Blog da Spaceship

O que é comprometimento de e-mail comercial (BEC)?

Todos os anos, criminosos fogem com bilhões. Não invadindo galerias de arte sofisticadas ou cofres de bancos, mas enviando o e-mail certo para a pessoa certa no momento certo. É assim que eles fazem isso.

Neste artigo, você vai aprender:

  • O que realmente é o comprometimento de e-mail corporativo

  • Como esses ataques são executados, passo a passo

  • Os tipos mais comuns de ataques BEC

  • Um exemplo real de um ataque de US$ 37 milhões

  • Como proteger sua empresa antes que ela se torne um alvo

O que é comprometimento de e-mail corporativo em cibersegurança?

Comprometimento de e-mail corporativo é um ciberataque em que criminosos se passam por alguém em quem você confia para enganar você e fazê-lo enviar dinheiro ou entregar dados sensíveis. O que o torna perigoso é a paciência e o planejamento. Os invasores passam semanas aprendendo como uma empresa se comunica, quem tem autoridade e quando atacar. Quando o e-mail chega, ele parece um e-mail normal de alguém que você conhece.

Como funciona um ataque de comprometimento de e-mail corporativo?

Existe um roteiro testado e comprovado para esses ataques, e os golpistas o seguem todas as vezes.

Etapa 1 – Encontrar o alvo

O objetivo principal de um ataque de comprometimento de e-mail corporativo é que ele precisa ser convincente. Felizmente para os invasores, a Internet é uma mina de ouro de informações sobre alvos em potencial. Uma rápida olhada no seu perfil de rede social pode revelar seu trabalho, amigos próximos e até seu tom de voz. Junte isso com comunicados à imprensa sobre os próximos passos da sua empresa e biografias em sites corporativos, e tudo começa a parecer crível.

Os invasores podem coletar todas essas informações e, em segundos, criar um e-mail que parece e soa como o verdadeiro.

Etapa 2 – Entrar na caixa de entrada

Para que o conteúdo do e-mail pareça real, os invasores precisam envolvê-lo em uma embalagem atraente e convincente. Se o endereço de e-mail não parecer vir de uma fonte confiável, todo o golpe vai por água abaixo.

Os invasores podem falsificar o domínio registrando um nome como acme-corp.com em vez de acmecorp.com. Ou, se forem espertos o bastante, invadir a caixa de entrada real, tornando quase impossível distingui-la de uma mensagem genuína.

Afinal, se parece um pato e grasna como um pato, a maioria vai achar que é um pato.

Etapa 3 – Construir confiança

Nesses ataques, paciência é o nome do jogo. Os invasores podem se esconder em uma caixa de entrada invadida por semanas, lendo conversas por e-mail e aprendendo estilos de comunicação. Quando o e-mail finalmente chega, ele se mistura aos e-mails anteriores, espelhando o tom e o fluxo da conversa.

Etapa 4 – Fazer o pedido

Quando os invasores conhecem você de cabo a rabo — seu tom de voz, os nomes e cargos dos seus colegas e o que está acontecendo na sua empresa — e conseguem se infiltrar no seu e-mail, a solicitação é enviada.

Geralmente é algo que não pode ser facilmente desfeito. Pode envolver enviar dinheiro para uma conta bancária ou compartilhar informações privadas. O ponto principal é que precisa ser irreversível. 

Quando o alvo percebe que algo está errado, o invasor precisa que o dano já esteja feito. Se for ainda mais sorrateiro, pode até enviar isso durante um período festivo, quando a guarda de todos está baixa e há uma chance maior de sucesso.

Etapa 5 – Desaparecer sem deixar rastros

Depois que os fundos são enviados, eles são movidos rapidamente por uma série de contas intermediárias. Normalmente, elas ficam no exterior, tornando o rastro do dinheiro muito difícil de seguir até mesmo para as autoridades.

Exemplo de comprometimento de e-mail corporativo

O comprometimento de e-mail corporativo é o chefão final dos ataques digitais. Geralmente envolve grandes empresas e quantias de dinheiro de cair o queixo. 

Em 2019, um dos principais fornecedores da Toyota perdeu dezenas de milhões em uma única transferência. O invasor entrou no sistema de e-mail da Toyota Boshoku. Leu mensagens e aprendeu como a empresa se comunicava. Quando uma grande transferência de dinheiro surgiu na conversa, pediu a alguém na empresa com autoridade para movimentar dinheiro que atualizasse os dados da conta bancária para a transferência. Parecia legítimo, e o dinheiro foi enviado.

Assim, do nada, US$ 37 milhões, perdidos.

Tipos de ataques de comprometimento de e-mail corporativo

Nem todos os exemplos de comprometimento de e-mail corporativo são iguais. Claro, o objetivo é sempre enganar as pessoas para que entreguem o máximo de dinheiro possível, mas a abordagem pode ser muito diferente.

Fraude do CEO (personificação de executivo)

Esta é a forma mais reconhecida de BEC. Um invasor se passa por um executivo sênior, geralmente um CEO ou CFO, e pressiona alguém do financeiro a movimentar dinheiro. Funciona por causa da dinâmica de poder. Quando o chefe quer algo, a maioria das pessoas não para para perguntar por quê. Se isso for combinado com uma história de fundo convincente, já é o suficiente para fazer alguém agir sem pensar duas vezes.

Comprometimento de e-mail de fornecedor

Os invasores miram relacionamentos fora da empresa em vez de fingirem ser alguém de dentro. Eles visam fornecedores e prestadores confiáveis, entrando em conversas de e-mail já existentes e trocando dados reais de pagamento pelos deles. Do lado da vítima, parece uma atualização rotineira de fatura de um fornecedor com quem ela trabalha há anos.

Tomada de conta

Esta é a variante mais perigosa porque não envolve falsificação. O invasor está usando a conta real. O e-mail vem de um endereço real e usa o tom certo. A mensagem parece completamente normal, porque tecnicamente é.

Desvio de folha de pagamento

Este não mira o dinheiro da empresa. Em vez disso, mira os funcionários. Os invasores se passam pelo RH ou por um funcionário e solicitam uma atualização da folha de pagamento, redirecionando silenciosamente um salário para uma conta que controlam. 

A vítima só descobre no dia do pagamento e, como os valores são menores e a solicitação parece normal, isso raramente aciona um alerta de fraude. É uma versão mais lenta do BEC, mas atinja funcionários suficientes e isso cresce rápido.

BEC vs Phishing – Qual é a diferença?

Os e-mails de phishing existem há muito tempo, e a maioria das pessoas sabe como um deles é. É aquele dizendo que você ganhou um prêmio ou que um príncipe nigeriano precisa da sua ajuda. Eles são enviados em massa e dependem do puro volume para pegar alguém desprevenido.

Enquanto o phishing é uma rede, o BEC é um atirador de elite. Os invasores passam semanas pesquisando uma empresa, às vezes uma pessoa específica. Quando o e-mail chega, parece uma mensagem de uma terça-feira de manhã de alguém que você conhece.

O phishing geralmente quer suas credenciais de login, mas o BEC pula essa etapa completamente e vai direto ao dinheiro ou aos dados.

Como identificar um ataque de comprometimento de e-mail corporativo

Os ataques BEC são projetados para parecer normais. Mas, se você souber o que procurar, os sinais estão lá.

  • A pressa— Um e-mail pressionando você a movimentar dinheiro rapidamente, sem espaço para parar e verificar.

  • A mudança repentina — Um fornecedor ou colega atualizou de repente as informações de pagamento do nada.

  • O endereço quase certo — O e-mail do remetente está a apenas um caractere do verdadeiro.

  • O tom que parece estranho— Algo parece errado, formal demais, casual demais ou estranhamente sigiloso.

  • O pedido vindo do nada — Pedem que você faça algo que normalmente passaria por outro canal.

Como prevenir um ataque de comprometimento de e-mail corporativo

Saber como esses ataques funcionam já é metade da batalha. A outra metade é garantir que sua empresa não seja um alvo fácil.

Pegue o telefone

Se um e-mail pedir que você transfira dinheiro ou atualize dados de pagamento, não responda a ele. Ligue diretamente para a pessoa usando um número que você já tem, não o que veio no e-mail. Leva trinta segundos e é, de longe, a coisa mais eficaz que você pode fazer.

Ative a autenticação de dois fatores

Se um invasor obtiver as credenciais de login de alguém, a 2FA pode bloquear uma tomada completa da caixa de entrada. Isso não vai impedir tudo, mas torna o comprometimento da conta significativamente mais difícil.

Ensine sua equipe a reconhecer o que é normal

Treinamentos regulares sobre o que é BEC, como funciona e como são os sinais de alerta podem transformar seus funcionários em uma linha de defesa.

Deixe suas ferramentas fazerem parte do trabalho pesado

Filtros de spam e ferramentas de autenticação de domínio como SPF, DKIM, and DMARC podem filtrar tentativas de BEC antes que elas cheguem à sua equipe. A detecção baseada em IA vai um passo além. Ela aprende como é o comportamento normal de e-mail dentro da sua organização e sinaliza qualquer coisa suspeita.

Perguntas frequentes

Comprometimento de e-mail corporativo é quando um criminoso finge ser alguém em quem você confia por e-mail para enganar você e fazê-lo enviar dinheiro ou compartilhar informações sensíveis. Os invasores enviam um e-mail convincente que imita o tom dos e-mails da empresa e até vem de um endereço de e-mail corporativo.

Eles são relacionados, mas não são a mesma coisa. O phishing lança uma rede ampla, enviando e-mails genéricos para o maior número possível de pessoas. Os ataques BEC são direcionados. Os invasores pesquisam uma empresa específica, uma pessoa específica e um momento específico. O resultado é muito mais convincente e muito mais caro.

A maioria dos golpes de comprometimento de e-mail corporativo começa com pesquisa. Os invasores estudam a estrutura e a comunicação de uma empresa. Quando sabem o suficiente, eles falsificam um endereço de e-mail confiável ou assumem o controle de um endereço real.

Fraude do CEO. Um invasor se passa por um executivo sênior e pressiona alguém do financeiro a transferir dinheiro rapidamente. Funciona porque a maioria das pessoas não questiona um pedido urgente do chefe.

Sim. A proteção contra comprometimento de e-mail corporativo começa com as pessoas. Treine sua equipe para identificar os sinais de alerta, verificar solicitações de pagamento por telefone e usar ferramentas como 2FA e DMARC para tornar seu e-mail mais difícil de comprometer. Nenhuma medida isolada é infalível, mas a combinação certa torna você um alvo muito mais difícil.


Artigos sugeridos

Compartilhe seus pensamentos

São necessários mais de 10 caracteres.
Sua identidade para exibição pública.
Fornecer seu endereço de e-mail é opcional. Não será compartilhado com terceiros.

Ajude-nos a melhorar nosso blog

Compartilhe seus pensamentos em uma rápida pesquisa de dois minutos.

É necessário um e-mail válido