O BEC (Business Email Compromise) é um tipo de pishing em que o público-alvo são funcionários de companhias de qualquer setor, e envolve 2 práticas criminosas muito comuns: a engenharia social ou o malware.
Existem diferentes maneiras de fazer BEC, mas a metodologia de ataque sempre é parecida: usando engenharia social, um estelionatário estuda em detalhe o perfil da vítima, sua posição na empresa, personalidade, e quais são suas funções diárias, para conseguir acesso à informação privilegiada que em algumas ocasiões pode ser através de um malware instalado no computador, depois de enviar um e-mail que seja atraente o suficiente para que o funcionário abra.
O BEC infelizmente é muito eficaz, e todos somos vulneráveis a cair nesses truques. Mas por quê acontece? Porque é humano vs humano, porque se adapta mais rápido às nossas reações, e, porque tem algo que a máquina (ainda) não tem, sentimentos.
O Relatório Global de Fraude e Risco em 2019/20 publicado pela Kroll provou isso: 55% das empresas brasileiras participantes na pesquisa foram significativamente afetadas por vazamento de informação interna, embora 71% responderam que consideram essa questão uma prioridade, ou seja, mais da metade dos entrevistados foram prejudicados, apesar de seus esforços para manter as empresas seguras. Isso é sinal de que o setor privado ainda precisa fortalecer seus investimentos em capacitação de stakeholders, além de adequar permanentemente suas estratégias de proteção de dados, conforme as organizações criminosas evoluem.