Guia Cibersegurança

Comprometimento do e-mail comercial: a fraude escondida na sua caixa de entrada

As perdas por comprometimento de e-mail comercial atingiram US$ 2,9 bilhões em um único ano, mas o ataque não contém malware, nem links maliciosos e nada que uma ferramenta de segurança possa sinalizar. Este guia explica o que é BEC, como os invasores constroem o contexto convincente que o faz funcionar e os controles específicos que reduzem sua exposição.

28 de maio de 2026
7 minutos de leitura
Principais conclusões
  • O BEC não contém malware ou links maliciosos, portanto, as ferramentas padrão de segurança de e-mail não o detectam
  • Os quatro principais tipos de ataque são fraude de CEO, fraude de fatura, comprometimento de conta e falsificação de advogado
  • Equipes financeiras, contabilidade e assistentes executivos são os alvos principais
  • DMARC em p=reject interrompe a falsificação de domínio exato, mas não impede domínios semelhantes
  • Um retorno de chamada telefônica para um número conhecido é o controle de processo mais confiável
  • Se uma transferência for realizada, entre em contato com seu banco em minutos, não em horas

O que é BEC e por que difere do phishing

O comprometimento de e-mail comercial é uma fraude financeira direcionada, entregue por e-mail. Um invasor se faz passar por uma pessoa confiável, como seu CEO, um fornecedor de longa data ou o escritório de advocacia de sua empresa, e convence alguém de dentro de sua organização a transferir fundos ou redirecionar um pagamento. O e-mail parece legítimo, a linguagem se adapta ao relacionamento e a solicitação chega em um momento plausível, geralmente na tarde de uma sexta-feira ou no meio do ciclo de pagamento.

Phishing e BEC compartilham o e-mail como canal de entrega, mas a mecânica é diferente. O phishing se espalha, envia milhões de mensagens e depende da escala. Ele carrega uma carga útil: um link malicioso, um anexo infectado ou uma página de coleta de credenciais. Antivírus, gateways de e-mail e sandbox capturam uma proporção significativa de phishing porque há algo para detectar. BEC é o oposto. O invasor envia um pequeno número de mensagens cuidadosamente pesquisadas, sem nenhuma carga técnica. Não há URL malicioso. Não há apego. O e-mail é um texto limpo e passa em todos os filtros de conteúdo.

O Centro de Queixas de Crimes na Internet (IC3) do FBI registrou US$ 2,9 bilhões em perdas de BEC em um único ano de relatório. O UK Finance informou que a fraude de pagamento push autorizada, a categoria que inclui a maioria dos resultados de BEC, custou às empresas do Reino Unido £ 239 milhões no mesmo período. Esses números refletem os casos relatados. O total verdadeiro é maior porque muitas organizações não relatam ou não percebem o que aconteceu.

US$ 2,9 bilhões
Perdas BEC relatadas ao FBI IC3 em um único ano
274%
aumento nas perdas expostas globais identificadas do BEC durante um período de três anos (FBI IC3)
62%
dos ataques BEC têm como alvo funcionários com acesso às finanças da empresa (Segurança Anormal)

Os quatro principais tipos de ataque

Os incidentes BEC seguem padrões reconhecíveis. Compreender o formato de cada um molda tanto seus controles técnicos quanto as mudanças de processo que sua equipe financeira precisa fazer.

Fraude do CEO

O invasor falsifica ou compromete o endereço de e-mail do CEO e envia uma mensagem diretamente para um membro da equipe financeira ou de contas a pagar. A mensagem solicita uma transferência bancária urgente, muitas vezes enquadrada em torno de uma aquisição urgente, um acordo confidencial ou um requisito legal. A urgência desencoraja o destinatário de seguir os procedimentos normais de aprovação. O CEO está “viajando” ou “indisponível para atender ligações”. A solicitação geralmente instrui o destinatário a não discutir a transferência com colegas.

A fraude do CEO funciona porque a autoridade e a urgência, juntas, suprimem o comportamento de verificação. Um funcionário que recebe uma solicitação direta do funcionário mais graduado da empresa, marcada como confidencial e urgente, enfrenta pressão social que faz com que a pausa pareça obstrutiva. Os invasores pesquisam a programação de viagens, o estilo de escrita e a linguagem típica do CEO nas postagens do LinkedIn, comunicados à imprensa e respostas de ausência do escritório antes de enviar uma única mensagem.

Fraude de fatura

O invasor se faz passar por um fornecedor que sua organização paga regularmente. A mensagem notifica sua equipe de contas sobre uma alteração nos dados bancários e solicita que todos os pagamentos futuros sejam transferidos para a nova conta. A falsificação de identidade tem como alvo fornecedores aos quais você paga grandes quantias, identificados pela análise de informações da empresa disponíveis publicamente, anúncios de compras ou avisos de contratos de construção.

A fraude nas faturas é a variante do BEC mais prejudicial financeiramente em grande escala porque os pagamentos são efetuados em circunstâncias rotineiras, processados ​​pelo pessoal que realiza seu trabalho normal. Não há gatilho de urgência e nem solicitação incomum. A única anomalia são os dados bancários alterados, e essa anomalia chega com uma explicação plausível: uma migração do sistema contabilístico, um novo parceiro bancário ou uma reestruturação empresarial.

Comprometimento da conta

Em ataques de comprometimento de contas, o invasor obtém acesso genuíno a uma conta de e-mail legítima, geralmente por meio de uma campanha de phishing de credenciais ou de uma violação de dados que expôs uma senha. De dentro de uma conta real, o invasor monitora e-mails durante semanas antes de agir, identificando relações de pagamento, fluxos de trabalho de aprovação e padrões de linguagem do proprietário da conta. Quando chega uma fatura ou solicitação de pagamento real, o invasor a intercepta e a redireciona.

Essa variante é a mais difícil de detectar porque o e-mail vem da conta real com o nome de exibição real e uma conversa de e-mail autêntica. A verificação do remetente padrão falha. A única defesa no momento do ataque é o processo de retorno de chamada fora de banda, combinado com controles upstream que evitam que as contas sejam comprometidas.

Personificação de advogado

O invasor se faz passar por advogado, notário ou consultor jurídico, lidando com uma transação confidencial em seu nome. Esta variante visa diretamente proprietários de empresas e executivos, muitas vezes em torno de eventos genuínos de alto valor, como uma compra de propriedade, uma fusão ou um acordo legal. O “advogado” fornece instruções de pagamento para um depósito ou valor de liquidação e enfatiza a confidencialidade para dissuadir o alvo de discutir a transferência com terceiros.

A representação de advogado explora a deferência que muitas pessoas demonstram aos profissionais jurídicos e as genuínas obrigações de confidencialidade que cercam as transações jurídicas. Os alvos geralmente recebem essas mensagens quando já estão no meio de uma transação estressante e esperando a chegada de instruções de pagamento.

Sinais de alerta comuns

Cada tentativa de BEC partilha algumas características estruturais: um pedido de acção financeira, pressão de tempo, uma razão para contornar o processo normal e uma instrução para manter a comunicação privada. Qualquer e-mail que combine dois ou mais desses elementos merece verificação antes de qualquer ação, independentemente de quão legítimo o remetente pareça.

Por que os serviços financeiros e a contabilidade são os principais alvos

Os ataques BEC seguem o dinheiro. As empresas de serviços financeiros, as práticas contabilísticas e os gestores de património atraem atenção desproporcional por três razões.

Primeiro, eles processam grandes transferências rotineiramente. Um pagamento de 250.000 euros que desencadearia múltiplas etapas de aprovação numa empresa de produção é uma transação diária normal para uma empresa de contabilidade que gere fundos de clientes. O limite acima do qual a equipe financeira faz uma pausa e verifica é mais alto, e os invasores sabem disso.

Em segundo lugar, detêm dinheiro em nome de terceiros. Um escritório de advocacia que detém fundos de contas de clientes ou um gestor de ativos que executa instruções de investimento movimenta dinheiro a pedido do cliente, sem os mesmos controles organizacionais que se aplicam aos pagamentos internos. Um invasor que convence um advogado de transferência de que um cliente alterou sua conta de conclusão pode interceptar a compra de uma propriedade inteira.

Terceiro, são ricos em informação pública. Arquivos regulatórios, registros da Companies House, perfis LinkedIn e anúncios de clientes facilitam a identificação de quem lida com os pagamentos, quem são os sócios seniores e quais relacionamentos com clientes estão ativos. Isto reduz o tempo de reconhecimento necessário antes de um ataque para horas, em vez de dias.

As empresas regulamentadas também enfrentam uma dimensão de conformidade. Um ataque BEC bem-sucedido que resulte na perda de fundos do cliente aciona obrigações regulatórias de relatórios sob as regras FCA e requisitos do DNB na Holanda. A exposição reputacional e regulatória agrava a perda financeira direta.

BEC não invade seu sistema. Ele entra pela porta da frente convencendo alguém a mantê-la aberta.

Como os invasores constroem credibilidade

Um e-mail BEC que parece uma tentativa genérica de fraude falha. Os invasores investem tempo real na construção do contexto que faz com que as solicitações pareçam rotineiras.

Falsificação de domínio e domínios semelhantes

A técnica mais simples é a falsificação de nome de exibição: o invasor define o nome de exibição como "Sarah Mitchell, CFO", enquanto o endereço de envio real é uma conta descartável do Gmail. A maioria dos clientes de e-mail mostra o nome de exibição com destaque; o endereço real requer um clique deliberado para inspecionar. Sem a aplicação do DMARC no seu domínio, a falsificação de domínio exato também é possível. O invasor envia de sarah.mitchell@suaempresa.nl e o e-mail chega parecendo vir de seu próprio domínio.

Domínios semelhantes exigem mais investimento, mas ignoram totalmente o DMARC. O invasor registra yourcompany-accounts.nl, yourcompany-invoices.nl ou yourcornpany.nl (com um caractere substituído). Esses domínios passam nas verificações de autenticação de e-mail porque possuem registros DNS legítimos. O servidor de e-mail receptor não tem base para rejeitá-los por motivos técnicos.

Manipulação de cabeçalho de email

A manipulação de resposta é uma técnica que permite que os invasores usem um endereço de convincente enquanto roteiam as respostas para um endereço que eles controlam. O e-mail parece chegar de ceo@yourcompany.nl, mas se o destinatário clicar em Responder, a mensagem vai para ceo-urgent@gmail.com. Os destinatários raramente inspecionam o cabeçalho de resposta antes de responder. Em diversas trocas, a conversa passa inteiramente para o endereço controlado pelo invasor.

Pesquisa OSINT e LinkedIn

A coleta de inteligência de código aberto leva de 30 a 60 minutos para os invasores por alvo. LinkedIn mostra os nomes e funções da equipe financeira, quem se reporta a quem e promoções recentes. As ofertas de emprego revelam o software que sua equipe de contas a pagar usa. Os comunicados de imprensa nomeiam seus principais fornecedores. A recente palestra de um CEO dá ao invasor seu vocabulário e estilo de comunicação. As respostas fora do escritório confirmam as datas da viagem e fornecem o nome do colega que cuida das coisas na sua ausência, que então se torna o próximo alvo.

83%
dos ataques BEC não envolvem link ou anexo malicioso (Proofpoint State of the Phish)
19 dias
tempo médio de permanência em contas de e-mail comprometidas antes que os atores do BEC tomem uma atitude

Controles técnicos que reduzem a exposição

Os controles técnicos não param o BEC por si só, mas vários eliminam vetores de ataque inteiros e reduzem significativamente as opções do invasor.

DMARC, DKIM e FPS

SPF (Sender Policy Framework) lista os servidores de e-mail autorizados a enviar e-mails em nome do seu domínio. DKIM (DomainKeys Identified Mail) adiciona uma assinatura criptográfica às mensagens de saída que os servidores receptores podem verificar. DMARC (Autenticação, Relatório e Conformidade de Mensagens Baseadas em Domínio) une tudo isso e informa aos servidores de recebimento de e-mail o que fazer quando uma mensagem falha: nada (p=nenhum), colocá-la em quarentena (p=quarentena) ou rejeitá-la completamente (p=rejeitar).

Publique registros SPF e DKIM para todos os domínios que sua organização usa, incluindo domínios que não enviam e-mails. Um domínio não utilizado sem registro SPF é um recurso de falsificação gratuito para invasores. Defina DMARC como p=reject em todos os domínios. Em p=nenhum ou p=quarentena, o DMARC fornece relatórios, mas não proteção. P = rejeitar é a única configuração que impede que a falsificação de domínio exato chegue às caixas de entrada.

Verifique seu status atual do DMARC com uma ferramenta como Inspetor DMARC do dmarcian. Muitas organizações que acreditam que o DMARC está em vigor descobrem que está definido como p=nenhum, apenas relatórios, sem aplicação.

MFA em todas as contas de e-mail

A autenticação multifator no Microsoft 365, Google Workspace ou qualquer plataforma de e-mail fecha o vetor de comprometimento da conta. Um invasor que obtiver uma senha por meio de uma campanha de phishing ou de despejo de credenciais não poderá acessar a conta sem o segundo fator. Aplique o MFA para todos os usuários com acesso ao e-mail comercial, incluindo caixas de correio compartilhadas e contas de serviço. As políticas de acesso condicional no Microsoft Entra ID podem impor o MFA com base no nível de risco de login, bloqueando o acesso de locais ou dispositivos desconhecidos sem exigir o desafio completo do MFA para cada login de um dispositivo conhecido.

Avisos de banner de e-mail para remetentes externos

Configure sua plataforma de e-mail para adicionar um banner visível a todas as mensagens que chegam de fora da sua organização. Um banner que diz “Este e-mail foi originado fora da sua organização” dá ao destinatário uma dica visual para inspecionar o endereço do remetente antes de agir. Essa única alteração de configuração, disponível no Microsoft 365 e no Google Workspace sem custo adicional, elimina a ambiguidade que torna eficaz a falsificação de nomes de exibição. O destinatário vê o indicador de origem externa e sabe verificar se o endereço corresponde ao nome.

Monitoramento de registros de domínios semelhantes

Serviços como plataformas de relatórios DomainTools, Brandwatch ou DMARC revelam domínios recém-registrados que se parecem muito com seu. Um alerta diário para domínios que contenham o nome da sua empresa oferece visibilidade antes do lançamento de uma campanha de ataque. Algumas organizações usam essas informações para registrar preventivamente variantes comuns do typosquat de seu próprio domínio, removendo totalmente o recurso do uso do invasor.

Controles de processo

Os controles técnicos reduzem a superfície de ataque. Os controles de processo detectam os ataques que passam de qualquer maneira. Para o BEC, a camada de processo é mais importante do que qualquer outra categoria de ameaça.

Retornos de chamada de verificação para alterações de pagamento

Cada solicitação para alterar detalhes de pagamento de um fornecedor, cliente ou funcionário deve acionar um retorno de chamada obrigatório antes que a alteração entre em vigor. O retorno de chamada vai para um número de telefone já registrado, recuperado de seus registros existentes, e não do e-mail que solicitou a alteração ou dos dados de contato atualizados fornecidos pelo solicitante. Este procedimento único impede fraudes em faturas e a maioria dos ataques de comprometimento de contas. Não requer tecnologia. Requer uma política escrita, formação e uma cultura em que os funcionários se sintam capazes de tomar a decisão sem serem vistos como obstrutivos.

Autorização dupla para transferências de alto valor

Defina um limite acima do qual qualquer pagamento requer aprovação de dois indivíduos autorizados separados, com ambas as aprovações registradas. O limite deve refletir seu perfil de pagamento típico: para a maioria das PME, qualquer valor acima de 5.000 euros merece uma segunda análise. Os dois aprovadores devem receber uma confirmação independente da solicitação de pagamento, de preferência por meio de um canal separado do e-mail que originou a solicitação. A fraude do CEO funciona precisamente porque normalmente ignora o segundo aprovador, enquadrando a solicitação como confidencial. Uma política escrita que declare que nenhuma directiva executiva substitui a autorização dupla elimina essa superfície de ataque.

Janelas de confirmação de instruções de pagamento

Crie uma janela de confirmação de 24 horas em seu processo de contas a pagar para pagamentos iniciais a novos beneficiários e para qualquer pagamento acima de um limite definido. Uma retenção automática, em vez de processamento imediato, dá tempo para que o procedimento de retorno de chamada seja concluído antes da movimentação dos fundos. Muitas plataformas bancárias empresariais suportam regras de pagamento que sinalizam novos beneficiários ou transações de alto valor para revisão manual. Configure essas regras e teste-as periodicamente.

Treinamento de pessoal

As equipes financeiras e os assistentes executivos precisam de treinamento baseado em cenários, e não de slides anuais de conformidade. Acompanhe-os por exemplos reais de e-mail BEC, mostre-lhes como inspecionar os cabeçalhos dos remetentes no Outlook e no Gmail, execute um exercício simulado de BEC visando uma solicitação de pagamento plausível e avalie quantas pessoas teriam processado a transferência. O resultado desse exercício define sua linha de base e identifica os indivíduos que precisam de treinamento adicional.

O que fazer se você for atingido

A velocidade determina o resultado. A janela na qual uma transferência fraudulenta pode ser recuperada fecha rapidamente, normalmente dentro de uma a quatro horas após os fundos saírem da sua conta. No momento em que alguém na sua organização percebe que um pagamento foi para uma conta fraudulenta, três coisas devem acontecer em paralelo.

Ligue para seu banco imediatamente. Não envie um e-mail nem envie uma solicitação do portal. Ligue diretamente para a linha antifraude do banco, usando o número da documentação da sua conta ou o verso do seu cartão bancário comercial. Peça-lhes que levantem um sinalizador de Confirmação do Beneficiário e, se seu banco participar do esquema Financial Fraud Kill Switch do Reino Unido, solicite a ativação. Nos Países Baixos, contacte a equipa antifraude do seu banco e solicite um cancelamento urgente da transferência de saída ao abrigo dos procedimentos de cancelamento SEPA. Os bancos holandeses são obrigados a agir em relação aos pedidos de recall dentro dos prazos definidos nos termos das disposições do PSD2.

Preservar todas as evidências. Não exclua, mova ou altere e-mails, itens enviados ou conversas relacionadas ao pagamento fraudulento. Encaminhe os e-mails fraudulentos para uma pasta de evidências dedicada e anote a hora, o endereço do remetente e o conteúdo de cada mensagem na cadeia. Sua seguradora e as autoridades policiais precisarão disso. Coloque em quarentena todas as contas de e-mail que possam ter sido comprometidas.

Reporte às autoridades e reguladores. Nos Países Baixos, apresente um relatório à polícia (politie.nl) e notifique a Unidade de Inteligência Financeira Holandesa (FIU-Nederland) se estiverem envolvidos fundos de clientes. No Reino Unido, informe a Action Fraud pelo telefone 0300 123 2040 e preencha uma denúncia online em actionfraud.police.uk. Se você for uma empresa regulamentada sob supervisão FCA ou AFM, avalie suas obrigações de notificação. Uma perda material que afeta o dinheiro do cliente normalmente aciona a necessidade de notificar seu regulador dentro de prazos definidos.

Envolva seu provedor de seguro cibernético paralelamente a essas etapas. A maioria das apólices de seguro cibernético cobre perdas financeiras relacionadas ao BEC e fornece acesso a agentes de resposta a incidentes e aconselhamento jurídico. Revise sua política antes de um incidente para saber qual é sua janela de notificação e para qual parceiro de resposta ligar.

Após a resposta imediata, encomende uma investigação sobre o sucesso do ataque. Foi uma conta comprometida, um domínio semelhante ou uma falha no processo? A resposta determina o que você corrige. Uma revisão pós-incidente dentro de 72 horas, enquanto os detalhes estiverem atualizados, deverá produzir um relatório escrito de conclusões e um plano de ação de remediação com proprietários e prazos nomeados.

Perguntas frequentes

Como posso saber se um e-mail BEC é falso?

Verifique o endereço de envio real, não apenas o nome de exibição. Os invasores definem o nome de exibição para corresponder ao seu CEO ou fornecedor conhecido, mas o endereço subjacente é um domínio semelhante ou uma conta de webmail gratuita. Passe o mouse sobre o campo do remetente ou visualize os cabeçalhos das mensagens para ver o endereço real. Outros indicadores incluem urgência inesperada, uma solicitação para ignorar as etapas normais de aprovação, instruções de pagamento diferentes dos dados bancários conhecidos do fornecedor e um endereço de resposta diferente do endereço de origem. Em caso de dúvida, ligue diretamente para a pessoa através de um número que você já possui em arquivo, e não de um número fornecido no e-mail.

O BEC visa apenas grandes empresas?

Não. Os dados IC3 do FBI mostram consistentemente que as PME são visadas com a mesma frequência que as empresas. Os invasores escolhem os alvos com base no tamanho do pagamento que podem interceptar e na facilidade de manipulação, e não no número de funcionários. Uma empresa de contabilidade com 20 pessoas que processa fundos de clientes ou um pequeno fabricante que paga fornecedores estrangeiros apresenta a mesma exposição financeira que uma empresa muito maior. Organizações menores normalmente possuem menos controles de verificação, o que facilita a execução do ataque.

Qual é a diferença entre BEC e phishing?

O phishing entrega malware ou coleta credenciais em grande escala por meio de campanhas de e-mail em massa. BEC é direcionado à engenharia social sem carga técnica. Não há nenhum link malicioso, nenhum anexo infectado e nenhum código para o antivírus detectar. O invasor se faz passar por uma pessoa de confiança e depende de convencer o destinatário a realizar uma ação financeira específica. Essa distinção é importante para as defesas: o BEC ignora a maioria dos gateways de segurança de endpoint e de e-mail que verificam conteúdo malicioso, porque o e-mail em si está limpo.

Podemos recuperar fundos após uma transferência BEC?

A recuperação é possível, mas requer velocidade. Entre em contato com seu banco poucos minutos após descobrir a transferência, antes que os fundos sejam transferidos para uma conta mule e sejam transferidos novamente. Muitos bancos participam do Financial Fraud Kill Switch, que pode congelar as transferências de saída quando comunicadas com rapidez suficiente. Na Holanda, apresente-se ao seu banco e apresente um relatório à polícia e à Unidade Holandesa de Inteligência Financeira (FIU-Nederland). No Reino Unido, informe a Action Fraud (0300 123 2040) e a equipe de fraude do seu banco simultaneamente. As taxas de recuperação caem drasticamente quando os fundos saem da primeira conta receptora, portanto os primeiros 30 minutos são mais importantes do que qualquer outra coisa.

O DMARC interrompe os ataques BEC?

O DMARC interrompe e-mails que falsificam seu domínio exato. Se um invasor enviar um e-mail que parece vir de your-company.nl e você tiver o DMARC definido como p=reject, esse e-mail não chegará aos destinatários. O DMARC não impede ataques de domínios semelhantes, onde o invasor registra your-c0mpany.nl ou yourcompany-invoices.nl e envia a partir daí. Esses domínios têm seus próprios registros DNS e passarão nas verificações de autenticação. O DMARC é um controle necessário, mas funciona junto com os controles de processo, e não como um substituto deles.

Fale com Cyvra

Preocupado com a exposição a fraudes por e-mail?

Avaliamos sua configuração de autenticação de e-mail, executamos exercícios de simulação BEC para equipes financeiras e projetamos os controles de processo que mantêm os pagamentos seguros.

Isenção de responsabilidade: Este artigo é apenas para fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. Cyvra não oferece nenhuma garantia quanto à precisão ou integridade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais atuais. Os leitores devem procurar aconselhamento jurídico e regulamentar independente, adequado às suas circunstâncias específicas. Cyvra não se responsabiliza por qualquer perda decorrente da confiança neste conteúdo.