O que é o comprometimento de e-mail empresarial (BEC)?

O comprometimento de e-mail empresarial (BEC) é um tipo de ataque de phishing direcionado a organizações, com o objetivo de roubar dinheiro ou informações essenciais.

Defender-se contra o comprometimento de e-mail empresarial

Definição de comprometimento de e-mail empresarial (BEC)

O comprometimento de e-mail empresarial (BEC) é um tipo de cibercrime em que o impostor utiliza o e-mail para levar alguém a enviar dinheiro ou divulgar informações confidenciais da empresa. O culpado faz-se passar por uma figura fidedigna e pede o pagamento de uma fatura falsa ou dados confidenciais que possa utilizar noutro esquema. Os esquemas de BEC estão a aumentar devido ao aumento do teletrabalho – no ano passado, foram feitas cerca de 20 mil queixas de BEC ao FBI.¹

Tipos de esquemas de comprometimento de e-mail empresarial

O e-mail é o ponto de partida para 91% dos ciberataques.² Saiba mais sobre os tipos mais comuns de e-mail comprometido.

Roubo de dados

Por vezes, os impostores começam por definir como alvo o departamento de RH e roubar informações da empresa, como o horário ou o número de telemóvel de alguém. Assim, é mais fácil realizar outro dos esquemas de BEC e fazer com que pareça mais credível.

Esquema de fatura falsa

Ao fazer-se passar por um fornecedor legítimo com o qual a sua empresa trabalha, o impostor envia uma fatura falsa por e-mail – normalmente, muito semelhante a uma fatura verdadeira. O número de conta pode ter a diferença de apenas um dígito. Em alternativa, pode pedir-lhe que pague a um banco diferente, ao afirmar que está a decorrer uma auditoria no seu banco.

Fraude de CEO

Os impostores fazem spoof ou acedem de modo ilícito à conta de e-mail de um CEO e, em seguida, enviam instruções por e-mail aos colaboradores para efetuarem uma compra ou enviarem dinheiro através de transferência bancária. O impostor pode até pedir a um colaborador que compre cartões de oferta e, em seguida, pedir fotografias de números de série.

Usurpação de identidade de advogado

Neste esquema, os atacantes obtêm acesso não autorizado a uma conta de e-mail num escritório de advocacia. Depois, enviam uma fatura ou uma ligação por e-mail aos clientes para pagar online. O endereço de e-mail é legítimo, mas a conta bancária não.

Comprometimento de conta

Os impostores utilizam phishing ou malware para obter acesso à conta de e-mail de um colaborador da área dos serviços financeiros, como um gestor de contas a receber. Em seguida, enviam faturas falsas por e-mail aos fornecedores da empresa a exigir o pagamento para uma conta bancária fraudulenta.

Como funcionam os esquemas de BEC?

Segue-se o que acontece num esquema de BEC:

1. Os impostores investigam os alvos e descobrem como falsificar a respetiva identidade. Por vezes, criam sites falsos ou registam empresas com o mesmo nome que a sua num país diferente.

2. Assim que têm acesso, os impostores monitorizam os e-mails para descobrirem quem pode enviar ou receber dinheiro. Além disso, analisam padrões de conversação e faturas.

3. Durante uma conversação de e-mail, o impostor usurpa a identidade de uma das partes ao fazer spoof do domínio de e-mail. (O endereço de e-mail pode ter a diferença de uma ou duas letras, ou pode ser o endereço de e-mail correto "via" um domínio diferente – por exemplo, chris@contoso.com via fabrikam.com.)

4. O impostor tenta ganhar a confiança do alvo e, depois, pede dinheiro, cartões de oferta ou informações.

Alvos do comprometimento de e-mail empresarial

Qualquer pessoa pode ser alvo de um esquema de BEC. As empresas, os governos, as organizações sem fins lucrativos e as escolas são alvos, especialmente quem tem estas funções:

1. Executivos e líderes, porque, normalmente, existem detalhes sobre os mesmos disponíveis publicamente no site da empresa. Assim, os atacantes podem fingir conhecê-los.

2. Colaboradores da área dos serviços financeiros como controladores e equipas de contas a pagar que têm dados bancários, métodos de pagamento e números de conta.

3. Gestores de RH com registos de colaboradores como números de Segurança Social, declarações de impostos, informações de contacto e horários.

4. Colaboradores novos ou com pouca experiência que não conseguirão verificar a legitimidade de um e-mail junto do remetente.

Os perigos do BEC

Se um ataque de comprometimento de e-mail empresarial for bem-sucedido, a sua organização pode:

1. Perder centenas de milhares ou milhões de dólares.

2. Enfrentar usurpação de identidade generalizada, se for roubada informação identificativa.

3. Divulgar dados confidenciais acidentalmente, como a propriedade intelectual.

À medida que os esquemas de BEC evoluem, as estratégias de proteção contra ameaças também. Na verdade, no ano passado, a Microsoft bloqueou 32 mil milhões de ameaças de e-mail.³ Saiba mais sobre as soluções de proteção contra ameaças de e-mail da Microsoft.

Exemplos de comprometimento de e-mail empresarial

Exemplo n.º 1: Pague esta fatura urgente

Imaginemos que trabalha no departamento financeiro da sua empresa. Recebe um e-mail do CFO com um pedido urgente de fatura em atraso, mas na verdade não é do CFO. Em alternativa, o impostor finge ser uma empresa de reparação ou um fornecedor de Internet e envia uma fatura convincente por e-mail.

Exemplo n.º 2: Qual é o seu número de telemóvel?

Um executivo da empresa envia-lhe um e-mail a dizer "Preciso da sua ajuda com uma tarefa rápida. Envie-me o seu número de telemóvel para lhe enviar uma mensagem de texto." Enviar mensagens de texto parece mais seguro e pessoal do que um e-mail, por isso o impostor espera que lhe envie uma mensagem de texto com informações de pagamento ou outras informações confidenciais. A isto chama-se "smishing" ou phishing através de mensagem SMS (de texto).

Exemplo n.º 3: O seu aluguer está prestes a expirar

Um impostor obtém acesso ao e-mail de uma empresa imobiliária e encontra transações em curso. Envia um e-mail aos clientes a dizer "Aqui está a fatura para renovar o seu aluguer durante mais um ano" ou "Aqui está a ligação para pagar o seu depósito do aluguer". Recentemente, impostores burlaram alguém em mais de 500 mil dólares desta forma.⁴

Exemplo n.º 4: Aquisição secreta

O seu chefe pede uma entrada para adquirir um dos seus concorrentes. O e-mail diz "Mantenha isto apenas entre nós", o que desencoraja a que verifique o pedido. Uma vez que os detalhes de fusões e aquisições são normalmente mantidos em segredo até tudo estar concluído, este esquema pode não parecer suspeito à primeira vista.

Sugestões para impedir o BEC

Siga estas cinco melhores práticas para travar o comprometimento de e-mail empresarial:

Utilize uma solução de e-mail segura

As aplicações de e-mail como o Office 365 sinalizam e eliminam automaticamente e-mails suspeitos ou alertam de que o remetente não está verificado. Depois, pode bloquear determinados remetentes e denunciar e-mails como spam. O Defender para Office 365 adiciona ainda mais funcionalidades de prevenção contra BEC como proteção contra phishing avançada e deteção de reencaminhamento suspeito.

Configure a autenticação multifator (MFA)

Dificulte o comprometimento do seu e-mail ao ativar a autenticação multifator, que exige um código, PIN ou impressão digital para iniciar sessão, bem como uma palavra-passe.

Ensine os colaboradores a detetar sinais de alerta

Certifique-se de que todos sabem como detetar ligações de phishing, uma falta de correspondência entre o domínio e o endereço de e-mail e outros sinais de alerta. Simule um esquema de BEC para que as pessoas o saibam reconhecer quando acontecer.

Configure predefinições de segurança

Os administradores podem reforçar os requisitos de segurança em toda a organização ao exigir que todos utilizem a MFA, ao desafiar o acesso novo ou de risco com autenticação e ao forçar reposições de palavra-passe se houver fuga de informações.

Utilize ferramentas de autenticação de e-mail

Dificulte o spoofing do seu e-mail ao autenticar os remetentes através do Sender Policy Framework (SPF), do DomainKeys Identified Mail (DKIM) e de Domain-based Message Authentication, Reporting, and Conformance (DMARC).

Adote uma plataforma de pagamento segura

Considere mudar de faturas enviadas por e-mail para um sistema especificamente concebido para autenticar pagamentos.

Proteção contra comprometimento de e-mail empresarial

Ajude a proteger a sua organização com soluções para detetar e-mails suspeitos como o Microsoft Defender para Office 365, que pode:

1. Verificar automaticamente normas de autenticação de e-mail, detetar spoofing e enviar e-mails para pastas de quarentena ou de lixo.

2. Utilizar IA para modelar os padrões de e-mail normais de cada pessoa e sinalizar atividade suspeita.

3. Configurar a proteção de e-mail por utilizador, domínio e caixa de correio.

4. Investigar ameaças, descobrir quem é um alvo, detetar falsos positivos e identificar impostores no Explorador de Ameaças.

5. Verificar padrões de e-mail em todo o domínio e destacar atividade suspeita com algoritmos avançados nas Informações de Spoofing.

Saiba mais sobre o Microsoft Security

Seis sugestões para tornar o e-mail mais seguro

Siga estas melhores práticas para segurança de e-mail que ajudam a proteger contra o BEC.

Ler as sugestões

Compreenda o esquema de cartões de oferta

Leia e-mails reais de impostores a tentar realizar um esquema de BEC para estar a postos.

Descobrir as táticas

Explore um ataque de BEC

Saiba como os impostores realizam este esquema real de comprometimento de e-mail empresarial.

Obter os detalhes

Impeça ataques por utilização de palavra-passe única

Saiba como travar este ataque de e-mail e descobrir quem é vulnerável na sua organização.

Ler a publicação

O que os Diretores de Segurança de Informações (CISOs) devem saber

Saiba mais sobre o estado da formação de consciencialização para a segurança e como informar a sua equipa acerca do phishing.

Ler mais

Como a MFA impede o phishing

Siga um dos passos mais rápidos e fáceis para impedir esquemas de BEC: ativar a autenticação multifator.

Saiba mais

Conheça a Unidade de Crimes Digitais (DCU)

Saiba como a equipa de cibercrime da Microsoft combate o BEC com inovação de produtos, investigação e IA.

Descobrir a DCU

Perguntas mais frequentes

Apresentar uma queixa no Centro de Reclamações contra Crimes pela Internet (IC3) do FBI. Denuncie o e-mail através do seu fornecedor de e-mail ao marcá-lo como lixo ou spam. Se o seu e-mail não tiver essa opção, fale com o seu supervisor.
O phishing é apenas uma parte do comprometimento de e-mail empresarial. O BEC é um termo abrangente, um tipo de ataque que normalmente inclui phishing, spoofing, usurpação de identidade e faturas falsas.
Proteja e-mails empresariais ao seguir as melhores práticas de segurança de e-mail, como utilizar um fornecedor de e-mail seguro, ativar a autenticação multifator (MFA), escolher uma palavra-passe de e-mail forte e mudá-la frequentemente, e não partilhar dados pessoais online. Se é um administrador, considere soluções de segurança de e-mail como o Defender para Office 365, configure as definições de segurança e monitorize a atividade para verificar se existem anomalias.
Detete um esquema e fraude de BEC ao reparar em algo suspeito, como um e-mail enviado fora do horário de funcionamento, nomes com erros ortográficos, uma falta de correspondência entre o endereço de e-mail do remetente e o endereço de resposta, um sentimento de urgência, ligações e anexos estranhos, ou alterações às informações de pagamento ou faturação. Também pode detetar esquemas de BEC ao verificar os e-mails eliminados da sua conta e as regras de reencaminhamento, para ver se a conta foi comprometida. Se a sua aplicação de e-mail sinalizar determinados e-mails como suspeitos ou não verificados, é outra forma de detetar esquemas de BEC.
O spoofing de e-mail é o forjamento de um endereço de e-mail para que pareça que um e-mail foi enviado por outra pessoa. Os e-mails falsificados podem parecer verdadeiros, mas ter um domínio diferente que não é óbvio até ser analisado (chris@contoso.com via fabrikam.com), ter erros ortográficos subtis (chris@cont0so.com) ou serem de um domínio totalmente diferente (chris@fabrikam.com).

1. FBI. "Relatório de Crimes pela Internet de 2021." Centro de Reclamações contra Crimes pela Internet. 2021.

2. Ganacharya, Tanmay. "Proteção contra ataques de phishing relacionados com a COVID-19." Blogue do Microsoft Security. 20 de março de 2020.

3. Microsoft. "Relatório de Defesa Digital." Outubro de 2021.

4. Departamento de Justiça dos Estados Unidos. "Homem de Rhode Island Declara-se Culpado de Conspiração para Branquear Fundos de Fraude de Comprometimento de E-mail Direcionada a Advogado de Massachusetts." 15 de julho de 2020.