O que é BEC (Business Email Compromise) ou Fraude do CEO?

Atualizado em: 01 Oct, 2019
Por Gatefy

O que é BEC (Business Email Compromise) ou Fraude do CEO

O BEC (Business Email Compromise) é uma fraude avançada e uma das principais ameaças a empresas e e-mails corporativos. É um tipo de ataque de spear phishing. O BEC também é conhecido como Fraude do CEO e golpe do Man-in-the-Email.

Como o BEC funciona

Um golpe de BEC funciona da seguinte maneira: alguém se faz passar por um funcionário, diretor, executivo ou até mesmo o CEO da empresa para ganhar dinheiro ou roubar informações confidenciais. O criminoso tenta atrair e induzir funcionários, parceiros e clientes a tomar alguma ação específica, como o pagamento de uma conta falsa via transferência eletrônica ou boleto bancário.

Em alguns casos, o invasor compromete uma conta de e-mail corporativa, enquanto, em outros, simplesmente cria um endereço de e-mail semelhante, parecido com o original. Em seguida, ele falsifica e personifica a identidade do proprietário do e-mail.

A definição do FBI para golpes de BEC

O FBI tem uma definição menos ampla e mais direta para o Business Email Compromise:

“Um golpe sofisticado que visa empresas que trabalham com empresas e fornecedores estrangeiros que realizam pagamentos por transferência bancária. O golpe é realizado por meio do comprometimento de contas de e-mail, utilizando engenharia social ou técnicas de intrusão de computadores, para realizar transferências não autorizadas de fundos ”.

BEC, malware e engenharia social

Sim, em geral, os golpes de BEC envolvem malware e engenharia social.

A engenharia social é usada porque, antes de colocar a fraude em prática, os criminosos fazem um estudo aprofundado de suas vítimas. Eles fazem pesquisas em websites e em redes sociais para entender o perfil do executivo, da empresa e de quem mais for alvo da fraude, como funcionários e parceiros. O objetivo é construir o golpe mais convincente possível.

O malware também é utilizado porque, em muitos casos, os e-mails de BEC induzem as vítimas a clicar em links e anexos maliciosos. Frequentemente, o clique leva ao download de um malware, que permitirá ao hacker acessar o dispositivo da vítima e até obter controle sobre ele.

Quem é o alvo de ataques de BEC?

Muitas pessoas supõem que o BEC, por ser uma fraude avançada, é destinado quase exclusivamente às grandes empresas, às multinacionais. Mas isto está errado. Como o FBI aponta, "o esquema de BEC varia de pequenas empresas a grandes corporações". Além disso, todos os setores e tipos de empresas são potenciais alvos.

O que podemos assegurar é: as vítimas mais comuns de BEC são empresas que utilizam transferência eletrônica. Além do e-mail, os fraudadores também podem tentar aplicar golpes semelhantes por meio de telefonemas ou mensagens de texto.

Diferentes cenários de BEC

Com base no FBI, existem 5 cenários principais de BEC.

1. Fraude do CEO. É quando o criminoso se faz passar por diretores ou executivos de alto nível, como CEO (Chief Executive Officer) ou CFO (Chief Financial Officer). Esse tipo de fraude também é conhecido como Fraude do Executivo de Negócios (Business Executive Scam), Fraude de Mascaramento (Masquerading), e Fraude de Transferências na Indústria Financeira (Financial Industry Wire Fraud).

2. Conta de Funcionário Comprometida. Ela acontece quando um funcionário da empresa tem a sua conta de e-mail hackeada e o fraudador a usa para cometer crimes.

3. Esquema de Fatura Falsa. É quando os fraudadores se fazem passar por fornecedores e solicitam o pagamento de uma fatura nova e fraudulenta. Esse esquema também é conhecido como Fraude do Fornecedor (Supplier Swindle) e Golpe de Alteração de Fatura (Invoice Modification Scheme).

4. Representação de Advogado. Como o nome sugere, ela acontece quando alguém se faz passar por um advogado para pressionar e solicitar pagamentos e informações.

5. Roubo de Dados. É quando o principal interesse do criminoso são informações confidenciais que depois podem ser vendidas ou usadas de maneira inadequada e ilícita.

Como evitar golpes de Business Email Compromise

Por ser um golpe sofisticado, o BEC não é facilmente identificado por filtros de spam. É por isso que você precisa ir além de uma proteção básica e simples. Neste caso, as nossas três dicas de proteção mais importantes são:

1. Treinamento. Ensine a sua equipe a reconhecer e a lidar com ataques de phishing e spear phishing.

2. Autenticação. Exija autenticação multifator para processos importantes, como pagamentos por transferência bancária.

3. Software. Utilize um software de proteção de e-mail, como um Secure Email Gateway, com antispam, filtragem bayesiana (aprendizado de máquina), antivírus e sandbox.