Resumo Executivo do Relatório Global de Ameaças 2026 da CrowdStrike: o relatório definitivo de inteligência de ameaças para a era da IABaixe

O que é BEC?

O Comprometimento de e-mail corporativo (BEC) é uma técnica de ciberataque pela qual um adversário assume a identidade digital de uma pessoa confiável na tentativa de induzir um funcionário ou cliente a realizar uma ação desejada, como fazer um pagamento ou compra, compartilhar dados ou divulgar informações confidenciais.

De acordo com o Relatório do Congresso de 2022 do FBI sobre BEC e Fraude Eletrônica Imobiliária, o BEC é “um dos crimes na Internet que vem crescendo mais rapidamente e que causa mais danos financeiros”. Em 2021, as perdas declaradas ultrapassaram US$ 2,4 bilhões, um aumento de 566% desde 2016, de acordo com o Internet Crime Complaint Center (IC3). Espera-se que os casos de BEC aumentem devido à maior adesão ao trabalho remoto e, por extensão, à onipresença de canais de comunicação digitais, como o e-mail.

Diferença entre Comprometimento de conta de e-mail (EAC) e BEC

O Comprometimento de conta de e-mail (EAC) é uma técnica de ciber ataque na qual hackers utilizam uma variedade de métodos, incluindo engenharia social, malware ou ferramentas de quebra de senha, para comprometer uma conta de e-mail legítima.

Em muitos casos, o objetivo de um invasor BEC e de um invasor EAC é o mesmo: eles querem roubar dinheiro, dados ou outras informações confidenciais. No entanto, a principal diferença é que, em um ataque BEC, o hacker está apenas se passando por uma figura confiável, como um executivo de negócios, advogado ou fabricante importante, geralmente por meio de uma conta de e-mail que sofreu spoofing. Esse invasor tenta orientar um funcionário ou outra pessoa a realizar uma determinada ação, como transferir fundos para a conta do invasor.

Em ataques de EAC, no entanto, o invasor ataca uma conta de e-mail legítima e atua como o proprietário dessa conta. Com acesso a credenciais reais, o ator realiza atividades fraudulentas e contorna ferramentas de autenticação multifatorial (MFA).

Cinco tipos de golpes de BEC

De acordo com o FBI, existem cinco tipos principais de golpes de BEC:

1. Comprometimento de conta

Nesse cenário, a conta de e-mail de um funcionário é hackeada e usada como veículo para crimes financeiros ou relacionados a dados. Na maioria dos casos, o invasor usará a conta para solicitar pagamentos em nome do fabricante; esses fundos são então transferidos para a conta de propriedade ou controlada pelo invasor.

2. Representação de advogado

Um ataque de falsificação de identidade de advogado geralmente tem como alvo funcionários recém-contratados ou juniores. Nesse ataque, o hacker se passará por um advogado ou membro da equipe jurídica e pressionará ou manipulará o funcionário para que tome uma atitude, como enviar dados ou solicitar uma transferência eletrônica. Como a solicitação é geralmente considerada urgente, confidencial ou ambos, muitos funcionários novos ou relativamente inexperientes não sabem como validar a solicitação e a atendem para evitar consequências negativas.

3. Fraude de CEO

A fraude de CEO é semelhante a um ataque de falsificação de identidade de advogado, mas, neste caso, o invasor se passa pelo CEO. Na maioria dos casos, o invasor terá como alvo um membro da equipe financeira, novamente alegando que precisa de suporte imediato para um assunto confidencial ou urgente. Nesses casos, o funcionário é incitado a transferir dinheiro para uma conta controlada pelo invasor.

4. Roubo de dados

Um invasor de BEC também pode ter como alvo uma empresa para obter dados. Em um ataque de roubo de dados, o invasor geralmente tem como alvo os membros da equipe de RH ou finanças e tenta roubar informações pessoais sobre o funcionário ou cliente da empresa. Essas informações podem ser vendidas na dark web ou usadas para informar e promover ataques futuros.

5. Golpes de faturas falsas

Em um golpe de faturas falsas, o invasor se passa por fabricante e solicita pagamento de um funcionário por um serviço. Na maioria dos casos, o invasor se apresentará como um fabricante real e editará um modelo de fatura oficial do fabricante. No entanto, o invasor alterará os detalhes da conta para os fundos serem transferidos para uma conta de propriedade do hacker.

Como funciona um golpe de BEC?

A maioria dos golpes de BEC segue o mesmo processo, embora a identidade assumida pelo invasor e seus alvos possa variar.
EstágioDescrição
1. Pesquisa de identidadeUm invasor de BEC habilidoso conduz uma pesquisa completa do alvo desejado e determina qual identidade assumir em relação à ação que deseja inspirar. Por exemplo, se o golpista estiver buscando um lucro rápido, ele pode criar uma conta de e-mail muito parecida com a do CEO ou de outro executivo da empresa e solicitar que o funcionário compre e envie a ele vários vales-presente digitais como um “bônus” para uma equipe interna ou sinal de agradecimento a um fabricante. Golpes de BEC também podem ser muito mais elaborados. Por exemplo, um hacker pode se passar por um novo fabricante, como um provedor de folha de pagamento, e oferecer uma avaliação gratuita para serviços de folha de pagamento — apenas para roubar informações pessoais do funcionário ou até mesmo desviar contracheques durante uma avaliação gratuita.
2. Pesquisa de funcionáriosDepois que o hacker identifica a melhor técnica de ataque e a assume a identidade, ele deve realizar uma pesquisa sobre seus alvos. Isso pode envolver a exploração do website da empresa em busca de informações de contato ou para determinar o formato típico de endereço de e-mail. Além disso, podem aproveitar websites de redes sociais, como o LinkedIn, para pesquisar nomes e cargos de vários membros da equipe, bem como seus papéis e responsabilidades. Com uma pesquisa substancial, é possível que o invasor consiga identificar uma pessoa que já tenha lidado com solicitações semelhantes e legítimas no passado, ou um funcionário que talvez não esteja familiarizado com os processos e procedimentos da empresa.
3. Preparação para o ataqueCom a identidade e o alvo definidos, o invasor preparará outros componentes do ataque. Isso pode incluir a criação de uma conta de e-mail falsa, a publicação de um site falso da empresa, a criação de uma conta bancária, a criação de faturas ou qualquer outro ativo que o invasor precise para comprovar sua identidade ou a solicitação.
4. Execução do ataqueNa fase final, o invasor colocará seu plano em ação. Os golpistas de BEC usarão sua identidade digital para manipular ou pressionar a vítima a realizar uma ação desejada, muitas vezes inspirando uma falsa sensação de urgência para garantir que a pessoa aja de acordo com a solicitação sem discuti-la com outro funcionário ou pensar completamente no cenário. Se o invasor for bem-sucedido, o ataque terminará com a transferência de dinheiro, dados ou outras informações para o hacker.

3 Técnicas de BEC

Os invasores de BEC utilizam uma variedade de técnicas para realizar ataques. Três dos métodos mais comuns são:

  • Spoofing de domínio: o spoofing de domínio é uma forma de phishing em que um invasor se passa por uma empresa ou pessoa conhecida por meio de um site ou domínio de e-mail falso para enganar as pessoas e ganhar a confiança delas. Normalmente, o domínio parece legítimo à primeira vista, mas uma análise mais detalhada revelará que um W é, na verdade, dois Vs, ou um L minúsculo é, na verdade, um I maiúsculo. Usuários que respondem à mensagem ou interagem com o website são induzidos a revelar informações confidenciais, enviar dinheiro ou clicar em links maliciosos.
  • Engenharia social: engenharia social é o ato de manipular pessoas para que realizem uma ação desejada, como fornecer informações confidenciais. Os ataques de engenharia social funcionam porque os seres humanos são suscetíveis a agir ou reagir quando confrontados com fortes motivações, como dinheiro, paixão e medo. Os adversários exploram essas características oferecendo falsas oportunidades de satisfazer algum desses desejos quase primitivos.
  • Conta comprometidas: uma conta comprometida é um e-mail ou conta de sistema que foi violado por um invasor. O hacker pode utilizar uma variedade de métodos, incluindo engenharia social, malware ou ferramentas de quebra de senhas, para comprometer a conta. Uma vez que tenha o controle, o invasor pode então se disfarçar como o usuário e realizar qualquer atividade que o legítimo dono seja capaz de fazer.

Quem deve estar atento? - Alvos comuns de golpes de BEC

Qualquer empresa pode ser alvo de um ataque de BEC. Na verdade, muitas empresas de pequeno e médio porte podem ser suscetíveis a esses tipos de ataque porque os golpistas geralmente conseguem manipular com mais facilidade organizações que têm processos fracos ou cadeias de aprovação curtas. Em um nível individual, há algumas pessoas que tendem a ser alvos mais frequentes desses ataques. Por exemplo:

  • Executivos de alto escalão: os executivos não só tendem a deter muito poder e informações, mas também têm um perfil público de destaque. Isso facilita a pesquisa do histórico de trabalho, interesses e afiliações da pessoa, dando aos hackers a chance de se passarem por um contato pessoal ou profissional legítimo. Em alguns casos, o hacker também pode ter como alvo indivíduos de alto escalão com reclamações ou problemas básicos e solicitar que o executivo encaminhe a solicitação para um contato apropriado dentro da organização. Isso pode ajudar o invasor a se conectar diretamente com pessoas do departamento financeiro ou de RH que podem ser alvos de ataques futuros.
  • Membros da equipe financeira: a equipe financeira gerencia tudo, desde pagamentos ao fabricante até a folha de pagamento — e também mantém vastos estoques de dados pessoais e informações confidenciais. Os hackers costumam ter esses funcionários como alvo porque eles frequentemente processam pagamento, realizam transferências eletrônicas, fazem tarefas financeiras ad hoc para executivos e mantêm bancos de dados de pagamentos e contas. Hackers que atacam uma pessoa da equipe financeira podem aplicar um golpe de fatura falsa, solicitar uma atualização dos detalhes de pagamento de um fabricante ou até mesmo desviar a folha de pagamento.
  • Líderes de RH: o departamento de RH é uma verdadeira mina de ouro para muitos hackers. O invasor poderia ter como alvo os líderes de RH na tentativa de acessar informações pessoais dos funcionários, como seus números de seguro social, dados pessoais identificáveis (PII), recibos de pagamento, detalhes de contato pessoal e outras informações confidenciais. Esses dados podem ser vendidos na dark web ou usados para realizar ataques futuros.
  • Funcionário novo ou iniciante: funcionários recém-contratados ou júnior também são alvos comuns de ataques de BEC. Isso ocorre porque eles geralmente não estão familiarizados com os processos e procedimentos internos e podem não saber como verificar solicitações incomuns. Novos funcionários também podem não estar familiarizados com os tipos de solicitações que um executivo pode fazer, os canais de comunicação que usam ou as pessoas que precisam revisar e verificar a atividade.

Como se proteger contra golpes de BEC

Os ataques de BEC dependem de uma conexão entre humanos, diferentemente das ferramentas digitais como malware ou vírus. Como resultado, os BEC são difíceis de detectar ou prevenir com ferramentas de segurança tradicionais, como soluções antivírus ou detecção e resposta de endpoint (EDR).

Como os ataques de BEC são geralmente centrados no ser humano, os métodos de proteção e prevenção também devem ser centrados nas pessoas. Abaixo estão algumas práticas recomendadas a serem consideradas ao se defender contra ataques de BEC:

1. Implementar um programa robusto de treinamento em cibersegurança para todos os funcionários.

A primeira linha de defesa da organização em ataques de BEC é a sua força de trabalho. Portanto, é essencial que a organização crie um programa robusto de treinamento em cibersegurança que inclua módulos específicos sobre técnicas de engenharia social. Como parte do programa de treinamento, a organização pode querer testar a eficácia do curso por meio de uma variedade de simulações ou exercícios.

Pontos específicos a serem abordados no treinamento podem incluir:

  • O que constitui uma solicitação executiva incomum, atípica ou inadequada, como solicitações de informações pessoais sobre um funcionário específico
  • Processo e procedimento adequados para transações financeiras, incluindo quem está aprovado para realizar tal atividade e como informar essa pessoa sobre uma solicitação feita a outro membro da equipe
  • Processo e procedimento adequados para gerenciamento de faturas do fabricante, mesmo para solicitações urgentes
  • Exemplos de como o invasor pode usar o medo, a intimidação, a confidencialidade ou a urgência para manipular um funcionário
  • Como identificar endereços de e-mail ou domínios falsos, bem como endereços de resposta incompatíveis

Saiba mais

Para mais informações, consulte nossa publicação relacionada: Modelo de treinamento básico em cibersegurança para funcionários.

Leia: Modelo de treinamento básico em cibersegurança para funcionários

2. Implementar uma estratégia Zero Trust.

Zero Trust é um conceito de segurança que exige que todos os usuários sejam autenticados e autorizados antes de receberem acesso às aplicações e dados. A execução desse framework combina tecnologias avançadas, como autenticação multifatorial (MFA) baseada em risco, proteção de identidade, segurança de endpoint de última geração e uma tecnologia robusta de workload em nuvem para verificar a identidade de um usuário ou sistema, consideração do acesso naquele momento e manutenção da segurança do sistema. Isso é especialmente importante para evitar ataques de EAC, em que o adversário assume a identidade de um usuário legítimo do sistema e se disfarça como essa pessoa.

3. Monitorar a deep e dark web em busca de sinais de comprometimento.

A dark web é a parte da Internet onde os usuários podem acessar conteúdo da web não indexado anonimamente por meio de navegadores especiais, como TOR. As ferramentas de monitoramento da dark web são semelhantes a um mecanismo de pesquisa (como o Google) para a dark web. Essas ferramentas ajudam a encontrar informações vazadas ou roubadas, como senhas comprometidas, credenciais violadas, propriedade intelectual e outros dados confidenciais que estão sendo compartilhados e vendidos entre atores mal-intencionados que operam na dark web

Saiba mais

Leia nosso guia para iniciantes sobre ferramentas de monitoramento da dark web para entender melhor como a dark web funciona e como manter uma proteção mais eficaz.

Leia: Ferramenta de monitoramento da dark web

4. Fazer um inventário dos atores que utilizam BEC como técnica de ataque.

Para grandes organizações que enfrentam um alto nível de risco, também pode ser aconselhável rastrear e analisar o ator que aplica BEC. Isso normalmente envolve parceria com um provedor confiável de soluções de cibersegurança que pode ajudar a organização a identificar a natureza do adversário e focar naqueles atores e técnicas que têm maior probabilidade de afetar a organização.

5. Implementar um plano de resposta a incidentes (IR).

Resposta a incidentes (IR) refere-se às etapas usadas para preparar, detectar, conter e se recuperar de um comprometimento de dados. Os dois frameworks de resposta a incidentes (IR) mais reconhecidos foram desenvolvidos pelo NIST e pelo SANS para oferecer às equipes de TI uma base para o desenvolvimento de seus planos de IR.

Soluções de BEC e EAC

Assim como acontece com muitos ciber ataques, a melhor e mais importante linha de defesa da organização contra BEC e EAC será uma força de trabalho engajada, informada e vigilante.

Entretanto, mesmo que os ataques de BEC tenham como alvo os humanos, ainda há medidas que as organizações podem tomar para reduzir os riscos e fortalecer suas defesas contra esses ataques.

CrowdStrike Falcon® Intelligence Recons é uma solução de segurança que permite às equipes de segurança rastrearem adversários e suas atividades fora do perímetro da rede. Com esta ferramenta, a organização pode:

  • Monitorar o submundo do crime
  • Identificar dados confidenciais expostos
  • Descobrir personificações de domínio
  • Atribuir, rastrear e gerenciar alertas
  • Criar perfis de adversários
  • Descobrir vetores de ataque externos

O CrowdStrike Falcon® Identity Threat Detection é uma solução de segurança que permite a detecção extremamente precisa de ameaças baseadas em identidade em tempo real, utilizando IA e análise comportamental para fornecer insights acionáveis profundos para impedir ataques modernos. Com esta ferramenta, a organização pode:

  • Desbloquear insights e análises para todas as credenciais
  • Detecte movimento lateral de contas autenticadas
  • Habilitar a segurança do AD sem usar logs

Thuy Nguyen é Gerente Sênior de Marketing de Produtos na CrowdStrike com foco no serviço de investigação de ameaças Falcon OverWatch. Thuy trabalhou anteriormente na Microsoft, impulsionando o avanço e a liderança de pensamento em IA e machine learning, especificamente em soluções de código aberto e IA responsável. Ele possui MBA pela Universidade de Michigan, com especialização em tecnologia e marketing. Thuy atualmente reside em Seattle, Washington.