Todos os anos, criminosos fogem com bilhões. Não invadindo galerias de arte sofisticadas ou cofres de bancos, mas enviando o e-mail certo para a pessoa certa no momento certo. É assim que eles fazem isso.
Neste artigo, você vai aprender:
O que realmente é o comprometimento de e-mail corporativo
Como esses ataques são executados, passo a passo
Os tipos mais comuns de ataques BEC
Um exemplo real de um ataque de US$ 37 milhões
Como proteger sua empresa antes que ela se torne um alvo
O que é comprometimento de e-mail corporativo em cibersegurança?
Comprometimento de e-mail corporativo é um ciberataque em que criminosos se passam por alguém em quem você confia para enganar você e fazê-lo enviar dinheiro ou entregar dados sensíveis. O que o torna perigoso é a paciência e o planejamento. Os invasores passam semanas aprendendo como uma empresa se comunica, quem tem autoridade e quando atacar. Quando o e-mail chega, ele parece um e-mail normal de alguém que você conhece.
Como funciona um ataque de comprometimento de e-mail corporativo?
Existe um roteiro testado e comprovado para esses ataques, e os golpistas o seguem todas as vezes.
Etapa 1 – Encontrar o alvo
O objetivo principal de um ataque de comprometimento de e-mail corporativo é que ele precisa ser convincente. Felizmente para os invasores, a Internet é uma mina de ouro de informações sobre alvos em potencial. Uma rápida olhada no seu perfil de rede social pode revelar seu trabalho, amigos próximos e até seu tom de voz. Junte isso com comunicados à imprensa sobre os próximos passos da sua empresa e biografias em sites corporativos, e tudo começa a parecer crível.
Os invasores podem coletar todas essas informações e, em segundos, criar um e-mail que parece e soa como o verdadeiro.
Etapa 2 – Entrar na caixa de entrada
Para que o conteúdo do e-mail pareça real, os invasores precisam envolvê-lo em uma embalagem atraente e convincente. Se o endereço de e-mail não parecer vir de uma fonte confiável, todo o golpe vai por água abaixo.
Os invasores podem falsificar o domínio registrando um nome como acme-corp.com em vez de acmecorp.com. Ou, se forem espertos o bastante, invadir a caixa de entrada real, tornando quase impossível distingui-la de uma mensagem genuína.
Afinal, se parece um pato e grasna como um pato, a maioria vai achar que é um pato.
Etapa 3 – Construir confiança
Nesses ataques, paciência é o nome do jogo. Os invasores podem se esconder em uma caixa de entrada invadida por semanas, lendo conversas por e-mail e aprendendo estilos de comunicação. Quando o e-mail finalmente chega, ele se mistura aos e-mails anteriores, espelhando o tom e o fluxo da conversa.
Etapa 4 – Fazer o pedido
Quando os invasores conhecem você de cabo a rabo — seu tom de voz, os nomes e cargos dos seus colegas e o que está acontecendo na sua empresa — e conseguem se infiltrar no seu e-mail, a solicitação é enviada.
Geralmente é algo que não pode ser facilmente desfeito. Pode envolver enviar dinheiro para uma conta bancária ou compartilhar informações privadas. O ponto principal é que precisa ser irreversível.
Quando o alvo percebe que algo está errado, o invasor precisa que o dano já esteja feito. Se for ainda mais sorrateiro, pode até enviar isso durante um período festivo, quando a guarda de todos está baixa e há uma chance maior de sucesso.
Etapa 5 – Desaparecer sem deixar rastros
Depois que os fundos são enviados, eles são movidos rapidamente por uma série de contas intermediárias. Normalmente, elas ficam no exterior, tornando o rastro do dinheiro muito difícil de seguir até mesmo para as autoridades.
Exemplo de comprometimento de e-mail corporativo
O comprometimento de e-mail corporativo é o chefão final dos ataques digitais. Geralmente envolve grandes empresas e quantias de dinheiro de cair o queixo.
Em 2019, um dos principais fornecedores da Toyota perdeu dezenas de milhões em uma única transferência. O invasor entrou no sistema de e-mail da Toyota Boshoku. Leu mensagens e aprendeu como a empresa se comunicava. Quando uma grande transferência de dinheiro surgiu na conversa, pediu a alguém na empresa com autoridade para movimentar dinheiro que atualizasse os dados da conta bancária para a transferência. Parecia legítimo, e o dinheiro foi enviado.
Assim, do nada, US$ 37 milhões, perdidos.
Tipos de ataques de comprometimento de e-mail corporativo
Nem todos os exemplos de comprometimento de e-mail corporativo são iguais. Claro, o objetivo é sempre enganar as pessoas para que entreguem o máximo de dinheiro possível, mas a abordagem pode ser muito diferente.
Fraude do CEO (personificação de executivo)
Esta é a forma mais reconhecida de BEC. Um invasor se passa por um executivo sênior, geralmente um CEO ou CFO, e pressiona alguém do financeiro a movimentar dinheiro. Funciona por causa da dinâmica de poder. Quando o chefe quer algo, a maioria das pessoas não para para perguntar por quê. Se isso for combinado com uma história de fundo convincente, já é o suficiente para fazer alguém agir sem pensar duas vezes.
Comprometimento de e-mail de fornecedor
Os invasores miram relacionamentos fora da empresa em vez de fingirem ser alguém de dentro. Eles visam fornecedores e prestadores confiáveis, entrando em conversas de e-mail já existentes e trocando dados reais de pagamento pelos deles. Do lado da vítima, parece uma atualização rotineira de fatura de um fornecedor com quem ela trabalha há anos.
Tomada de conta
Esta é a variante mais perigosa porque não envolve falsificação. O invasor está usando a conta real. O e-mail vem de um endereço real e usa o tom certo. A mensagem parece completamente normal, porque tecnicamente é.
Desvio de folha de pagamento
Este não mira o dinheiro da empresa. Em vez disso, mira os funcionários. Os invasores se passam pelo RH ou por um funcionário e solicitam uma atualização da folha de pagamento, redirecionando silenciosamente um salário para uma conta que controlam.
A vítima só descobre no dia do pagamento e, como os valores são menores e a solicitação parece normal, isso raramente aciona um alerta de fraude. É uma versão mais lenta do BEC, mas atinja funcionários suficientes e isso cresce rápido.
BEC vs Phishing – Qual é a diferença?
Os e-mails de phishing existem há muito tempo, e a maioria das pessoas sabe como um deles é. É aquele dizendo que você ganhou um prêmio ou que um príncipe nigeriano precisa da sua ajuda. Eles são enviados em massa e dependem do puro volume para pegar alguém desprevenido.
Enquanto o phishing é uma rede, o BEC é um atirador de elite. Os invasores passam semanas pesquisando uma empresa, às vezes uma pessoa específica. Quando o e-mail chega, parece uma mensagem de uma terça-feira de manhã de alguém que você conhece.
O phishing geralmente quer suas credenciais de login, mas o BEC pula essa etapa completamente e vai direto ao dinheiro ou aos dados.
Como identificar um ataque de comprometimento de e-mail corporativo
Os ataques BEC são projetados para parecer normais. Mas, se você souber o que procurar, os sinais estão lá.
A pressa— Um e-mail pressionando você a movimentar dinheiro rapidamente, sem espaço para parar e verificar.
A mudança repentina — Um fornecedor ou colega atualizou de repente as informações de pagamento do nada.
O endereço quase certo — O e-mail do remetente está a apenas um caractere do verdadeiro.
O tom que parece estranho— Algo parece errado, formal demais, casual demais ou estranhamente sigiloso.
O pedido vindo do nada — Pedem que você faça algo que normalmente passaria por outro canal.
Como prevenir um ataque de comprometimento de e-mail corporativo
Saber como esses ataques funcionam já é metade da batalha. A outra metade é garantir que sua empresa não seja um alvo fácil.
Pegue o telefone
Se um e-mail pedir que você transfira dinheiro ou atualize dados de pagamento, não responda a ele. Ligue diretamente para a pessoa usando um número que você já tem, não o que veio no e-mail. Leva trinta segundos e é, de longe, a coisa mais eficaz que você pode fazer.
Ative a autenticação de dois fatores
Se um invasor obtiver as credenciais de login de alguém, a 2FA pode bloquear uma tomada completa da caixa de entrada. Isso não vai impedir tudo, mas torna o comprometimento da conta significativamente mais difícil.
Ensine sua equipe a reconhecer o que é normal
Treinamentos regulares sobre o que é BEC, como funciona e como são os sinais de alerta podem transformar seus funcionários em uma linha de defesa.
Deixe suas ferramentas fazerem parte do trabalho pesado
Filtros de spam e ferramentas de autenticação de domínio como SPF, DKIM, and DMARC podem filtrar tentativas de BEC antes que elas cheguem à sua equipe. A detecção baseada em IA vai um passo além. Ela aprende como é o comportamento normal de e-mail dentro da sua organização e sinaliza qualquer coisa suspeita.
Perguntas frequentes
Comprometimento de e-mail corporativo é quando um criminoso finge ser alguém em quem você confia por e-mail para enganar você e fazê-lo enviar dinheiro ou compartilhar informações sensíveis. Os invasores enviam um e-mail convincente que imita o tom dos e-mails da empresa e até vem de um endereço de e-mail corporativo.
Eles são relacionados, mas não são a mesma coisa. O phishing lança uma rede ampla, enviando e-mails genéricos para o maior número possível de pessoas. Os ataques BEC são direcionados. Os invasores pesquisam uma empresa específica, uma pessoa específica e um momento específico. O resultado é muito mais convincente e muito mais caro.
A maioria dos golpes de comprometimento de e-mail corporativo começa com pesquisa. Os invasores estudam a estrutura e a comunicação de uma empresa. Quando sabem o suficiente, eles falsificam um endereço de e-mail confiável ou assumem o controle de um endereço real.
Fraude do CEO. Um invasor se passa por um executivo sênior e pressiona alguém do financeiro a transferir dinheiro rapidamente. Funciona porque a maioria das pessoas não questiona um pedido urgente do chefe.
Sim. A proteção contra comprometimento de e-mail corporativo começa com as pessoas. Treine sua equipe para identificar os sinais de alerta, verificar solicitações de pagamento por telefone e usar ferramentas como 2FA e DMARC para tornar seu e-mail mais difícil de comprometer. Nenhuma medida isolada é infalível, mas a combinação certa torna você um alvo muito mais difícil.
__1440x360.01kn9s6z8zcf2njg0pzkatjd26.png)

Compartilhe seus pensamentos