O que é BEC (comprometimento de email empresarial)?

O BEC (comprometimento de email empresarial) é um tipo de ataque de phishing que visa organizações, com o objetivo de roubar dinheiro ou informações críticas.

Defenda-se contra o comprometimento de email empresarial

BEC (comprometimento de email empresarial) definido

O BEC (comprometimento de email empresarial) é um tipo de crime cibernético em que o golpista usa o email para induzir alguém a enviar dinheiro ou divulgar informações confidenciais da empresa. O culpado se apresenta como uma figura confiável e, em seguida, solicita o pagamento de uma conta falsa ou dados confidenciais que podem ser usados em outro golpe. Os golpes BEC estão aumentando devido ao aumento do trabalho remoto: houve quase 20 mil reclamações de BEC ao FBI no ano passado.¹

Tipos de golpes de comprometimento de email empresarial

O email é o ponto de partida para 91% dos ataques cibernéticos.² Saiba mais sobre os tipos mais comuns de email comprometido.

Roubo de dados

Às vezes, os golpistas começam com o departamento de RH como alvo e roubando informações da empresa, como a agenda de alguém ou o número de telefone pessoal. Então é mais fácil realizar um dos outros golpes BEC e torná-lo mais verosímil.

Esquema de fatura falsa

Fazendo-se passar por um fornecedor legítimo com o qual sua empresa trabalha, o golpista envia por email uma fatura falsa, muitas vezes parecida com uma real. O número da conta pode ter apenas um dígito diferente. Ou eles podem pedir que você pague a um banco diferente, alegando que seu banco está sendo auditado.

Fraude do CEO

Os golpistas falsificam ou invadem a conta de email de um CEO e, em seguida, enviam instruções por email aos funcionários para fazer uma compra ou enviar dinheiro por transferência eletrônica. O golpista pode até pedir a um funcionário que compre cartões-presente e, em seguida, solicitar fotos de números de série.

Representação de advogado

Nesse golpe, os invasores obtêm acesso não autorizado a uma conta de email em um escritório de advocacia. Em seguida, eles enviam aos clientes uma fatura ou um link para pagamento online. O endereço de email é legítimo, mas a conta bancária não é.

Comprometimento da conta

Os golpistas usam phishing ou malware para obter acesso à conta de email de um funcionário do departamento financeiro, como um gerente de contas a receber. Em seguida, o golpista envia por email faturas falsas aos fornecedores da empresa solicitando pagamento para uma conta bancária fraudulenta.

Como os golpes BEC funcionam?

O que acontece em um golpe BEC:

1. Os golpistas pesquisam seus alvos e descobrem como falsificar a identidade deles. Às vezes eles criam sites falsos ou até mesmo registram empresas com o mesmo nome que o seu em um país diferente.

2. Obtido o acesso, os golpistas monitoram os emails para descobrir quem pode enviar ou receber dinheiro. Eles também analisam padrões de conversa e faturas.

3. Durante uma conversa por email, o golpista se faz passar por uma das partes falsificando o domínio do email. O endereço de email pode estar errado por uma letra ou duas, ou pode ser o endereço de email correto “via” um domínio diferente, por exemplo, chris@contoso.com via fabrikam.com.

4. O golpista tenta ganhar a confiança do alvo e depois pede dinheiro, cartões-presente ou informações.

Alvos do comprometimento de email empresarial

Qualquer pessoa pode ser alvo de um golpe BEC. Empresas, governos, organizações sem fins lucrativos e escolas são todos considerados alvos, especificamente estas funções:

1. Executivos e líderes, porque os dados sobre eles geralmente estão disponíveis publicamente no site da empresa, permitindo que os invasores finjam conhecê-los.

2. Funcionários de finanças, como controladores e funcionários de contas a pagar, que dispõem de dados bancários, métodos de pagamento e números de contas.

3. Gerentes de RH com registros de funcionários, como números de previdência social, declarações fiscais, informações de contato e agendas.

4. Funcionários novos ou iniciantes que não poderão verificar a legitimidade de um email com o remetente.

Os perigos do BEC

Se um ataque de comprometimento de email empresarial for bem-sucedido, sua organização poderá:

1. Perder centenas de milhares a milhões de reais.

2. Enfrentar o roubo de identidade generalizado se as informações de identificação pessoal forem roubadas.

3. Vazar acidentalmente dados confidenciais, como propriedade intelectual.

À medida que os esquemas BEC evoluem, o mesmo acontece com as estratégias de proteção contra ameaças. De fato, a Microsoft bloqueou 32 bilhões de ameaças de email no ano passado.³ Saiba mais sobre as soluções de proteção contra ameaças de email da Microsoft.

Exemplos de comprometimento de email empresarial

Exemplo 1: Pague esta conta urgente

Digamos que você trabalhe no departamento financeiro da sua empresa. Você recebe um email do CFO com uma solicitação urgente sobre uma fatura vencida, mas na verdade não é do CFO. Ou o golpista finge ser sua empresa de reparos ou provedor de internet e envia por email uma fatura convincente.

Exemplo 2: Qual é o seu número de telefone?

Um executivo da empresa envia um email para você: “Preciso da sua ajuda com uma tarefa rápida. Envie seu número de telefone, e eu mandarei uma mensagem de texto.” As mensagens de texto parecem mais seguras e pessoais do que o email, então o golpista espera que você envie uma mensagem de texto com informações de pagamento ou outras informações confidenciais. Isso é chamado de “smishing” ou phishing via mensagem SMS (texto).

Exemplo 3: Sua concessão está expirando

Um golpista obtém acesso ao email de uma empresa imobiliária e encontra transações em andamento. Eles enviam emails aos clientes: “Aqui está a conta para renovar a concessão do escritório por mais um ano” ou “Aqui está o link para pagar o depósito do aluguel”. Recentemente, golpistas enganaram alguém e obtiveram mais de US$ 500.000 dessa maneira.⁴

Exemplo 4: Aquisição secreta

Seu chefe pede um adiantamento para adquirir um de seus concorrentes. “Mantenha isso entre nós”, diz o email, desencorajando você a verificar a solicitação. Como os detalhes de M&A geralmente são mantidos em segredo até que tudo seja finalizado, esse golpe pode não parecer suspeito a princípio.

Dicas para prevenir o BEC

Siga estas cinco práticas recomendadas para impedir o comprometimento de email empresarial:

Usar uma solução de email segura

Aplicativos de email como o Office 365 sinalizam e excluem emails suspeitos automaticamente ou alertam você de que o remetente não foi verificado. Em seguida, você pode bloquear determinados remetentes e denunciar emails como spam. O Defender para Office 365 adiciona ainda mais recursos de prevenção ao BEC, como proteção avançada contra phishing e detecção de encaminhamento suspeito.

Configurar a MFA (autenticação multifator)

Torne o comprometimento do seu email mais difícil ativando a autenticação multifator, que requer um código, PIN ou impressão digital para fazer login, bem como sua senha.

Ensinar os funcionários a identificar sinais de alerta

Certifique-se de que todos saibam como identificar links de phishing, uma incompatibilidade de domínio e endereço de email e outros sinais de alerta. Simule um golpe BEC para que as pessoas reconheçam um quando isso acontecer.

Definir padrões de segurança

Os administradores podem aumentar os requisitos de segurança em toda a organização exigindo que todos usem o MFA, contestando o acesso novo ou arriscado com autenticação e forçando a redefinição de senha se as informações vazarem.

Usar ferramentas de autenticação de email

Torne seu email mais difícil de falsificar autenticando remetentes usando SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Autenticação, Relatório e Conformidade de Mensagens com Base em Domínio).

Adotar uma plataforma de pagamento segura

Considere mudar de faturas enviadas por email para um sistema projetado especificamente para autenticar pagamentos.

Proteção contra o comprometimento de email empresarial

Ajude a proteger sua organização com soluções para detectar emails suspeitos, como o Microsoft Defender para Office 365, que pode:

1. Verificar automaticamente os padrões de autenticação de email, detectar falsificação e enviar emails para pastas de quarentena ou lixo eletrônico.

2. Usar a IA para modelar os padrões normais de email de cada pessoa e sinalizar atividades incomuns.

3. Configurar a proteção de email por usuário, domínio e caixa de correio.

4. Investigar ameaças, descobrir quem está sendo alvo, detectar falsos positivos e identificar golpistas no Explorador de Ameaças.

5. Verificar padrões de email em todo o domínio e destacar atividades incomuns com algoritmos avançados na Inteligência contra Falsificação.

Saiba mais sobre a Segurança da Microsoft

Seis dicas para tornar o email mais seguro

Siga estas melhores práticas de segurança de email para ajudar na proteção contra o BEC.

Leia as dicas

Entenda o golpe do cartão-presente

Leia emails reais de golpistas tentando realizar um golpe BEC para que você esteja preparado.

Descubra as táticas

Entenda um ataque BEC

Saiba como os golpistas operam neste golpe de comprometimento de email empresarial da vida real.

Obtenha os detalhes

Evite ataques de pulverização de senha

Saiba como interromper esse ataque por email e descubra quem em sua organização está vulnerável.

Leia a postagem

O que os CISOs devem saber

Saiba mais sobre o estado do treinamento de conscientização de segurança e como educar sua equipe sobre phishing.

Como a MFA previne o phishing

Siga uma das etapas mais rápidas e fáceis de impedir golpes BEC: habilite a autenticação multifator.

Saiba mais

Conheça a Unidade de Crimes Digitais

Saiba como a equipe de crimes cibernéticos da Microsoft neutraliza o BEC com inovação de produtos, pesquisa e IA.

Descubra a Unidade de Crimes Digitais

Perguntas frequentes

Faça uma reclamação no Centro de Reclamações de Crimes na Internet (IC3) do FBI. Denuncie o email através do seu provedor de email marcando-o como lixo ou spam. Se o seu email não tiver essa opção, informe seu supervisor.
Phishing é apenas uma parte do comprometimento de email empresarial. BEC é o termo genérico, um tipo de ataque que geralmente inclui phishing, falsificação, representação e faturas falsas.
Proteja emails empresariais seguindo as melhores práticas de segurança de email, como usar um provedor de email seguro, habilitar a MFA (autenticação multifator), escolher uma senha de email forte e alterá-la com frequência e não compartilhar dados pessoais online. Se você for um administrador, considere soluções de segurança de email como o Defender para Office 365, defina as configurações de segurança e monitore a atividade quanto a anomalias.
Detecte golpes e fraudes BEC notando algo incomum, como um email enviado fora do horário comercial, nomes com erros ortográficos, uma incompatibilidade entre o endereço de email do remetente e o endereço de resposta, um senso de urgência, links e anexos estranhos ou alterações nas informações de pagamento ou faturamento. Você também pode detectar golpes BEC verificando os emails excluídos da sua conta de email e as regras de encaminhamento para ver se sua conta foi comprometida. Se o seu aplicativo de email sinalizar determinados emails como suspeitos ou não verificados, essa é outra maneira de detectar golpes BEC.
A falsificação de email consiste em forjar um endereço de email para que pareça que um email veio de outra pessoa. Os emails falsificados podem parecer reais, mas ser de um domínio diferente que não é óbvio até que você o inspecione (chris@contoso.com via fabrikam.com) ou ter erros sutis de ortografia (chris@cont0so.com) ou ser de um domínio completamente diferente (chris@fabrikam.com).

1. FBI. “Internet Crime Report 2021.” (Relatório de Crimes na Internet 2021.) Internet Crime Complaint Center. 2021.

2. Ganacharya, Tanmay. “Protecting against coronavirus themed phishing attacks.” (Como se proteger contra ataques de phishing com tema de coronavírus.) Blog de Segurança da Microsoft. 20 de março de 2020.

3. Microsoft. “Digital Defense Report.” (Relatório de Defesa Digital.) Outubro de 2021.

4. Departamento de Justiça dos EUA. “Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer.” (Homem de Rhode Island se declara culpado de conspiração para lavar fundos por fraude de comprometimento de email tendo como alvo advogado de Massachusetts.) 15 de julho de 2020.