Business Email Compromise[1] é um tipo de ataque fraudulento em que um atacante faz-se passar por um executivo (normalmente o CEO), e tenta conseguir que um empregado, cliente ou fornecedor transfira dinheiro ou informação sensível para o atacante.

O esquema BEC poderia estar ligado a outras formas de fraude como um romance, lotaria, emprego, e esquemas de aluguer.

Pela definição do FBI, o BEC é um esquema sofisticado que visa empresas que trabalham com fornecedores estrangeiros e/ou empresas que efectuam regularmente pagamentos por transferência bancária. O esquema é levado a cabo comprometendo contas de e-mail comerciais legítimas através de engenharia social ou técnicas de intrusão informática para realizar transferências não autorizadas de fundos.[2]

Ao contrário de um ataque de phishing tradicional, BEC é dirigido a um determinado indivíduo ou organização. No caso de BEC, o atacante prepara-se para o ataque muito cuidadosamente e tenta obter o máximo de informação sobre a vítima antes de o ataque ocorrer. Normalmente utilizam websites, relatórios anuais, informações sobre os funcionários da organização a partir de redes sociais, de contas de correio electrónico comprometidas, etc.

Este elevado nível de segmentação ajuda estes esquemas de correio electrónico a escapar aos filtros de spam e a escapar às campanhas de listas brancas de correio electrónico. Também pode tornar muito, muito mais difícil para os empregados reconhecerem que o correio electrónico não é legítimo.[3]

As vítimas do esquema do BEC vão desde pequenas empresas a grandes corporações. O esquema do BEC está ligado a outras formas de fraude, incluindo mas não limitado a: romance, lotaria, emprego, e esquemas de aluguer.

O FBI advertiu que os esquemas de BEC provavelmente "continuariam a crescer, evoluir, e visar empresas de todas as dimensões". O FBI também mencionou que viu um aumento de 1.300% nos ataques de compromisso de correio electrónico empresarial desde Janeiro de 2015.[4]

Os atacantes do BEC dependem fortemente de tácticas de engenharia social para enganar empregados e executivos insuspeitos. Algumas das amostras de mensagens de correio electrónico têm assuntos que contêm palavras como pedido, pagamento, transferência, e urgente, entre outros.

O esquema BEC toma geralmente uma das seguintes formas:

1.     Fraude do CEO

Os atacantes fazem-se passar pelo CEO da empresa ou outro executivo da empresa e enviam um e-mail falso aos funcionários com a capacidade de enviar transferências electrónicas e instruí-los a enviar fundos aos atacantes.

2.     Factura falsa[5]

Uma empresa, que frequentemente tem uma relação de longa data com um fornecedor, é solicitada a transferir fundos para pagamento de facturas para uma conta alternativa e fraudulenta. O agressor aproxima-se normalmente da vítima via e-mail ou telefone. Um ataque por correio electrónico tem tipicamente um código fonte (cabeçalho) de correio electrónico falso e objecto do pedido, pelo que parece muito semelhante a um pedido legítimo.

3.     Compromisso de conta

Este ataque é semelhante ao da Factura Falsa. O atacante utiliza a conta de e-mail de um empregado (pirateada ou falsificada), depois envia um e-mail aos clientes para os anunciar que houve um problema com o seu pagamento e que precisam de o reenviar para uma conta diferente.

4.     Executivo de Negócios e Impersonificação de Advogados

As vítimas são contactadas por atacantes, que se identificam como advogados ou representantes de firmas de advogados. O agressor solicita uma grande transferência de fundos para ajudar a resolver uma disputa legal ou pagar uma conta em atraso. O agressor tenta convencer as vítimas de que a transferência é confidencial e sensível ao tempo, pelo que é menos provável que o funcionário tente confirmar se devem transferir os fundos.

5.     Roubo de dados

Um tipo de BEC cujo objectivo não é uma transferência directa de dinheiro. As vítimas típicas desse ataque incluem departamentos/empregados de finanças ou RH. O atacante solicita-lhes que enviem uma grande sensibilidade para a sua conta. A engenharia social é utilizada, e o ataque de roubo de dados pode ser um ponto de partida para os ataques de BEC acima mencionados, centrados na transferência financeira.

Desde 2017, tem havido um aumento dramático de ataques fraudulentos com o carácter de BEC na República Checa. Mais uma vez, a maioria dos ataques de BEC utilizam um modus operandi semelhante:

1.     Escolher uma vítima e obter informações sobre a vítima (as organizações de média e pequena dimensão são o alvo mais comum)

2.     Preparação de um e-mail falsificado (para criar um e-mail falsificado, são utilizados muito frequentemente serviços gratuitos disponíveis ao público, por exemplo: www.5ymail.com. Este serviço permite ao atacante criar e enviar qualquer correio electrónico falsificado que corresponda a um correio electrónico existente. No entanto, este serviço não permite receber respostas e, portanto, é necessário redireccionar a comunicação de correio electrónico para outro correio electrónico existente, registado, por exemplo, com um serviço de correio electrónico gratuito. A verdadeira identidade pode ser encontrada a partir do código fonte da mensagem).

3.     Enviar um e-mail falso a um empregado da vítima (os ataques mais frequentes de BEC incluem Fraude do CEO e Factura Falsa. Os montantes necessários desta forma variam normalmente entre várias centenas de euros a 4000 euros).

4.     Pedido de transferência imediata ou "urgente" de dinheiro para uma conta do agressor ou das mulas de dinheiro [validação do pagamento, bem como da pessoa que dá a ordem para fazer o pagamento, é o momento chave em que a conclusão do acto criminoso pode ser impedida. Se a organização tiver estabelecido protocolos de segurança adequados, tal transferência geralmente não tem lugar. Do ponto de vista da identificação do agressor, a conta do agressor, ou a conta de mulas de dinheiro, é o instrumento que permite determinar na prática se se trata da continuação de um acto criminoso (ou seja, do ponto de vista do direito penal substantivo um acto criminoso) ou se se trata de um caso de concomitância de actos criminosos. Ao mesmo tempo, é de facto a pegada digital mais significativa que permite a identificação do agressor].

5.     Transferência de dinheiro para uma conta do atacante ou mulas de dinheiro