BEC Business Email Compromise.

BEC é o ataque de engenharia social direcionado que se faz passar por um executivo ou fornecedor para redirecionar um pagamento ou induzir um colaborador a aprová-lo. Não requer malware; é puro pretexting. A perda média por incidente supera a do ransomware. Os controlos de processo (segregação de funções, verificação por callback) detetam-no; a tecnologia por si só não é suficiente.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

BEC é o ataque de engenharia social direcionado que se faz passar por um executivo ou fornecedor para redirecionar um pagamento ou induzir um colaborador a aprová-lo. Não requer malware; é puro pretexting. A perda média por incidente supera a do ransomware. Os controlos de processo (segregação de funções, verificação por callback) detetam-no; a tecnologia por si só não é suficiente.

O que diferencia o BEC do phishing comum

O Business Email Compromise é uma fraude executada por pretexto em vez de por carga maliciosa. O atacante não precisa de um link malicioso nem de um anexo que instale malware. Precisa de uma história plausível, de um senso de urgência e de uma vítima com autoridade para movimentar dinheiro ou dados. Um domínio falsificado ou parecido, uma caixa de correio comprometida ou um endereço recém-registado que se assemelhe a um fornecedor conhecido bastam para montar o cenário. Como nada tecnicamente malicioso atravessa a rede, os gateways de e-mail seguro, os antivírus e as sandbox de links deixam passar a mensagem com frequência. O ataque vive inteiramente na conversa.

É por isso que o BEC se situa ao lado do phishing na mesma família, embora se comporte de forma diferente na prática. O phishing genérico é uma rede ampla lançada para conseguir credenciais ou cliques. O BEC é paciente e direcionado: o atacante pesquisa o organograma, descobre quem aprova as faturas, estuda o tom dos e-mails internos e aguarda um momento credível, como uma aquisição, uma operação imobiliária ou um diretor financeiro em viagem ao estrangeiro. O ganho é uma única transferência fraudulenta ou um depósito de salário redirecionado, muitas vezes de valor elevado, em vez de uma palavra-passe capturada.

As variantes comuns que os profissionais observam

O BEC é uma categoria, não um único truque. A mesma lógica de pretexto é reaproveitada contra qualquer processo que movimente valor dentro da organização.

  • Fraude do CEO: um atacante faz-se passar por um alto executivo e pressiona um colaborador da área financeira a executar uma transferência urgente e confidencial, apoiando-se na hierarquia e na discrição para desencorajar perguntas.
  • Fraude de fornecedor, também chamada de desvio de fatura: um fornecedor de confiança parece enviar por e-mail novos dados bancários, de modo que a próxima fatura legítima é paga na conta do atacante.
  • Desvio de salário: um colaborador parece solicitar a alteração da conta de destino do seu salário, redirecionando discretamente o seu próprio pagamento para o fraudador.
  • Tomada de controlo de conta: uma caixa de correio interna real é comprometida, de modo que o pedido fraudulento chega a partir de um endereço genuíno com um histórico genuíno, o que elimina a maioria dos sinais de alerta habituais.
  • Personificação de advogado ou jurista: o pretexto apoia-se numa operação confidencial e com prazo apertado em que se espera sigilo e a verificação parece deselegante.

Por que aqui o processo vence a tecnologia

A autenticação de e-mail ajuda. SPF, DKIM e DMARC aumentam o custo da falsificação direta de domínio e devem ser implementados. Mas nada fazem contra um domínio parecido, um endereço de webmail gratuito ou uma caixa de correio interna realmente comprometida, que são os canais que o BEC real mais utiliza. Os controlos decisivos são processuais, da responsabilidade das áreas financeira e operacional, e não das ferramentas de segurança.

  • Segregação de funções, para que nenhuma pessoa isolada possa solicitar e libertar um pagamento ao mesmo tempo.
  • Verificação por retorno de chamada fora de banda: confirme quaisquer dados bancários novos ou alterados, e qualquer transferência incomum, usando um número de telefone já registado, nunca um número ou contacto fornecido dentro do próprio pedido.
  • Uma regra rígida de que a urgência e a confidencialidade nunca contornam o circuito de aprovação padrão; essas duas emoções são as ferramentas do atacante.
  • Limiares de dupla autorização para transferências e alterações de dados bancários de fornecedores.

Onde o BEC se enquadra no panorama regulatório

O BEC é uma causa primária de perdas financeiras associadas ao e-mail, o que o coloca plenamente no âmbito que um sistema de gestão de segurança da informação se destina a tratar. Sob um SGSI ISO 27001, o tratamento pertinente combina formação de sensibilização, controlos das relações com fornecedores e os procedimentos operacionais que regem os pagamentos. Quando o BEC tem êxito e dados pessoais são expostos, por exemplo através de uma caixa de correio comprometida cheia de correspondência, pode também desencadear obrigações de violação de dados pessoais ao abrigo do GDPR, razão pela qual o plano de resposta deve envolver o jurídico e a função de proteção de dados, e não apenas as finanças e a TI.

Para os profissionais, a conclusão é que a defesa contra o BEC é uma responsabilidade partilhada. A segurança detém a autenticação de e-mail, a monitorização e a sensibilização. As finanças detêm os controlos de pagamento que efetivamente travam a fraude. Tratá-lo como um problema puramente técnico a resolver com um gateway melhor é o erro que mantém o fluxo das perdas.

Frequently asked questions

01Em que é que o BEC difere do phishing?

O BEC é um subtipo direcionado de phishing focado no pretexto em vez da carga maliciosa. O phishing genérico lança uma rede ampla para conseguir credenciais ou cliques, ao passo que o BEC pesquisa uma organização específica e personifica um executivo ou fornecedor conhecido para redirecionar um pagamento. O BEC normalmente não leva qualquer link ou anexo malicioso, pelo que os filtros técnicos muitas vezes o deixam passar.

02Por que os gateways de segurança de e-mail deixam passar o BEC?

Porque, com frequência, não há nada tecnicamente malicioso a detetar. Um domínio parecido, uma conta de webmail gratuita ou uma caixa de correio interna realmente comprometida podem enviar uma mensagem impecável, sem link nem anexo. A autenticação como DMARC trava a falsificação, mas não estes canais, pelo que os controlos decisivos são processuais.

03Que controlo único trava a maioria das fraudes BEC?

A verificação por retorno de chamada fora de banda. Antes de pagar a uma conta bancária nova ou alterada, ou de dar seguimento a qualquer transferência incomum, confirme a instrução por telefone usando um número já registado, nunca um dado de contacto fornecido dentro do próprio pedido.

04O BEC é uma violação de dados de notificação obrigatória?

Pode ser. Se uma caixa de correio comprometida expuser dados pessoais, o BEC pode desencadear obrigações de violação de dados pessoais ao abrigo do GDPR. O plano de resposta deve envolver o jurídico e a função de proteção de dados, a par das finanças e da TI.

05O MFA previne o BEC?

O MFA, idealmente um MFA resistente a phishing, ajuda a prevenir a variante de tomada de controlo de conta em que uma caixa de correio real é sequestrada. Nada faz contra domínios parecidos ou personificação externa, pelo que deve ser combinado com controlos do processo de pagamento.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.