Guia Business Email Compromise (BEC)

Comprometimento de e-mail comercial (BEC): Dicas de prevenção e segurança

O Business Email Compromise (BEC), também conhecido como fraude do CEO, é um ciberataque sofisticado em que os fraudadores se fazem passar por executivos de topo para enganar funcionários, vendedores ou clientes, levando-os a transferir fundos ou a partilhar informações sensíveis.

Ao invadir contas de e-mail oficiais, os atacantes monitorizam as comunicações internas e identificam os funcionários autorizados a efetuar pagamentos. Normalmente, os criminosos fazem-se passar por CEOs, CFOs ou outros executivos seniores, combinando técnicas avançadas de engenharia social para manipular as vítimas.

Relatórios recentes sublinham que os ataques BEC continuam a aumentar. Em 2024, o Internet Crime Complaint Center (IC3) recebeu 21 442 queixas de BEC, resultando em perdas ajustadas de aproximadamente 2,77 mil milhões de dólares americanos(IC3, 2024). Nos últimos três anos (2022-2024), o total de perdas relacionadas com BEC comunicadas ao IC3 atingiu quase 8,5 mil milhões de dólares americanos.

Como funciona um esquema de comprometimento de e-mail comercial

Como funciona o Compromisso de Email Comercial

Os ataques BEC são altamente direcionados, ao contrário das campanhas de phishing em massa. Os criminosos pesquisam meticulosamente executivos de alto nível utilizando sites de empresas, perfis de redes sociais e fontes online para criar e-mails fraudulentos convincentes.

Utilizando técnicas específicas como o spear phishing, os atacantes obtêm acesso a sistemas empresariais, observam transacções financeiras e enviam e-mails falsos a pedir transferências urgentes de fundos. Estes e-mails contornam frequentemente os filtros de spam, especialmente quando são enviados quando os executivos seniores estão ausentes, fazendo com que o esquema pareça legítimo.

Tipos de esquemas de comprometimento de e-mail comercial

Tipos de fraudes de comprometimento de e-mail comercial

Fraude do CEO: Os cibercriminosos fazem-se passar pelo CEO ou por um executivo sénior para solicitar transferências urgentes de fundos.
Esquema de facturas falsas: Visa empresas com fornecedores no estrangeiro, solicitando a alteração do destino do pagamento.
Compromisso de contas: os piratas informáticos interceptam facturas e redireccionam os pagamentos para contas falsas.
Fazes-te passar por advogado/advogado: Os burlões solicitam transferências de fundos confidenciais fazendo-se passar por advogados.
Roubo de dados: Os atacantes solicitam informações corporativas sensíveis a partir de e-mails de executivos comprometidos.

Sinais de aviso de um ataque de comprometimento de e-mail empresarial

Sinais de alerta de ataques BEC

Pedidos inesperados de transferência de fundos de grande montante para destinatários desconhecidos.
Transferências iniciadas no final do dia ou da semana de trabalho.
Emails com linguagem urgente, confidencial ou secreta.
Ligeiras alterações nos endereços de e-mail que imitam contactos legítimos.
Contas de beneficiários sem historial de grandes transferências.
As contas dos destinatários são contas pessoais e não contas de empresas.

Como evitar ataques de comprometimento de e-mail empresarial

Como evitar ataques de Compromisso de Email Empresarial

Realiza formação regular de sensibilização para a segurança para o pessoal.
Fornece formação a executivos de nível C.
Verifica todos os pedidos urgentes e confidenciais de transferência de fundos.
Limita os funcionários autorizados a transferir fundos.
Utiliza a autenticação multifactor para todas as contas de correio eletrónico.
Exige a verificação em duas etapas para os pagamentos.
Cria procedimentos formais para a aprovação de transacções financeiras.
Envia e-mails através de servidores encriptados sempre que possível.
Evita publicar informações sensíveis publicamente.
Utiliza banners de correio eletrónico externos para mensagens de fora da organização.

Os funcionários são muitas vezes a primeira linha de defesa contra ataques cibernéticos. A MetaLearning Fusion fornece eLearning de última geração para Segurança Cibernética e Privacidade, permitindo que as organizações criem cursos personalizados para os funcionários. Contacta-nos hoje para saberes mais.

Saiba mais e proteja a sua organização

A MetaCompliance oferece soluções abrangentes para proteção contra BEC e outras ameaças cibernéticas:

Para um aconselhamento personalizado e para discutir a forma como o MetaCompliance pode proteger a sua organização, contacta-nos hoje mesmo.

Perguntas frequentes sobre o comprometimento de correio eletrónico empresarial (BEC)

O que é o BEC (Business Email Compromise)?

O BEC é um tipo de cibercrime em que os atacantes se fazem passar por um executivo da empresa, fornecedor ou parceiro de confiança através de correio eletrónico para enganar os funcionários e levá-los a transferir dinheiro, partilhar informações sensíveis ou realizar acções não autorizadas.

Como é que os ataques BEC funcionam?

Os ataques BEC enganam os empregados para que enviem dinheiro ou informações sensíveis, fazendo-se passar por um executivo ou parceiro de confiança.

Como é que posso identificar uma mensagem de correio eletrónico BEC?

Procura pedidos urgentes, destinatários desconhecidos, pequenas alterações de endereço de correio eletrónico ou linguagem secreta.

O que é a fraude do diretor executivo?

A fraude do CEO é um esquema de BEC em que os fraudadores se fazem passar pelo CEO para solicitar transferências de fundos fraudulentas.