O perigo dos ataques BEC e as estratégias essenciais para empresas em 2025

Ameaças cibernéticas baseadas em e-mail seguem uma linha crescente nos últimos anos, especialmente quando falamos de engenharia social. De acordo com uma pesquisa recente do provedor de segurança SlashNext, houve um aumento de 202% no segundo semestre de 2024, confirmando que ataques desse tipo continuam sendo uma opção popular entre criminosos. Dentre as tentativas de fraude praticadas estão os ataques BEC (Business Email Compromise, em inglês), nos quais o principal objetivo é manipular as vítimas para que forneçam dados confidenciais.

Relatórios de diversas empresas de cibersegurança, como a Arctic Wolf, indicam que os ataques BEC se tornaram a principal tática para afetar o meio corporativo. Segundo o estudo “Tendências 2024”, que consultou mais de 1.000 tomadores de decisão sênior de TI e segurança cibernética, cerca de 70% das organizações relataram uma tentativa de ataque BEC e 29% afirmaram ter sido vítimas.

Há quase uma década atuando no setor de cibersegurança, percebo que este tipo de fraude visa atingir empresas de diferentes portes. Esses ataques normalmente envolvem o comprometimento de contas de e-mail ou a falsificação de identidades para enganar funcionários e convencê-los a realizar transferências financeiras indevidas. Diferente de outras formas de ciberataques, o BEC não depende de malware sofisticado, mas sim da manipulação psicológica, tornando sua detecção mais desafiadora.

No Brasil, os ataques BEC têm se tornado cada vez mais frequentes. Em 2023, uma grande empresa do setor de saúde realizou uma transferência indevida de mais de R$ 20 milhões para contas fraudulentas. O golpe envolveu executivos impostores e e-mails convincentes solicitando pagamentos urgentes, levando a um grande impacto financeiro e institucional para a empresa.

Outro caso que ocorreu há pouco envolveu lavagem de dinheiro internacional. Um homem da Pensilvânia foi condenado a nove anos de prisão por ajudar a lavar centenas de milhares de dólares obtidos ilegalmente por meio de empresas de fachada. Ele e seus cúmplices realizavam ataques BEC, golpes românticos e outras fraudes, transferindo o dinheiro entre bancos e enviando-o para a Nigéria ou comprando veículos para revenda no exterior.

Além disso, no início de 2024, a Europol desmantelou uma quadrilha que roubou €38 milhões (mais de $40 milhões) de uma incorporadora imobiliária em Paris. Os fraudadores se passaram por advogados, convencendo a empresa a transferir uma grande quantia de dinheiro para contas no exterior. 

Como se proteger em 2025?

As consequências provocadas por ataques BEC vão além da perda financeira direta. Além do prejuízo monetário, há impactos na reputação da organização e na confiança de seus parceiros comerciais. Empresas que sofrem esse tipo de golpe podem ter sua credibilidade abalada no mercado, afetando futuras negociações e relacionamentos profissionais. Processos judiciais e auditorias podem, ainda, aumentar o custo da recuperação.

Para reduzir os riscos de ataques BEC, as empresas devem adotar uma abordagem proativa de segurança cibernética. Treinamentos regulares para funcionários são essenciais para aumentar a conscientização sobre ameaças e comportamentos suspeitos. Além disso, a implementação da Autenticação Multifator (MFA) é uma medida crucial, pois dificulta o acesso indevido às contas de e-mail corporativas. A criptografia via certificados S/MIME (Secure/Multipurpose Internet Mail Extensions) também pode ser utilizada para garantir a privacidade das comunicações, assegurando que apenas destinatários autorizados tenham acesso às mensagens.

Nenhuma medida é 100% eficaz, especialmente diante do avanço das táticas dos criminosos. No entanto, combinando tecnologia, boas práticas de segurança e treinamento contínuo, as empresas podem reduzir drasticamente os riscos de comprometimento potencial dos dados valiosos da sua organização e evitar grandes prejuízos.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!