O BEC (Business Email Compromise) é um tipo de pishing em que o público-alvo são funcionários de companhias de qualquer setor, e envolve 2 práticas criminosas muito comuns: a engenharia social ou o malware

Existem diferentes maneiras de fazer BEC, mas a metodologia de ataque sempre é parecida: usando engenharia social, um estelionatário estuda em detalhe o perfil da vítima, sua posição na empresa, personalidade, e quais são suas funções diárias, para conseguir acesso à informação privilegiada que em algumas ocasiões pode ser através de um malware instalado no computador, depois de enviar um e-mail que seja atraente o suficiente para que o funcionário abra. 

Quais são as áreas da companhia mais vulneráveis?

  • Finanças: Depois de descobrir quais são os fornecedores da companhia, o criminoso exigirá pressão para serem pagas contas falsas, normalmente, sobre quem trabalha nos níveis 1 e 2.
  • Legal: Advogados que podem ou não ser verdadeiros, ameaçam com processar a empresa para conseguir informações confidenciais da companhia.
  • TI: parece impossível que a área que cuida da seguridade dos sistemas da empresa possa ser vítima de fraude, mas desde o início da pandemia, essa prática aumentou 108% no Brasil, e sim, a cifra inclui principalmente as empresas do setor do e-commerce. 

Soluções

  • A criação de modelos de machine learning que possam entender uma anomalia, por exemplo, entrada de e-mails suspeitos, evitarão preconceitos econômicos. 
  • A Enterprise Data Validation, que verifica a identidade de uma pessoa, além de oferecer a lista de estelionatários ativos numa região. 
  • Treinar os funcionários desde o onboarding, focando no aumento da consciência sobre a importância da autenticação multiple em qualquer situação, seja com um cliente, fornecedor ou até colega.
O BEC infelizmente é muito eficaz, e todos somos vulneráveis ​​a cair nesses truques. Mas por quê acontece? Porque é humano vs humano, porque se adapta mais rápido às nossas reações, e, porque tem algo que a máquina (ainda) não tem, sentimentos.

O Relatório Global de Fraude e Risco em 2019/20 publicado pela Kroll provou isso: 55% das empresas brasileiras participantes na pesquisa foram significativamente afetadas por vazamento de informação interna, embora 71% responderam que consideram essa questão uma prioridade, ou seja, mais da metade dos entrevistados foram prejudicados, apesar de seus esforços para manter as empresas seguras. Isso é sinal de que o setor privado ainda precisa fortalecer seus investimentos em capacitação de stakeholders, além de adequar permanentemente suas estratégias de proteção de dados, conforme as organizações criminosas evoluem.


Neste artigo irá encontrar:

Subscreva nosso blog

Todas as informações e conteúdos que o seu negócio precisa, em apenas três minutos de leitura.