O que é BEC (Business Email Compromise) ou Fraude do CEO?
O BEC (Business Email Compromise) é uma fraude avançada e uma das principais ameaças a empresas e e-mails corporativos. É um tipo de ataque de spear phishing. O BEC também é conhecido como Fraude do CEO e golpe do Man-in-the-Email.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
Como o BEC funciona
Um golpe de BEC funciona da seguinte maneira: alguém se faz passar por um funcionário, diretor, executivo ou até mesmo o CEO da empresa para ganhar dinheiro ou roubar informações confidenciais. O criminoso tenta atrair e induzir funcionários, parceiros e clientes a tomar alguma ação específica, como o pagamento de uma conta falsa via transferência eletrônica ou boleto bancário.
Em alguns casos, o invasor compromete uma conta de e-mail corporativa, enquanto, em outros, simplesmente cria um endereço de e-mail semelhante, parecido com o original. Em seguida, ele falsifica e personifica a identidade do proprietário do e-mail.
A definição do FBI para golpes de BEC
O FBI tem uma definição menos ampla e mais direta para o Business Email Compromise:
“Um golpe sofisticado que visa empresas que trabalham com empresas e fornecedores estrangeiros que realizam pagamentos por transferência bancária. O golpe é realizado por meio do comprometimento de contas de e-mail, utilizando engenharia social ou técnicas de intrusão de computadores, para realizar transferências não autorizadas de fundos ”.
De acordo com um relatório do FBI, em 2019, os golpes do BEC/EAC chegaram a USD 1,7 bilhão em prejuízos. Foram relatados 23.775 casos.
BEC, malware e engenharia social
Sim, em geral, os golpes de BEC envolvem malware e engenharia social.
A engenharia social é usada porque, antes de colocar a fraude em prática, os criminosos fazem um estudo aprofundado de suas vítimas. Eles fazem pesquisas em websites e em redes sociais para entender o perfil do executivo, da empresa e de quem mais for alvo da fraude, como funcionários e parceiros. O objetivo é construir o golpe mais convincente possível.
O malware também é utilizado porque, em muitos casos, os e-mails de BEC induzem as vítimas a clicar em links e anexos maliciosos. Frequentemente, o clique leva ao download de um malware, que permitirá ao hacker acessar o dispositivo da vítima e até obter controle sobre ele.
Quem é o alvo de ataques de BEC?
Muitas pessoas supõem que o BEC, por ser uma fraude avançada, é destinado quase exclusivamente às grandes empresas, às multinacionais. Mas isto está errado. Como o FBI aponta, “o esquema de BEC varia de pequenas empresas a grandes corporações”. Além disso, todos os setores e tipos de empresas são potenciais alvos.
O que podemos assegurar é: as vítimas mais comuns de BEC são empresas que utilizam transferência eletrônica. Além do e-mail, os fraudadores também podem tentar aplicar golpes semelhantes por meio de telefonemas ou mensagens de texto.
Diferentes cenários de BEC
Com base no FBI, existem 5 cenários principais de BEC.
1. Fraude do CEO. É quando o criminoso se faz passar por diretores ou executivos de alto nível, como CEO (Chief Executive Officer) ou CFO (Chief Financial Officer). Esse tipo de fraude também é conhecido como Fraude do Executivo de Negócios (Business Executive Scam), Fraude de Mascaramento (Masquerading), e Fraude de Transferências na Indústria Financeira (Financial Industry Wire Fraud).
2. Conta de Funcionário Comprometida. Ela acontece quando um funcionário da empresa tem a sua conta de e-mail hackeada e o fraudador a usa para cometer crimes.
3. Esquema de Fatura Falsa. É quando os fraudadores se fazem passar por fornecedores e solicitam o pagamento de uma fatura nova e fraudulenta. Esse esquema também é conhecido como Fraude do Fornecedor (Supplier Swindle) e Golpe de Alteração de Fatura (Invoice Modification Scheme).
4. Representação de Advogado. Como o nome sugere, ela acontece quando alguém se faz passar por um advogado para pressionar e solicitar pagamentos e informações.
5. Roubo de Dados. É quando o principal interesse do criminoso são informações confidenciais que depois podem ser vendidas ou usadas de maneira inadequada e ilícita.
Como evitar golpes de Business Email Compromise
Por ser um golpe sofisticado, o BEC não é facilmente identificado por filtros de spam. É por isso que você precisa ir além de uma proteção básica e simples. Neste caso, as nossas três dicas de proteção mais importantes são:
1. Treinamento. Ensine a sua equipe a reconhecer e a lidar com ataques de phishing e spear phishing.
2. Autenticação. Exija autenticação multifator para processos importantes, como pagamentos por transferência bancária.
3. Software. Utilize um software de proteção de e-mail, como um Secure Email Gateway, com antispam, filtragem bayesiana (aprendizado de máquina), antivírus e sandbox.
