Compromís de Correu Electrònic Empresarial: Com Funciona el BEC i Com Aturar-lo (CA)

Arriba un correu electrònic del CEO: transferència urgent, nou compte bancari, no ho comentis amb ningú. L'adreça sembla correcta, el to coincideix, la sol·licitud no és prou estranya com per qüestionar-la. Dos dies després, els diners han desaparegut — i el CEO mai va enviar aquest missatge.

El compromís de correu electrònic empresarial (BEC) és una de les categories de frau de més alt rendiment que afecten les organitzacions. Sense programari maliciós, sense exploit — només un correu electrònic convincent i un procés que avança més ràpid del que qualsevol persona pot verificar. Aquesta publicació cobreix com funciona cada variant principal de BEC, per què és efectiva i on la infraestructura d'identitat la deté.

Aspectes clau

• El BEC és frau d'enginyeria social: els atacants suplanten o comprometen una identitat de correu electrònic de confiança per redirigir diners o dades.
• Les quatre variants principals — frau del CEO, frau de proveïdors/factures, desviació de nòmines i compromís de comptes — comparteixen un mecanisme: abusen d'una relació de confiança establerta per eludir els controls normals.
• L'atac té èxit quan no hi ha un segon senyal per verificar la sol·licitud. Només el correu electrònic no és suficient.
• Didit tanca les bretxes amb la Verificació de Correu Electrònic (0,03 $) per detectar adreces de remitents sospitoses, comprovacions d'identitat i KYB per autenticar beneficiaris i proveïdors abans de pagar-los, i Monitoratge de Transaccions per assenyalar pagaments anòmals en temps real.
• El cost d'un sol pagament BEC perdut supera el cost de totes les comprovacions combinades.

Què és el compromís de correu electrònic empresarial?

El BEC és un frau en què un atacant utilitza un correu electròonic d'aspecte legítim — suplantant una adreça, registrant un domini similar o prenent el control d'un compte real — per enganyar un empleat perquè transfereixi diners, canviï detalls de pagament o reveli credencials.

La característica que el defineix és que no ataca sistemes; ataca persones i processos. No hi ha cap càrrega útil per escanejar, cap signatura per coincidir. Un correu electrònic BEC ben elaborat passa tots els filtres de correu brossa perquè, per al filtre, és un correu electrònic normal.

Els principals tipus d'atac

Frau del CEO (suplantació d'executius)

L'atacant suplanta un executiu sènior — CEO, CFO, assessor jurídic general — i envia un correu electrònic a finances amb una sol·licitud urgent i confidencial per transferir fons a un nou compte. La urgència i el secret són deliberats: impedeixen que l'objectiu consulti la sol·licitud amb ningú. El remitent sol ser un domini similar (empresa-corp.com en lloc de empresa.com) o un compte genuí compromès, i el contingut sovint s'investiga a partir del nom de l'objectiu i l'agenda de l'executiu.

Frau de proveïdors i factures

L'atacant suplanta un proveïdor conegut i informa a la comptabilitat que el compte bancari del proveïdor ha canviat, redirigint el següent pagament al nou compte. És efectiu perquè canviar les dades bancàries és un esdeveniment rutinari, no una sol·licitud inusual. El frau només surt a la llum quan el proveïdor real reclama la factura pendent.

Desviació de nòmines

L'atacant suplanta un empleat i demana a Recursos Humans o nòmines que canviïn les seves dades de dipòsit directe abans de la propera execució. L'objectiu és el processador de nòmines intern, de manera que la transacció sembla legítima fins que l'empleat informa d'un sou que falta.

Compromís de comptes (BEC habilitat per ATO)

Aquí l'atacant no suplanta, sinó que posseeix. Un compte real (sovint de finances o compres) és pres per mitjà de phishing de credencials o farciment, i les sol·licituds BEC provenen de l'adreça genuïna. Aquesta és la variant més difícil de detectar, perquè cada senyal d'autenticació diu que el remitent és legítim.

Per què el BEC és tan costós

Les transferències bancàries sovint són irreversibles dins de la finestra de recuperació, de manera que quan la part legítima fa el seguiment, els diners ja s'han mogut. La confiança ja està establerta — la sol·licitud prové del teu CEO, proveïdor o empleat, de manera que la verificació sembla innecessària. La urgència i la confidencialitat suprimeixen els controls que la detectarien, i els dominis similars costen uns quants dòlars de registrar. Amb un nom de visualització plausible, la majoria dels receptors mai no hi miren més enllà.

Com ajuda Didit

El BEC explota les bretxes en la verificació d'identitat en tres punts de la cadena de pagament: quan s'incorpora un proveïdor, quan canvien els detalls del beneficiari i quan s'executa una transacció. Els mòduls de Didit aborden aquests tres punts.

Verificació de Correu Electrònic — detecta remitents sospitosos abans que s'estableixi la confiança

El mòdul de Verificació de Correu Electrònic de Didit (0,03 $ per comprovació) executa l'enviament i comprovació d'OTP més una capa de senyal de risc en menys de dos segons. Per al BEC, els senyals de risc són els més importants:

• Exposició a bretxes — l'adreça apareix en bretxes de dades conegudes, suggerint que pot estar compromesa o recopilada
• Detecció de proveïdors d'un sol ús — un domini temporal o d'un sol ús, coherent amb un compte creat per a l'atac
• Capacitat de lliurament — l'adreça no accepta correus electrònics, de manera que el "proveïdor" pot enviar però mai rebre respostes
• Reputació del domini — el domini és nou, assenyalat o mostra característiques similars

Codis d'advertència retornats: BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, DUPLICATED_EMAIL. Configureu si cadascun activa l'aprovació, la revisió o el rebuig a la Consola Empresarial. Per a l'incorporació de proveïdors o beneficiaris, configurar DISPOSABLE_EMAIL i UNDELIVERABLE_EMAIL per forçar la revisió és una detecció de baix esforç i alt senyal. Executeu-lo en incorporar un proveïdor, registrar un beneficiari o processar un canvi de dades bancàries — no només en el registre.

Verificació d'identitat — confirma que el sol·licitant és qui diu ser

Per a la desviació de nòmines i les sol·licituds de canvi de compte intern, una sessió de verificació afegeix un segon senyal irrefutable: requerir una comprovació d'identitat breu confirma que la persona al teclat és l'empleat registrat.

El flux central de KYC (Verificació d'ID + Liveness Passiva + Coincidència Facial 1:1 + Anàlisi d'IP/Dispositiu) costa 0,33 $ per sessió. Els SDK de Didit cobreixen Web, iOS, Android, React Native i Flutter, de manera que el podeu incrustar al vostre portal de Recursos Humans o nòmines amb una sola trucada API i llegir el resultat mitjançant webhook o l'endpoint de decisió. El senyal del dispositiu també ajuda: si la sessió s'executa des d'un dispositiu o IP mai associat a aquest empleat, s'activarà DUPLICATED_DEVICE_FINGERPRINT o EXPECTED_IP_ADDRESS_MISMATCH.

Verificació d'Empreses (KYB) — valida proveïdors abans del primer pagament

El frau de factures de proveïdors funciona perquè els nous proveïdors a vegades s'incorporen amb confiança — un correu electrònic, un PDF signat, una trucada telefònica. La Verificació d'Empreses (KYB, a partir de 2,00 $) tanca aquesta bretxa amb una cadena programàtica:

• Cerca al registre — confirma que l'empresa existeix i està activa a la seva jurisdicció
• Extracció d'UBO i dades d'oficials — revela qui controla realment l'entitat
• Filtrat AML d'entitats — comprova l'empresa i els seus principals contra més de 1.300 llistes de sancions, PEP i mitjans adversos
• Sessions KYC vinculades — cada UBO pot ser sotmès a una comprovació d'identitat individual completa, tancant el bucle entre l'entitat i l'humà

Un proveïdor amb una empresa recentment registrada, un correu electrònic no lliurable i sense presència al registre és exactament el perfil que creen els operadors de BEC. KYB ho detecta abans que es pagui la primera factura.

Monitoratge de Transaccions — assenyala pagaments anòmals en temps real

Fins i tot amb controls d'incorporació forts, el BEC pot segrestar una relació existent: un atacant que compromet el correu electrònic d'un proveïdor real sol·licita un canvi de dades bancàries en un compte real. El proveïdor és real, la factura és real — només la destinació ha canviat.

El Monitoratge de Transaccions (0,02 $ per transacció) detecta l'anomalia de comportament: un pagament a un compte que el proveïdor mai ha utilitzat, un import fora del seu rang històric o un canvi sobtat de freqüència. El motor de regles inclou 11 paquets predefinits que cobreixen velocitat, import, contrapart i geografia, i podeu afegir regles personalitzades. Les coincidències entren en la gestió de casos per a revisió humana, i un bucle d'autocorrecció AWAITING_USER pot condicionar els pagaments de menor risc a la realització d'una nova verificació d'identitat per part de l'usuari original abans de procedir.

Casos d'ús

Comptes a pagar — incorporació de proveïdors i canvis de dades bancàries

Executeu la Verificació de Correu Electrònic + KYB en afegir un nou proveïdor o canviar les dades de pagament. Un domini d'un sol ús o un error de registre atura el proveïdor fraudulent abans de qualsevol pagament.

Recursos Humans i nòmines — canvis de compte de nòmina dels empleats

Requeriu un pas de KYC cada vegada que un empleat canviï les dades de dipòsit directe. La biometria + la prova de vida confirmen la presència de l'empleat; els senyals de dispositiu i IP confirmen que la sessió s'origina des d'un context conegut.

Operacions financeres — monitoratge de transferències sortints

Executeu el Monitoratge de Transaccions en els fluxos sortints. Assenyaleu contraparts per primera vegada, pagaments per sobre dels llindars històrics i comptes afegits recentment, i redirigiu-los a un revisor abans de l'execució.

Pagaments de plataformes i mercats

Si el vostre producte desembolsa fons a empreses o autònoms, el frau tipus BEC és un risc a nivell de plataforma. KYB per a beneficiaris empresarials i Verificació de Correu Electrònic en el registre són controls bàsics.

Com integrar-se amb Didit

Totes les comprovacions s'executen dins d'una sessió de verificació de Didit. Creeu una sessió amb el flux de treball que inclou els mòduls que necessiteu (Verificació de Correu Electrònic, KYC, KYB, Monitoratge de Transaccions), i després llegiu la decisió mitjançant webhook o l'endpoint de decisió.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'

curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

Referència completa: Verificació de Correu Electrònic · KYB · Monitoratge de Transaccions · models de dades.

Preguntes freqüents

Què diferencia el BEC del phishing ordinari?

El phishing normalment roba credencials enganyant un usuari perquè les introdueixi en algun lloc. El BEC salta aquest pas — utilitza un correu electrònic d'aspecte fiable per manipular l'objectiu perquè transfereixi diners o canviï les dades bancàries directament. No cal robar credencials; l'atac té èxit si l'objectiu simplement compleix.

Com ajuda la Verificació de Correu Electrònic si l'atacant utilitza un compte real que ha compromès?

Per a les variants de compromís de comptes, el senyal d'exposició a bretxes és el més rellevant: si l'adreça apareix en conjunts de dades de bretxes conegudes, això és un indicador que el compte pot haver estat pres. Els senyals de capacitat de lliurament i reputació del domini ajuden amb els dominis similars. El compromís de comptes és la variant més difícil de detectar només per l'adreça — per això és important emparellar les comprovacions de correu electròònic amb el monitoratge de transaccions basat en el comportament.

En quin moment s'ha de requerir el KYB per a un nou proveïdor?

Abans del primer pagament. El cost d'executar el KYB (a partir de 2,00 $ per entitat) és insignificant en relació amb una transferència fraudulenta. Com a mínim, activeu el KYB cada vegada que s'afegeix un nou beneficiari o canvien les dades bancàries d'un beneficiari existent.

Didit cobreix empreses fora de la UE i els EUA?

Sí. La Verificació d'Empreses cobreix registres en més de 220 països i territoris, el filtratge AML cobreix més de 1.300 llistes globals, i el Monitoratge de Transaccions gestiona fiat i cripto. Didit és l'únic proveïdor d'identitat formalment certificat per un govern d'un estat membre de la UE (Tesoro / Banco de España / SEPBLAC d'Espanya) com a més segur que la verificació presencial.

Preparat per començar?

El BEC és un problema de procés tant com de tecnologia — però la tecnologia adequada fa que els controls de procés siguin viables a escala. La verificació de correu electrònic, les comprovacions d'identitat, el KYB i el monitoratge de transaccions de Didit es combinen en el flux de treball exacte que requereixen els vostres processos d'incorporació i pagament.

• Coneix els mòduls → Verificació de Correu Electrònic · KYB · Monitoratge de Transaccions
• Consulta el preu → didit.me/pricing — Verificació de Correu Electrònic 0,03 $, KYB a partir de 2,00 $, Monitoratge de Transaccions 0,02 $/transacció
• Comença gratis → business.didit.me — 500 verificacions gratuïtes/mes, sense mínims