudador estará atento às facturas que entram na empresa, interceptá-las-á e alterará os dados de pagamento na fatura.
Como podes reduzir o risco de BEC?
A fraude BEC é executada a partir da recolha de informações sobre o alvo e propagada através de um ataque avançado por correio eletrónico. Este último depende normalmente de uma campanha de spear-phishing bem sucedida. Ninguém está isento de um ataque BEC: em 2018, a instituição de caridade Save the Children perdeu 800 000 libras para um burlão BEC. O atacante sequestrou a conta de e-mail de um funcionário e usou a conta para enviar faturas falsas.
Existem várias formas de proteger a tua organização contra um ataque BEC, sendo cada uma delas um componente de uma abordagem em camadas para reduzir o risco de campanhas BEC:
Dá formação aos funcionários sobre como funcionam os ataques BEC
O Business Email Compromise é um ataque dependente do correio eletrónico que requer vigilância para ser detectado e evitado. Utiliza a Formação de sensibilização para a segurança e exercícios de simulação dephishing para garantir que todos os funcionários compreendem os truques e as tácticas utilizados para enganar as pessoas.
Cria programas de formação específicos para o BEC que se destinem aos executivos e funcionários de nível C, como os contabilistas que lidam com pagamentos. Se os pagamentos forem efectuados por terceiros ou fornecedores, certifica-te de que a formação também os inclui.
Utiliza a autenticação de dois factores
A aquisição de contas de correio eletrónico é uma opção disponível para os autores de fraudes BEC. Certifica-te de que as contas de correio eletrónico da tua empresa estão configuradas para exigir o acesso através de um segundo fator, por exemplo, os utilizadores devem utilizar um código único baseado num dispositivo móvel, bem como uma palavra-passe para aceder à sua conta de correio eletrónico.
Protege o teu domínio empresarial
Os autores de fraudes BEC registam frequentemente nomes de domínio semelhantes ao domínio da vítima-alvo, por exemplo, www.micr0soft.com ou www.amason.com. Os autores das fraudes podem então enviar e-mails que parecem ter sido enviados por uma conta de e-mail legítima. Para ajudar a evitar esta situação, regista domínios que sejam semelhantes ao domínio oficial da tua empresa.
Cria mecanismos de dupla verificação dos pagamentos
Cria um processo segundo o qual os empregados devem confirmar com outro membro do pessoal antes de efectuarem uma transferência de dinheiro ou quando partilham informações confidenciais ou pessoais.
Fica atento às alterações ou actualizações
Cria uma cultura de segurança, assegurando que todo o pessoal está atento a quaisquer alterações no comportamento do pessoal interno ou dos vendedores. Esta abordagem cultural à segurança manterá o pessoal alerta para as burlas e permitir-lhe-á detetar comportamentos invulgares antes que se tornem incidentes.
O comprometimento do correio eletrónico empresarial é um crime lucrativo e bem sucedido. Este sucesso significa que é pouco provável que o seu volume diminua nos próximos anos. A única forma de lidar com ele é manter-se vigilante e educar os teus funcionários, incluindo os executivos de nível C, sobre como funciona o BEC.
