Fique atento a estes 5 tipos de golpes BEC

Setembro 29, 2022
Kaseya
Comprometimento de e-mail comercial

Qual é a maior ameaça cibernética que as empresas enfrentam? Não é o ransomware, embora esse tipo de ataque costume monopolizar as manchetes. É o comprometimento de e-mails corporativos (BEC). Às vezes chamado de comprometimento de contas de e-mail (EAC), o BEC pode levar a perdas comerciais potencialmente devastadoras. Infelizmente, a natureza camaleônica do BEC torna difícil para a maioria das vítimas identificá-lo. Esse é um problema sério, pois esse ataque pode causar danos enormes à receita, à reputação e à produtividade de uma empresa rapidamente. Esta análise do complicado mundo do BEC ajudará você a desenvolver e manter uma postura defensiva sólida contra a ameaça cibernética mais cara da atualidade.   

Pagamentos urgentes ou golpes de fatura  

A variante mais comum de ataque BEC é o golpe da fatura ou do pagamento urgente. Nesse cenário, os criminosos se fazem passar por representantes de uma empresa ou órgão governamental e informam à vítima que uma fatura deve ser paga imediatamente para evitar consequências negativas, como a interrupção do serviço telefônico. Normalmente, eles solicitam uma transferência bancária para uma conta bancária fraudulenta, mas, às vezes, os criminosos pedem que o pagamento seja feito por meio de um cartão-presente ou cartão pré-pago.  

Exemplos

  • O FBI recebeu muitas denúncias de fraudes de faturas de BEC relacionadas à COVID-19 direcionadas a grandes organizações de saúde. As vítimas recebiam mensagens alegando que uma fatura falsa deveria ser paga imediatamente para que a organização recebesse uma remessa de suprimentos médicos ou vacinas muito necessárias. As vítimas eram instruídas a pagar por transferência eletrônica. Obviamente, nenhum suprimento chegou a esses infelizes prestadores de serviços de saúde.  
  • Tanto o Facebook quanto o Google foram vítimas de golpes envolvendo faturas falsificadas perpetrados pelos mesmos cibercriminosos, o que resultou em perdas totais de cerca de US$ 121 milhões. O lituano Evaldas Rimasauskas e seus cúmplices criaram uma empresa falsa que utilizava o nome de um fornecedor de hardware real, a “Quanta Computer”. O grupo então apresentou ao Facebook e ao Google faturas fraudulentas, que foram prontamente pagas — diretamente em contas bancárias controladas pelos criminosos. 

Golpes de falsificação de identidade de executivos  

Os criminosos podem se passar por um executivo da empresa da vítima ou de outra organização para induzi-la a baixar um documento malicioso, enviar dinheiro, fornecer informações confidenciais, como dados financeiros, ou ajudá-los a acessar sistemas e dados restritos.  

Exemplos

  • Na fabricante de brinquedos Mattel, cibercriminosos que se passavam por executivos de uma empresa chinesa convenceram um executivo a aprovar um pagamento internacional de US$ 3 milhões para sua empresa falsa na China. O executivo logo descobriu que a empresa chinesa não existia e que havia transferido o dinheiro para os cibercriminosos.  
  • A Pathé, uma empresa francesa do setor cinematográfico, sofreu um ataque do tipo BEC, no qual os cibercriminosos se passaram pelo CEO da empresa. Os criminosos se passaram por executivos da divisão holandesa da empresa usando um endereço de e-mail semelhante ao domínio legítimo da empresa, pathe.com. Os fraudadores convenceram os executivos a transferir fundos para uma “nova” (fraudulenta) conta bancária para pagar pela suposta aquisição de uma empresa em Dubai, resultando em um prejuízo de US$ 21 milhões.  

Golpes de falsas declarações 

 Em um cenário de falsidade ideológica, os malfeitores visam funcionários de determinados departamentos com a intenção de enganá-los para que forneçam informações confidenciais ou pagamentos. Eles podem se passar por funcionários do governo ou até mesmo por executivos e colegas da organização do alvo.  

Exemplos

  • A instituição de caridade Save the Children perdeu US$ 1 milhão para o BEC. Nesse golpe, o invasor conseguiu obter acesso à conta de e-mail de um funcionário e a utilizou para enviar faturas falsas e outros documentos ao departamento de contabilidade da instituição, alegando que o dinheiro era necessário para pagar painéis solares inexistentes para uma clínica no Paquistão. O departamento de contabilidade não suspeitou de nada porque as faturas vieram de um endereço confiável. 
  • Em um incidente ocorrido no Snapchat, criminosos entraram em contato com um funcionário com acesso privilegiado do departamento de recursos humanos da empresa. Fingindo ser o CEO e solicitando informações para fins comerciais de rotina, os cibercriminosos conseguiram induzir o funcionário a enviar dados financeiros confidenciais, incluindo detalhes da folha de pagamento de funcionários atuais e ex-funcionários. A gigante da tecnologia Ubiquiti Networks foi vítima de um ataque BEC e sofreu perdas de US$ 46 milhões em 2015 depois que fraudadores se passando por funcionários convenceram outros funcionários do departamento financeiro a enviar dinheiro a eles sob pretextos que pareciam legítimos.  

Golpes com cartões-presente  

A urgência é uma característica marcante dos golpes envolvendo cartões-presente do tipo BEC. Os golpistas assustam suas vítimas, por exemplo, dizendo que a energia elétrica da empresa será cortada por falta de pagamento, a menos que paguem a conta imediatamente com um cartão-presente. A Comissão Federal de Comércio dos EUA apresenta vários exemplos de golpes envolvendo cartões-presente que já foram identificados.  

  • A vítima recebe um e-mail que se faz passar por uma agência governamental, geralmente a Receita Federal dos EUA ou a Administração da Previdência Social.  
  • Eles alegam que a vítima ou a empresa da vítima deve pagar impostos ou uma multa e que enfrentará consequências graves se o pagamento não for efetuado imediatamente.  
  • Um cibercriminoso envia uma mensagem fingindo ser do suporte técnico da Apple ou da Microsoft, alegando que há algum problema nos sistemas ou serviços da empresa e que a vítima deve pagar para que o problema seja resolvido.  
  • Em um golpe comum e assustador envolvendo cartões-presente, os criminosos se fazem passar por representantes de uma empresa de serviços públicos, como uma concessionária de energia, ameaçando cortar o serviço se a vítima não pagar imediatamente.  
  • Os criminosos cibernéticos fingem ser clientes que afirmam ter enviado um pagamento incorreto e que estão devendo dinheiro, às vezes ameaçando com ações legais se o "pagamento a maior" não for devolvido rapidamente 

Fraude de credenciais ou informações  

Um golpe de BEC de comprometimento de credenciais começa com agentes mal-intencionados solicitando à vítima que forneça credenciais sob o pretexto de que ela perdeu as credenciais que já haviam sido fornecidas ou que não receberam as credenciais corretas para concluir uma tarefa. Ambas as variantes levam ao mesmo resultado: um malfeitor engana um funcionário para que ele dê acesso a sistemas, contas e dados que não deveria ter.  

Exemplos

  • O Twitter foi vítima de um ataque de BEC. Nesse incidente, os malfeitores fingindo ser empreiteiros de reparos contataram os funcionários do Twitter. Eles convenceram um funcionário do Twitter de que havia ocorrido uma confusão e que ele não havia recebido as credenciais corretas para acessar um sistema que precisava de reparos. Depois de obter as credenciais de acesso do funcionário crédulo, os criminosos cibernéticos conseguiram assumir o controle de contas pertencentes a celebridades, incluindo Donald Trump e Elon Musk, e usá-las para fins nefastos.  
  • Em fevereiro de 2021, o renomado empresário Obinwanne Okeke foi condenado a 10 anos de prisão por seu envolvimento em um esquema de BEC que causou prejuízos de pelo menos US$ 11 milhões às vítimas. Ao utilizar e-mails de phishing para obter as credenciais de login de executivos (incluindo o diretor financeiro da empresa britânica Unatrac Holding), ele conseguiu um acesso direto para realizar um ataque de BEC. 

Graphus as empresas contra o risco de BEC

A segurança de e-mail com tecnologia de IA Graphusé uma defesa eficaz contra ameaças de BEC como essas e outros ataques relacionados a phishing. Em comparação com a proteção de e-mail integrada ou um SEG, soluções automatizadas de segurança de e-mail baseadas em API, como Graphus que40% mais mensagens de spear phishingcheguem à caixa de entrada dos funcionários. Veja como:    

  • O TrustGraph é um poderoso escudo entre as caixas de entrada dos funcionários e as mensagens maliciosas. Essa tecnologia proprietária utiliza mais de 50 pontos de dados distintos para descobrir mensagens de phishing sofisticadas, até mesmo ataques de dia zero.     
  • O EmployeeShield exibe uma caixa brilhante e destacada em mensagens suspeitas, lembrando-os de serem cautelosos. Os funcionários podem designar uma mensagem como genuína ou maliciosa com um único clique.     
  • O Phish911 simplifica para os funcionários a denúncia de qualquer mensagem que eles não considerem segura. Quando um funcionário denuncia um e-mail potencialmente malicioso, a mensagem é imediatamente removida das caixas de entrada de todos.      
  • Implementação simples e integração sem esforço via API com o Microsoft 365 e o Google Workspace 
  • Metade do preço da concorrência 

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Obter uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e support dedicado support o seu negócio.

Conheça o Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSPs em 2026

Obtenha insights sobre MSPs para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter-se competitivo.

Faça o download agora

Explore as categorias

Fraude por e-mail empresarial (BEC): o que é e como evitá-la

O comprometimento de e-mail comercial (BEC) é um golpe relacionado a phishing que pode levar a perdas financeiras e de reputação para sua organização. Saiba como.

Leia a postagem do blog