O Business Email Compromise (BEC) é hoje uma das maiores fontes de perda financeira em cibersegurança: relatórios anuais do FBI Internet Crime Complaint Center (IC3) atribuem ao BEC dezenas de bilhões de dólares em prejuízos acumulados, superando em cifras muitas categorias de ataque baseadas em malware. E o mais desconcertante para times de segurança: quase nada disso depende de código malicioso.

Diferente de um ransomware ou de um trojan bancário, o BEC — traduzido como fraude do e-mail corporativo, e popularmente conhecido como "golpe do CEO" — é essencialmente um ataque de engenharia social conduzido por e-mail. O criminoso não invade o computador da vítima; ele invade a confiança dela. Um e-mail crível, no tom certo, no momento certo, pedindo uma transferência urgente ou a atualização de dados bancários de um fornecedor, é tudo de que ele precisa para desviar quantias que vão de alguns milhares a dezenas de milhões.

Este artigo detalha o que é BEC, seus principais tipos, a anatomia do golpe, por que ele atravessa filtros de e-mail tradicionais e — o mais importante para uma empresa de qualquer porte — quais controles técnicos e de processo efetivamente reduzem o risco e o que fazer quando a fraude já ocorreu.

O que é BEC

Business Email Compromise é uma fraude na qual o atacante se faz passar por uma pessoa ou entidade de confiança — um executivo, um fornecedor, um advogado, o departamento de RH — para induzir um colaborador a realizar uma ação financeira: transferir dinheiro, alterar dados de pagamento, comprar cartões-presente ou entregar informações sensíveis. O vetor é o e-mail, e o motor é a manipulação psicológica.

O que torna o BEC tão perigoso é a ausência de artefatos técnicos óbvios. Não há anexo infectado, não há link para um site de captura de credenciais, muitas vezes não há sequer um erro de português. É uma mensagem legítima em forma e ilegítima em intenção. Por isso o BEC é classificado, no framework MITRE ATT&CK, sob técnicas de phishing e de personificação (impersonation), e não sob execução de código.

Os principais tipos de BEC

O FBI e a CISA descrevem o BEC como uma família de fraudes com variações que compartilham a mesma lógica de personificação. As mais comuns em ambientes corporativos são:

  • CEO fraud (fraude do CEO): o atacante se passa por um alto executivo e ordena a um subordinado do financeiro uma transferência urgente e confidencial, geralmente ligada a uma suposta aquisição, pagamento sigiloso ou emergência. Explora hierarquia e medo de contrariar a liderança.
  • Fatura falsa / fraude de fornecedor (vendor/invoice fraud): o golpista personifica um fornecedor legítimo e envia uma fatura real ou levemente adulterada, informando que "os dados bancários mudaram". O pagamento, que iria para o fornecedor, cai na conta do criminoso. É a variante que produz os maiores valores unitários.
  • Desvio de folha / fraude de RH (payroll diversion): personificando um funcionário, o atacante solicita ao RH a alteração dos dados de depósito do salário para uma nova conta. O funcionário só percebe quando o pagamento não chega.
  • Comprometimento de conta real (Account Compromise): aqui há de fato invasão — o atacante obtém acesso à caixa de e-mail legítima de um colaborador (via phishing de credenciais ou senha vazada) e opera de dentro. Como as mensagens partem do endereço verdadeiro, esse é o subtipo mais difícil de detectar.
  • Personificação de advogado (attorney impersonation): o criminoso finge ser um representante jurídico tratando de assunto confidencial e sensível ao tempo, pressionando por sigilo e rapidez.

Anatomia de um ataque BEC

Um golpe de BEC bem-sucedido raramente é improviso. Ele segue etapas reconhecíveis, o que também significa que há pontos de interrupção em cada uma delas.

1. Reconhecimento

O atacante mapeia a organização: quem é o CEO, quem é o CFO, quem paga contas, quais são os fornecedores, quando há viagens ou fechamentos de mês. Boa parte dessa inteligência vem de fontes abertas — LinkedIn, site da empresa, notas de imprensa — e de dados vazados em incidentes anteriores.

2. Estabelecimento do canal — spoofing ou lookalike

Com o alvo mapeado, o criminoso cria o meio de contato. Pode ser spoofing (falsificar o campo "De" para exibir o e-mail real do executivo), um domínio parecido ("lookalike", como decripte-io.com no lugar de decripte.io, ou trocando um "l" por "1"), ou o uso de uma conta legítima já comprometida.

3. Gatilho de urgência e autoridade

A mensagem é construída para desligar o pensamento crítico. Urgência ("preciso disso ainda hoje"), autoridade ("é uma ordem da diretoria"), sigilo ("não comente com ninguém, é confidencial") e uma janela de tempo curta são as alavancas psicológicas clássicas descritas na literatura de engenharia social.

4. A troca de dados e a execução

O pedido concreto quase sempre envolve dinheiro em movimento: transferência para uma nova conta, alteração de dados bancários de fatura, ou compra de cartões-presente. Uma vez feito o pagamento, os fundos são rapidamente pulverizados por contas-laranja e, muitas vezes, convertidos, tornando a recuperação uma corrida contra o relógio.

Por que o BEC passa pelos filtros de segurança

Gateways de e-mail, antivírus e sandboxes foram desenhados para detectar o que é tecnicamente malicioso: anexos executáveis, macros, URLs de phishing, assinaturas conhecidas. O BEC, deliberadamente, não traz nada disso. Uma mensagem em texto puro, sem link e sem anexo, dizendo apenas "você pode processar um pagamento urgente para mim?", é indistinguível de um e-mail corporativo legítimo aos olhos de um filtro baseado em conteúdo malicioso.

Some-se a isso o subtipo de conta comprometida, em que a mensagem parte de um remetente autenticado e confiável, e fica claro por que o controle não pode ser apenas tecnológico de perímetro. O BEC ataca o processo e a pessoa — e é ali que a defesa precisa estar. Veja como cada tipo se manifesta e qual controle o neutraliza:

Tipo de BECSinal de alertaControle recomendado
CEO fraudOrdem de pagamento urgente e sigilosa vinda da "diretoria", fora do fluxo normalAlçadas e dupla aprovação; verificação fora de banda com o executivo
Fatura falsa / fornecedorAviso de "mudança de dados bancários" em fatura ou e-mail de fornecedorConfirmação por canal conhecido (telefone cadastrado) antes de alterar conta
Desvio de folha (RH)Pedido de troca de conta de depósito de salário por e-mailVerificação de identidade multicanal e política formal de alteração cadastral
Comprometimento de conta realRegras de encaminhamento ocultas, logins de local incomum, e-mails "internos" atípicosMFA, detecção de anomalia de login e revisão de regras de caixa
Domínio lookalike / spoofingDomínio quase idêntico ao real; falha de autenticação do remetenteDMARC em política de rejeição, SPF e DKIM

Defesas contra BEC

Uma estratégia eficaz combina camadas técnicas, de processo e humanas. Nenhuma delas sozinha resolve.

Autenticação de e-mail: SPF, DKIM e DMARC

Esses três protocolos são a base técnica contra spoofing de domínio. O SPF declara quais servidores podem enviar e-mail em nome do seu domínio; o DKIM assina criptograficamente as mensagens; e o DMARC instrui os provedores sobre o que fazer quando SPF ou DKIM falham. Manter o DMARC em política de rejeição (p=reject), e não apenas em monitoramento, impede que domínios falsificados cheguem à caixa de entrada dos seus colaboradores. A CISA recomenda explicitamente essa configuração para organizações.

Verificação fora de banda para mudanças financeiras

Esta é, isoladamente, a defesa mais eficaz contra a fraude de fornecedor. Toda mudança de dados bancários e toda transferência acima de um limite devem ser confirmadas por um canal diferente do e-mail — de preferência uma ligação para um número já cadastrado, nunca para o número que veio no próprio e-mail suspeito. Se o pedido veio por e-mail, a verificação não pode ser por e-mail.

Alçadas e dupla aprovação de pagamento

Nenhuma transferência relevante deveria depender de uma única pessoa. Aprovação por duas pessoas (segregação de funções), limites por valor e um processo formal que não pode ser "furado" por urgência retiram do atacante justamente a alavanca que ele mais explora: a decisão solitária e apressada.

Treinamento e cultura

Como o BEC ataca pessoas, a conscientização é controle de primeira linha. Colaboradores do financeiro e do RH precisam saber que "urgência + sigilo + mudança de conta" é um padrão de alerta, e que checar não é desconfiança — é procedimento. Combine isso com as práticas de defesa contra phishing, já que o comprometimento de conta real quase sempre começa por um phishing de credenciais.

Detecção de anomalia

Ferramentas modernas de segurança de e-mail e de identidade detectam sinais que fogem ao filtro tradicional: um remetente que nunca escreveu antes pedindo dinheiro, um login de país incomum, a criação de regras de encaminhamento automático (técnica clássica de quem comprometeu uma conta), ou linguagem típica de fraude. MFA em todas as caixas de e-mail corta pela raiz o subtipo mais perigoso, o da conta comprometida.

Resposta: o que fazer quando o golpe acontece

A velocidade define se o dinheiro volta ou não. Se sua organização caiu em um BEC:

  • Acione o banco imediatamente. Solicite o congelamento e a tentativa de recall/estorno da transferência. As primeiras horas são decisivas — quanto antes, maior a chance de reter os fundos antes da pulverização.
  • Notifique as autoridades. Nos EUA, o FBI orienta registrar a ocorrência no IC3 (ic3.gov), que opera um mecanismo de recuperação de fundos (Financial Fraud Kill Chain). No Brasil, registre boletim de ocorrência e acione a autoridade competente; comunique também o banco recebedor.
  • Preserve evidências. Guarde os e-mails originais com cabeçalhos completos, logs de acesso e detalhes da transação — são essenciais para investigação e para eventual recuperação.
  • Contenha o comprometimento. Se houve invasão de conta, force troca de senhas, revogue sessões, ative MFA e verifique regras de encaminhamento maliciosas.
  • Comunique internamente e reveja o processo. Alerte os times de risco para que o mesmo vetor não seja explorado de novo enquanto o incidente é tratado.

BEC é um risco de processo, não só de tecnologia

A lição central do BEC é que a segurança de uma empresa moderna não termina no firewall. Um controle financeiro simples — confirmar por telefone toda mudança de conta bancária — evita fraudes que nenhum antivírus jamais deteria. Para uma organização de 1 ou de 100 mil colaboradores, o desafio é o mesmo em natureza, mudando apenas em escala: alinhar autenticação de e-mail, disciplina de pagamento e cultura de verificação.

A Decripte ajuda empresas de todos os portes a mapear essa exposição, endurecer autenticação de e-mail, desenhar alçadas de pagamento e responder rápido quando um incidente ocorre. Comece grátis avaliando o risco da sua organização, ou conheça nossos planos para uma defesa contínua contra BEC e demais ameaças.

Referências

  • FBI Internet Crime Complaint Center (IC3) — Business Email Compromise / Internet Crime Report.
  • MITRE ATT&CK — Phishing (T1566) e Impersonation.
  • CISA — Orientações sobre autenticação de e-mail (SPF, DKIM, DMARC) e proteção contra phishing e BEC.