Todos os anos, os criminosos fogem com milhares de milhões. Não por entrarem em galerias de arte sofisticadas ou cofres de bancos, mas por enviarem o email certo à pessoa certa no momento certo. É assim que o fazem.
Neste artigo, vais aprender:
O que é realmente o business email compromise
Como estes ataques são executados, passo a passo
Os tipos mais comuns de ataques BEC
Um exemplo real de um ataque de 37 milhões de dólares
Como proteger a tua empresa antes de se tornar um alvo
O que é business email compromise em cibersegurança?
Business email compromise é um ciberataque em que criminosos se fazem passar por alguém em quem confias para te enganar e levar-te a enviar dinheiro ou entregar dados sensíveis. O que o torna perigoso é a paciência e o planeamento. Os atacantes passam semanas a aprender como uma empresa comunica, quem tem autoridade e quando atacar. Quando o email chega, parece um email normal de alguém que conheces.
Como funciona um ataque de business email compromise?
Há um método testado e comprovado para estes ataques, e os burlões seguem-no sempre.
Passo 1 – Encontrar o alvo
O objetivo de um ataque de business email compromise é precisamente ser convincente. Felizmente para os atacantes, a Internet é uma mina de ouro de informação sobre potenciais alvos. Uma vista de olhos rápida ao teu perfil nas redes sociais pode revelar o teu trabalho, amigos próximos e até o teu tom de voz. Junta isso a comunicados de imprensa sobre os próximos passos da tua empresa e a biografias em sites empresariais, e começa a parecer credível.
Os atacantes podem recolher toda essa informação e, em segundos, criar um email que parece e soa autêntico.
Passo 2 – Entrar na caixa de entrada
Para que o conteúdo do email pareça real, os atacantes precisam de o envolver numa embalagem apelativa e credível. Se o endereço de email não parecer vir de uma fonte de confiança, toda a burla cai por terra.
Os atacantes podem falsificar o domínio ao registarem um nome como acme-corp.com em vez de acmecorp.com. Ou, se forem suficientemente espertos, invadir a caixa de entrada real, tornando quase impossível distingui-la de uma mensagem genuína.
Afinal, se parece um pato e grasna como um pato, a maioria vai achar que é um pato.
Passo 3 – Criar confiança
Nestes ataques, a paciência é essencial. Os atacantes podem esconder-se numa caixa de entrada comprometida durante semanas, a ler cadeias de emails e a aprender estilos de comunicação. Quando o email finalmente chega, mistura-se com os anteriores, imitando o tom e o fluxo da conversa.
Passo 4 – Fazer o pedido
Quando os atacantes já te conhecem de trás para a frente — o teu tom de voz, os nomes e cargos dos teus colegas e o que se passa na tua empresa — e já conseguiram infiltrar-se no teu email, o pedido é enviado.
Normalmente, é algo que não pode ser facilmente desfeito. Pode envolver enviar dinheiro para uma conta bancária ou partilhar informação privada. O essencial é que seja irreversível.
Quando o alvo percebe que algo está errado, o atacante precisa de garantir que o dano já está feito. Se for especialmente sorrateiro, pode até enviar a mensagem durante uma época festiva, quando toda a gente está menos alerta e há maior probabilidade de sucesso.
Passo 5 – Desaparecer sem deixar rasto
Depois de os fundos serem enviados, são rapidamente movidos através de uma série de contas intermediárias. Estas costumam estar sediadas no estrangeiro, o que torna o rasto do dinheiro muito difícil de seguir, mesmo para as autoridades.
Exemplo de business email compromise
O business email compromise é o chefe final dos ataques digitais. Normalmente envolve grandes empresas e quantias de dinheiro astronómicas.
Em 2019, um dos principais fornecedores da Toyota perdeu dezenas de milhões numa única transferência. O atacante entrou no sistema de email da Toyota Boshoku. Leu mensagens e aprendeu como a empresa comunicava. Quando surgiu numa conversa uma grande transferência de dinheiro, pediu a alguém na empresa com autoridade para movimentar fundos que atualizasse os dados da conta bancária para a transferência. Parecia legítimo, e o dinheiro foi enviado.
Assim, sem mais nem menos, 37 milhões de dólares desapareceram.
Tipos de ataques de business email compromise
Nem todos os exemplos de business email compromise são iguais. Claro que o objetivo é sempre enganar as pessoas para entregarem o máximo de dinheiro possível, mas a abordagem pode ser muito diferente.
Fraude do CEO (Imitação de executivo)
Esta é a forma mais reconhecida de BEC. Um atacante faz-se passar por um executivo sénior, normalmente um CEO ou CFO, e pressiona alguém da área financeira a movimentar dinheiro. Funciona por causa da dinâmica de poder. Quando o chefe quer alguma coisa, a maioria das pessoas não pára para perguntar porquê. Se isto for combinado com uma história de fundo credível, basta para levar alguém a agir sem pensar duas vezes.
Compromisso de email de fornecedor
Os atacantes visam relações fora da empresa em vez de fingirem ser alguém dentro dela. Visam fornecedores e prestadores de confiança, infiltrando-se em conversas de email já existentes e trocando os dados reais de pagamento pelos seus. Do lado da vítima, parece uma atualização rotineira de fatura de um fornecedor com quem trabalha há anos.
Tomada de controlo de conta
Esta é a variante mais perigosa porque não envolve falsificação. O atacante está a usar a conta real. O email vem de um endereço verdadeiro e usa o tom certo. A mensagem parece completamente normal, porque tecnicamente é.
Desvio de salário
Este não visa o dinheiro da empresa. Em vez disso, visa os funcionários. Os atacantes fazem-se passar pelos RH ou por um funcionário e pedem uma atualização dos dados salariais, redirecionando discretamente um salário para uma conta que controlam.
A vítima só descobre no dia de pagamento e, como os montantes são menores e o pedido parece normal, raramente é acionado um alerta de fraude. É uma versão mais lenta de BEC, mas se atingir funcionários suficientes, o prejuízo cresce rapidamente.
BEC vs Phishing – Qual é a diferença?
Os emails de phishing existem há muito tempo, e a maioria das pessoas sabe como é um. É aquele que te diz que ganhaste um prémio ou que um príncipe nigeriano precisa da tua ajuda. São enviados em massa e dependem do volume puro para apanhar alguém desprevenido.
Se o phishing é uma rede, o BEC é um atirador furtivo. Os atacantes passam semanas a investigar uma empresa, por vezes uma pessoa específica. Quando o email chega, parece uma mensagem de uma terça-feira de manhã enviada por alguém que conheces.
O phishing costuma procurar as tuas credenciais de acesso, mas o BEC salta completamente essa etapa e vai diretamente ao dinheiro ou aos dados.
Como identificar um ataque de business email compromise
Os ataques BEC são concebidos para parecer normais. Mas, se souberes o que procurar, os sinais estão lá.
A urgência— Um email a pressionar-te para movimentares dinheiro rapidamente, sem margem para parar e verificar.
A mudança repentina — Um fornecedor ou colega atualizou subitamente as informações de pagamento sem qualquer aviso.
O endereço quase certo — O email do remetente está apenas a um carácter de distância do verdadeiro.
O tom ligeiramente errado— Algo parece estranho, demasiado formal, demasiado casual ou estranhamente reservado.
O pedido vindo do nada — Pedem-te para fazer algo que normalmente passaria por outro canal.
Como prevenir um ataque de business email compromise
Saber como estes ataques funcionam é metade da batalha. A outra metade é garantir que a tua empresa não é um alvo fácil.
Pega no telefone
Se um email te pedir para transferires dinheiro ou atualizares dados de pagamento, não respondas. Liga diretamente à pessoa usando um número que já tens, não o que vem no email. Demora trinta segundos e é, de longe, a coisa mais eficaz que podes fazer.
Ativa a autenticação de dois fatores
Se um atacante obtiver as credenciais de acesso de alguém, a 2FA pode impedir a tomada de controlo total da caixa de entrada. Não vai travar tudo, mas torna o comprometimento da conta significativamente mais difícil.
Ensina a tua equipa a reconhecer o que é normal
Formação regular sobre o que é BEC, como funciona e quais são os sinais de alerta pode transformar os teus funcionários numa linha de defesa.
Deixa as tuas ferramentas fazerem parte do trabalho pesado
Filtros de spam e ferramentas de autenticação de domínio como SPF, DKIM e DMARC podem filtrar tentativas de BEC antes de chegarem à tua equipa. A deteção baseada em IA vai mais longe. Aprende como é o comportamento normal de email dentro da tua organização e assinala tudo o que for suspeito.
Perguntas frequentes
Business email compromise é quando um criminoso finge ser alguém em quem confias por email para te enganar e levar-te a enviar dinheiro ou partilhar informação sensível. Os atacantes enviam um email convincente que imita o tom dos emails da empresa e até vem de um endereço de email da empresa.
Estão relacionados, mas não são a mesma coisa. O phishing lança uma rede ampla, enviando emails genéricos ao maior número possível de pessoas. Os ataques BEC são direcionados. Os atacantes investigam uma empresa específica, uma pessoa específica e um momento específico. O resultado é muito mais convincente e muito mais dispendioso.
A maioria das burlas de business email compromise começa com pesquisa. Os atacantes estudam a estrutura e a comunicação de uma empresa. Quando já sabem o suficiente, falsificam um endereço de email de confiança ou tomam controlo de um verdadeiro.
Fraude do CEO. Um atacante faz-se passar por um executivo sénior e pressiona alguém da área financeira a transferir dinheiro rapidamente. Funciona porque a maioria das pessoas não questiona um pedido urgente vindo do chefe.
Sim. A proteção contra business email compromise começa pelas pessoas. Treina a tua equipa para identificar os sinais de alerta, verificar pedidos de pagamento por telefone e usar ferramentas como 2FA e DMARC para tornar o teu email mais difícil de comprometer. Nenhuma medida isolada é infalível, mas a combinação certa torna-te num alvo muito mais difícil.
__1440x360.01kn9s6z8zcf2njg0pzkatjd26.png)

Partilha a tua opinião