A fraude mais cara do mundo corporativo não chega cifrando servidores nem derrubando sistemas. Ela chega como uma fatura comum, em um e-mail bem escrito, dentro de um processo de pagamento que funciona há anos. É o BEC (Business Email Compromise), o golpe que manipula o e-mail corporativo para desviar dinheiro, e a discrição é justamente o que o torna devastador: enquanto o ransomware domina manchetes, orçamentos e reuniões de diretoria, o BEC drena valores muito superiores sem usar, na maior parte dos casos, qualquer malware.
Os números dão a dimensão do desequilíbrio. O golpe provocou US$ 3,04 bilhões em perdas reportadas apenas em 2025, segundo o relatório anual do IC3, o centro de queixas de crimes cibernéticos do FBI, com prejuízo médio acima de US$ 122 mil por ocorrência, e o levantamento acumulado da mesma instituição já contabiliza mais de US$ 55 bilhões em perdas globais identificadas com essa fraude, registrada em 186 países. A arma é a confiança que as empresas depositam no próprio e-mail, e é exatamente por isso que as defesas tradicionais não o enxergam.
O que é BEC e por que ele não dispara alarmes
O BEC é uma fraude na qual o criminoso se passa por alguém de confiança, um executivo, um fornecedor ou um colega, para induzir um colaborador a transferir dinheiro ou dados a um destino controlado pelo golpista. A mensagem pode partir de um domínio falsificado, visualmente quase idêntico ao verdadeiro, ou da própria caixa de correio legítima de uma vítima cujas credenciais foram comprometidas. Nos dois casos, o conteúdo é um pedido plausível dentro de um fluxo de trabalho real, como o pagamento de uma fatura ou a atualização de dados bancários.
É essa banalidade aparente que torna o golpe invisível para os controles clássicos. Não há anexo malicioso para o antivírus inspecionar, link contaminado para o filtro bloquear nem código para o sistema de detecção identificar: há apenas texto, escrito por um humano ou, cada vez mais, por inteligência artificial, com a gramática, o tom e o contexto certos. O mesmo relatório do IC3 registrou crescimento de 208% nas perdas com phishing em um ano, sinal de que a engenharia social potencializada por IA elevou o padrão de qualidade das iscas.
O alvo do BEC tampouco é o sistema, é o processo. O criminoso estuda a empresa por semanas, monitora conversas quando obtém acesso a uma caixa de correio, aprende quem aprova pagamentos, quais fornecedores emitem faturas e em que datas, e só age quando consegue inserir o pedido fraudulento no momento em que ele parece rotina. Quanto mais madura a vítima em volume de transações, mais lugares existem para uma transferência falsa se esconder.
No Brasil, o golpe encontrou terreno fértil na combinação entre faturamento por boleto e pagamentos instantâneos. A versão local mais comum do BEC intercepta a comunicação entre fornecedor e cliente para trocar o boleto legítimo por um adulterado, com código de barras apontando para a conta do criminoso, ou usa a agilidade do Pix para esvaziar o valor desviado em minutos, antes de qualquer possibilidade de bloqueio. A mecânica é a mesma da fraude internacional, com uma agravante: a velocidade de liquidação do sistema financeiro brasileiro encurta ainda mais a janela de reação da vítima.
Como o golpe funciona na prática
A variante mais conhecida é a fraude do executivo, na qual o golpista se passa pelo presidente ou pelo diretor financeiro e ordena uma transferência urgente e confidencial, explorando a hierarquia e o medo de questionar uma ordem superior. É um parente direto do phishing, mas com alvo escolhido a dedo, mensagem personalizada e, nos casos mais sofisticados, reforço por telefone ou áudio com voz clonada.
A variante mais lucrativa, porém, é a fraude do fornecedor. O criminoso compromete ou imita a caixa de correio de um parceiro comercial real e, no meio de uma negociação verdadeira, envia uma fatura legítima com dados bancários alterados ou comunica uma suposta mudança de conta. O pagamento parte da vítima com aprovação formal, dentro do processo correto, para o destino errado. Foi com um esquema dessa família, baseado em um fornecedor falso de hardware, que um único golpista extraiu US$ 121 milhões de duas das maiores empresas de tecnologia do mundo entre 2013 e 2015, prova de que nem as equipes mais sofisticadas estão imunes.
Quando o invasor obtém acesso real a uma caixa de correio corporativa, o estrago ganha outra dimensão. Regras automáticas de encaminhamento desviam cópias das conversas para fora da empresa, mensagens reveladoras são apagadas para esconder rastros e o criminoso passa a responder e-mails como se fosse o titular da conta. Segundo o IC3, 86% dos valores desviados em golpes de BEC saem por transferências bancárias tradicionais, inseridas em fluxos financeiros legítimos, o que explica a dificuldade de recuperação: quando a fraude é percebida, o dinheiro já cruzou duas ou três jurisdições.
Por que o BEC custa mais do que parece
A assimetria entre percepção e dano fica evidente nos números do próprio FBI. No relatório de 2024, o ransomware somou 3.156 queixas e ocupou a vigésima posição entre os crimes mais reportados, enquanto o BEC registrou 21.442 ocorrências e ficou em segundo lugar em perdas financeiras diretas. Pesquisa da Association for Financial Professionals divulgada em 2025 completa o quadro: 63% das empresas consultadas sofreram tentativas ou golpes de BEC no ano anterior. A fraude por e-mail não é um risco eventual, é estatisticamente esperada.
O custo real, porém, vai além da transferência perdida. Um incidente de BEC com comprometimento de caixa de correio implica acesso não autorizado a dados pessoais e contratuais, o que aciona obrigações da LGPD, pode exigir notificação a titulares e autoridade e abre flancos jurídicos com clientes e parceiros. Há ainda o dano relacional: explicar a um fornecedor que o pagamento dele foi parar na conta de um criminoso, ou a um cliente que a fatura falsa partiu do seu domínio, cobra um preço de confiança que não aparece no boletim de ocorrência.
E a recuperação é corrida contra o relógio. As chances de bloquear uma transferência fraudulenta caem drasticamente após as primeiras 24 a 48 horas, e boa parte das vítimas só descobre o desvio dias depois, quando o fornecedor verdadeiro cobra a fatura que nunca recebeu. Sem um processo de resposta ensaiado, com contato imediato ao banco e registro da ocorrência, a janela útil se fecha antes da primeira reunião de crise.
Como proteger a empresa contra o BEC
A defesa contra o BEC começa pela autenticação do próprio domínio. Os protocolos SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance) impedem que criminosos enviem mensagens em nome da sua empresa e dão visibilidade sobre tentativas de falsificação. São controles de custo baixo e efeito imediato, e ainda assim quase metade dos domínios corporativos opera sem a configuração completa. Implantar o DMARC em modo de rejeição, depois de um período de monitoramento para mapear remetentes legítimos, fecha de uma só vez o caminho mais barato disponível para quem quer se passar pela sua marca diante de clientes e parceiros.
A segunda camada protege as caixas de correio contra o comprometimento. Autenticação multifator resistente a phishing em todas as contas, monitoramento de regras de encaminhamento criadas sem justificativa, alertas para acessos de localizações atípicas e bloqueio de protocolos de autenticação antigos fecham as portas mais usadas pelos invasores. Ambientes de colaboração modernos oferecem boa parte desses recursos, mas eles precisam ser ativados, ajustados e vigiados por quem entende o comportamento normal da empresa.
A terceira camada, decisiva, está no processo financeiro. Nenhuma alteração de dados bancários de fornecedor deve ser aceita apenas por e-mail: a confirmação ocorre por ligação a um contato previamente cadastrado, sempre. Pagamentos acima de um limite exigem dupla aprovação por canais independentes, e pedidos com urgência e sigilo fora do padrão recebem, por definição, escrutínio redobrado. Combinadas com treinamento contínuo das equipes financeiras, essas regras simples desarmam a mecânica do golpe mesmo quando a mensagem fraudulenta passa por todos os filtros.
Falta, por fim, preparar a reação para o caso de o golpe atravessar tudo. Um plano de resposta a BEC define, com antecedência, quem aciona o banco para tentar o bloqueio da transferência, quem preserva as evidências do comprometimento, quem conduz a troca de credenciais e a varredura de regras maliciosas na caixa afetada e quem comunica fornecedores e clientes que possam ter recebido mensagens falsas em nome da empresa. Cada hora economizada nessa coreografia aumenta de forma mensurável a chance de recuperar o dinheiro e reduz o alcance do dano reputacional.
A fatura mais cara é a que parece normal
O BEC prospera no ponto cego entre a tecnologia e o processo: sofisticado demais para ser barrado por filtros, simples demais para parecer ameaça. Os bilhões que ele move todos os anos saem de empresas que tinham antivírus, firewall e backup em dia, e caíram porque um e-mail plausível encontrou um fluxo de pagamento sem trava de verificação.
A Solo Iron atua nessa frente com o Iron Collab, que protege os ambientes corporativos de e-mail e colaboração com autenticação reforçada, monitoramento de comprometimento de contas e políticas desenhadas para o jeito como sua empresa realmente trabalha. Antes da próxima fatura ser paga, vale a pergunta que nenhum filtro responde: se os dados bancários daquele fornecedor tivessem mudado ontem, alguém na sua empresa ligaria para confirmar?
