O comprometimento de e-mails corporativos é um dos ataques cibernéticos mais prejudiciais financeiramente que uma organização pode enfrentar, e um dos menos compreendidos. Ao contrário do ransomware, que se anuncia de forma ostensiva, o BEC opera silenciosamente, muitas vezes por semanas ou meses, explorando a confiança em vez da tecnologia para roubar dinheiro e dados.
De acordo com o Relatório Kaseya sobre a Situação dos MSPs de 2026, 44% dos MSPs relatam que pelo menos 10% de seus clientes sofreram um ataque cibernético em 2025, e o BEC é consistentemente um dos tipos de ataque mais comuns e onerosos por trás desses incidentes.
O Centro de Denúncias de Crimes na Internet (IC3) do FBI classifica consistentemente o BEC como uma das categorias de crimes cibernéticos mais onerosas. O FBI intitulou seu comunicado sobre o BEC de “O Golpe de US$ 55 Bilhões”, refletindo as perdas globais acumuladas de outubro de 2013 a dezembro de 2023. Em 2024, as denúncias de BEC resultaram em perdas ajustadas de US$ 2,77 bilhões somente nos EUA, em 21.442 incidentes relatados. O ataque funciona porque é enganosamente simples: sem malware, sem criptografia, sem exploração técnica, apenas um e-mail convincente de alguém em quem você confia.
Impedir os ataques BEC antes que eles lhe custem caro
O Kaseya INKY cada e-mail em relação aos padrões de comunicação da sua organização, sinalizando tentativas de suplantar identidade e solicitações anômalas que contornam os filtros tradicionais.
O que é o Business Email Compromise?
O BEC é um tipo de ataque fraudulento em que um agente mal-intencionado utiliza um e-mail com aparência legítima, proveniente de uma conta comprometida, um domínio falsificado ou um contato suplantado, para induzir alguém com autoridade financeira ou sobre dados a realizar uma ação prejudicial. Essa ação geralmente consiste em um pagamento fraudulento, uma transferência de dados confidenciais ou a divulgação de credenciais que possibilita acesso adicional.
O que distingue o BEC do phishing convencional é a segmentação e o objetivo. O phishing em massa lança uma ampla rede para obter credenciais. O BEC concentra-se em indivíduos específicos dentro de uma determinada organização e tem como objetivo gerar retorno financeiro imediato, geralmente na forma de transferência bancária, compra de cartão-presente, desvio de pagamentos de folha de pagamento ou alteração dos dados da conta de pagamento.
O BEC é por vezes denominado “Compromisso de Conta de E-mail” (EAC) quando o ataque envolve o comprometimento efetivo de uma conta real, em vez de falsificação ou suplantação de identidade. Ambos os termos descrevem a mesma categoria de ameaça e o mesmo risco financeiro.
Como funcionam os ataques BEC
Os ataques BEC seguem uma abordagem estruturada. Primeiramente, os invasores pesquisam a organização alvo, identificando os principais funcionários das áreas financeira, contábil, de RH e da alta administração por meio do LinkedIn, dos sites da empresa e das redes sociais. Eles mapeiam as relações: quem se reporta a quem, quem aprova os pagamentos e quem tem autoridade para alterar os detalhes dos pagamentos.
O acesso inicial pode ocorrer por meio de phishing, que compromete uma conta de e-mail real, ou por meio de falsificação de domínio, que cria um endereço de e-mail visualmente semelhante ao verdadeiro (por exemplo, [email protected] em vez de [email protected]). Uma vez dentro de uma conta legítima, os invasores costumam monitorar o e-mail discretamente por semanas, aprendendo os padrões de comunicação, os negócios em andamento e o estilo de linguagem da pessoa cuja identidade está sendo usurpada antes de dar início à fraude.
O ataque em si geralmente consiste em um único e-mail enviado no momento certo: “Por favor, atualize os dados da conta bancária para a fatura da Smith com as seguintes informações” ou “Você poderia processar urgentemente uma transferência bancária para esta aquisição? Estarei em reuniões o dia todo.” A combinação de aparente autoridade, urgência e contexto específico torna o pedido plausível. O intervalo de tempo entre o envio do e-mail e a descoberta da fraude costuma ser suficiente para que os fundos sejam transferidos de forma irrecuperável.
Os cinco cenários do BEC
O FBI identifica cinco tipos principais de ataques BEC:
A fraude do CEO consiste em se passar por um executivo sênior para pressionar um funcionário a realizar uma transferência fraudulenta ou a divulgar informações confidenciais. O pedido geralmente chega quando o executivo está viajando ou indisponível para verificar a situação.
O comprometimento de conta envolve o comprometimento efetivo de uma conta de e-mail comercial usada para solicitar pagamentos fraudulentos a fornecedores ou clientes do titular da conta. Ao contrário da suplantação de identidade, o e-mail é realmente enviado a partir da conta verdadeira.
O esquema de faturas falsas consiste em se passar por um fornecedor e solicitar o pagamento para uma nova conta bancária, interceptando assim um pagamento legítimo que já estava previsto.
A falsificação de identidade de advogado consiste em se passar por um profissional do direito para exigir informações confidenciais ou pagamentos urgentes relacionados a um processo judicial em andamento, aproveitando-se da relação de autoridade inerente à relação jurídica.
O roubo de dados tem como alvo os departamentos de RH ou financeiro para obter registros fiscais dos funcionários, informações sobre a folha de pagamento ou dados pessoais. Muitas vezes, isso serve como um passo preliminar para fraudes posteriores ou roubo de identidade, em vez de resultar em uma transferência financeira imediata.
Por que o BEC é tão difícil de detectar
O BEC contorna a maioria dos controles de segurança tradicionais, pois se baseia na engenharia social, e não em malware. Os filtros de segurança de e-mail não sinalizam uma mensagem proveniente de uma conta legítima que tenha sido comprometida. Nenhum anexo ou link malicioso aciona a proteção de terminais. A comunicação parece, em todos os aspectos técnicos, um e-mail comercial normal.
O desafio da detecção é de natureza comportamental: reconhecer que uma solicitação é inconsistente com o processo comercial normal, que a urgência é incomum ou que uma alteração na instrução de pagamento está chegando por um canal atípico. Trata-se de julgamentos humanos, e não técnicos, razão pela qual o BEC continua sendo eficaz mesmo em ambientes tecnicamente sofisticados.
O BEC aprimorado por IA está tornando isso mais difícil. Atualmente, os invasores utilizam IA para gerar correspondências que reproduzem com precisão o estilo de escrita de uma pessoa, com base no contexto real extraído de conversas de e-mail monitoradas. Os indícios que um leitor atento poderia ter percebido anteriormente — como frases ligeiramente incomuns ou linguagem genérica — estão cada vez mais ausentes nas tentativas modernas de BEC.
Como se proteger contra o BEC
Autenticação de e-mail. As políticas DMARC, DKIM e SPF impedem a falsificação de domínios. Uma política DMARC configurada para rejeitar impede que invasores enviem e-mails que pareçam ter sido enviados a partir do seu domínio. Isso resolve o problema da falsificação de identidade, mas não o da invasão de contas, razão pela qual são necessários controles em camadas.
Segurança de e-mail com inteligência artificial. Soluções como o Inky, incluídas no Kaseya 365 , utilizam inteligência artificial para analisar padrões de comunicação por e-mail e sinalizar anomalias: mensagens de novos remetentes que alegam ter autoridade executiva, solicitações que se desviam dos padrões normais de comunicação ou características que correspondem a perfis conhecidos de BEC. Ao contrário dos filtros baseados em assinaturas, a análise comportamental detecta solicitações contextualmente incomuns, mesmo quando provenientes de fontes que parecem legítimas.
Controles de processo para transações financeiras. A defesa mais eficaz contra fraudes de pagamento do tipo BEC é um controle de processo humano: verificação fora do canal normal por telefone para um número conhecido, e não para aquele fornecido no e-mail suspeito, antes de executar qualquer alteração na instrução de pagamento ou transferência bancária de grande valor. Não se deve autorizar transações financeiras acima de um limite definido apenas por e-mail.
Treinamento de funcionários. Os funcionários das áreas financeira e de assistência executiva, principais alvos do BEC, precisam de treinamento específico sobre cenários de BEC e os procedimentos de verificação que devem seguir ao receberem solicitações de pagamento incomuns. O treinamento geral de conscientização sobre phishing não abrange os manuais específicos do BEC que os invasores utilizam.
Monitoramento da dark web. Credenciais comprometidas que permitem a apropriação de contas (BEC) costumam aparecer em fóruns da dark web antes que os invasores as utilizem. Dark Web ID, disponível através da Kaseya, monitora continuamente as credenciais do seu domínio e fornece um alerta antecipado que permite que as senhas sejam redefinidas antes que as contas sejam exploradas.
Autenticação de dois fatores (MFA) em todas as contas de e-mail. O golpe BEC (Business Email Compromise) que envolve a invasão de contas requer acesso à conta comprometida. A MFA impede que o roubo de credenciais permita esse acesso. Mesmo que um invasor obtenha a senha por meio de phishing ou credential stuffing, ele não poderá fazer login sem o segundo fator.
Veja como Kaseya 365 combate o BEC por meio de segurança de e-mail com IA e monitoramento da dark web.
Pontos principais
- O BEC é uma das categorias de crimes cibernéticos mais onerosas em termos de perdas financeiras totais, causando bilhões em prejuízos anuais por meio de fraudes, e não de exploração técnica. O total acumulado do FBI de 2013 a 2023 é de US$ 55 bilhões.
- O BEC contorna os controles técnicos de segurança porque utiliza contas confiáveis ou suposições convincentes, em vez de malware ou anexos maliciosos.
- As defesas mais eficazes combinam controles técnicos (DMARC, segurança de e-mail com IA, MFA) com controles de processo (verificação fora de banda para transações financeiras) e treinamento direcionado aos funcionários.
- A IA está tornando o BEC mais difícil de detectar, ao gerar falsificações contextualmente precisas. A detecção exige cada vez mais o reconhecimento de anomalias comportamentais, em vez da análise de conteúdo.
