BEC: A Ameaça Silenciosa que Drena Milhões das Empresas

O Comprometimento de E-mail Comercial (BEC) — do inglês Business Email Compromise — é um tipo de golpe de spear phishing altamente sofisticado que visa roubar dinheiro ou dados sensíveis de empresas. Em 2022, os ataques BEC custaram em média US$ 4,89 milhões por incidente, de acordo com o relatório da IBM. Nos EUA, o prejuízo total chegou a US$ 2,7 bilhões, conforme o FBI.

O Que é BEC e Por Que se Importar

O BEC é uma ameaça silenciosa que explora a confiança nas comunicações corporativas. Diferente de ataques comuns de phishing, o BEC é direcionado e envolve extensa pesquisa sobre a empresa e seus executivos. Os golpistas se passam por CEOs, CFOs ou fornecedores confiáveis para solicitar transferências bancárias, pagamentos de faturas ou acesso a dados sensíveis.

Os Seis Principais Tipos de Ataques BEC

• Esquemas de faturas falsas: E-mails que solicitam pagamentos para contas bancárias falsas.

• Fraude de CEO: Golpistas se passam por executivos para solicitar transferências de dinheiro.

• Comprometimento da conta de e-mail (EAC): Contas de e-mail legítimas são hackeadas para enviar mensagens fraudulentas.

• Falsificação de identidade de advogado: Golpistas se passam por advogados para solicitar informações sensíveis.

• Roubo de dados: E-mails que solicitam informações confidenciais dos funcionários.

• Roubo de mercadoria: Ataques que visam roubar produtos físicos da empresa.

Casos Notórios de Ataques BEC

Um dos maiores golpes de faturas falsas roubou US$ 98 milhões do Facebook e US$ 23 milhões do Google entre 2013 e 2015. Em 2016, um golpista posando como CEO da FACC enganou um funcionário a transferir US$ 47 milhões.

A gangue russa Cosmic Lynx é conhecida por roubar em média US$ 1,27 milhão de cada alvo. Em 2017, o IRS alertou sobre um golpe de BEC que roubava dados dos funcionários, incluindo números de previdência social.

Medidas de Defesa Contra Ataques BEC

Proteger sua empresa contra ataques BEC requer uma abordagem multifacetada. Aqui estão algumas medidas essenciais:

• Treinamento de conscientização sobre segurança cibernética: Eduque os funcionários sobre os riscos e como identificar e-mails suspeitos.

• Ferramentas de segurança de e-mail: Implemente soluções que possam detectar e bloquear e-mails fraudulentos.

• Autenticação de dois fatores ou multifator: Adicione uma camada extra de segurança para acessar contas e sistemas.

• Ferramentas de segurança empresarial: Utilize softwares avançados para monitorar e proteger sua rede.

• Arquitetura Zero Trust: Implemente uma abordagem onde nenhuma entidade, interna ou externa, deve ser confiável por padrão.

A conscientização e a educação contínua dos funcionários são tão cruciais quanto as ferramentas tecnológicas na luta contra os ataques BEC. Uma cultura de segurança cibernética forte pode ser a diferença entre uma empresa segura e uma vítima de fraude.

Fonte: Dado Seguro | Reportagem baseada em dados da IBM e FBI.