Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 21 de maio de 2026

Comprometimento de E-mail Corporativo: Como Funciona e Como Prevenir (PT-BR)

O Comprometimento de E-mail Corporativo (BEC) é a forma mais cara de fraude financeira globalmente. Entenda como cada tipo de ataque funciona, por que é tão difícil de detectar e como a verificação de e-mail, checagens de.

Por DiditAtualizado
business-email-compromise-bec.png

Um e-mail chega do CEO: transferência bancária urgente, nova conta bancária, não discuta com ninguém. O endereço parece certo, o tom corresponde, o pedido não é estranho o suficiente para questionar. Dois dias depois, o dinheiro sumiu — e o CEO nunca enviou essa mensagem.

O Comprometimento de E-mail Corporativo (BEC) é uma das categorias de fraude de maior rendimento que visam organizações. Sem malware, sem exploit — apenas um e-mail convincente e um processo que se move mais rápido do que qualquer um para verificar. Este post aborda como cada variante principal de BEC funciona, por que é eficaz e onde a infraestrutura de identidade a impede.

Principais pontos

  • BEC é fraude de engenharia social: atacantes se passam por ou comprometem uma identidade de e-mail confiável para redirecionar dinheiro ou dados.
  • As quatro variantes principais — fraude de CEO, fraude de fornecedor/fatura, desvio de folha de pagamento e comprometimento de conta — compartilham um mecanismo: elas abusam de um relacionamento de confiança estabelecido para contornar os controles normais.
  • O ataque é bem-sucedido quando não há um segundo sinal para verificar a solicitação. O e-mail sozinho não é suficiente.
  • A Didit fecha as lacunas com Verificação de E-mail (US$ 0,03) para detectar endereços de remetentes suspeitos, checagens de identidade e KYB para autenticar recebedores e fornecedores antes de serem pagos, e Monitoramento de Transações para sinalizar pagamentos anômalos em tempo real.
  • O custo de um único pagamento BEC perdido supera o custo de todas as verificações combinadas.

O que é Comprometimento de E-mail Corporativo?

BEC é uma fraude em que um atacante usa um e-mail com aparência legítima — falsificando um endereço, registrando um domínio semelhante ou assumindo uma conta real — para enganar um funcionário a transferir dinheiro, alterar detalhes de pagamento ou divulgar credenciais.

A característica definidora é que não ataca sistemas; ataca pessoas e processos. Não há carga útil para escanear, nenhuma assinatura para corresponder. Um e-mail BEC bem elaborado passa por todos os filtros de spam porque, para o filtro, é um e-mail normal.

Os principais tipos de ataque

Fraude de CEO (personificação executiva)

O atacante se passa por um executivo sênior — CEO, CFO, conselheiro geral — e envia um e-mail ao setor financeiro com um pedido urgente e confidencial para transferir fundos para uma nova conta. A urgência e o sigilo são deliberados: eles impedem que o alvo discuta o pedido com qualquer pessoa. O remetente geralmente é um domínio semelhante (empresa-corp.com em vez de empresa.com) ou uma conta genuína comprometida, e o conteúdo é frequentemente pesquisado a partir do nome do alvo e da agenda do executivo.

Fraude de fornecedor e fatura

O atacante se passa por um fornecedor conhecido e informa ao contas a pagar que a conta bancária do fornecedor foi alterada, redirecionando o próximo pagamento para a nova conta. É eficaz porque a alteração dos dados bancários é um evento rotineiro, não um pedido incomum. A fraude só aparece quando o fornecedor real cobra a fatura em atraso.

Desvio de folha de pagamento

O atacante se passa por um funcionário e pede ao RH ou folha de pagamento para alterar seus detalhes de depósito direto antes da próxima execução. O alvo é o processador interno de folha de pagamento, então a transação parece legítima até que o funcionário relate um salário ausente.

Comprometimento de conta (BEC habilitado por ATO)

Aqui o atacante não falsifica — ele possui a conta. Uma conta real (muitas vezes financeira ou de compras) é assumida por meio de phishing de credenciais ou preenchimento de credenciais, e as solicitações de BEC vêm do endereço genuíno. Esta é a variante mais difícil de detectar, porque todos os sinais de autenticação dizem que o remetente é legítimo.

Por que BEC é tão caro

As transferências bancárias são frequentemente irreversíveis dentro da janela de recall, então, quando a parte legítima faz o acompanhamento, o dinheiro já se moveu. A confiança é pré-estabelecida — o pedido vem do seu CEO, fornecedor ou funcionário, então a verificação parece desnecessária. Urgência e confidencialidade suprimem os controles que o pegariam, e domínios semelhantes custam alguns dólares para registrar. Com um nome de exibição plausível, a maioria dos destinatários nunca olha além disso.

Como a Didit ajuda

BEC explora as lacunas na verificação de identidade em três pontos da cadeia de pagamento: quando um fornecedor é integrado, quando os detalhes do recebedor mudam e quando uma transação é executada. Os módulos da Didit abordam todos os três.

Verificação de E-mail — detecte remetentes suspeitos antes que a confiança seja estendida

O módulo de Verificação de E-mail da Didit (US$ 0,03 por verificação) executa o envio e verificação de OTP mais uma camada de sinal de risco em menos de dois segundos. Para BEC, os sinais de risco são os mais importantes:

  • Exposição a violação — o endereço aparece em violações de dados conhecidas, sugerindo que pode ter sido comprometido ou coletado
  • Detecção de provedor descartável — um domínio temporário ou descartável, consistente com uma conta criada para o ataque
  • Entregabilidade — o endereço não aceita e-mail, então o "fornecedor" pode enviar, mas nunca receber respostas
  • Reputação de domínio — o domínio é novo, sinalizado ou apresenta características de similaridade

Códigos de aviso retornados: BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, DUPLICATED_EMAIL. Você configura se cada um aciona aprovação, revisão ou recusa no Business Console. Para integração de fornecedores ou recebedores, definir DISPOSABLE_EMAIL e UNDELIVERABLE_EMAIL para revisão forçada é uma detecção de baixo esforço e alto sinal. Execute-o ao integrar um fornecedor, registrar um recebedor ou processar uma alteração de detalhes bancários — não apenas no cadastro.

Verificação de identidade — confirme que o solicitante é quem ele afirma ser

Para desvio de folha de pagamento e solicitações internas de alteração de conta, uma sessão de verificação adiciona um segundo sinal irrefutável: exigir uma breve verificação de identidade confirma que a pessoa ao teclado é o funcionário registrado.

O fluxo principal de KYC (Verificação de ID + Liveness Passiva + Correspondência Facial 1:1 + Análise de IP/Dispositivo) custa US$ 0,33 por sessão. Os SDKs da Didit cobrem Web, iOS, Android, React Native e Flutter, para que você possa incorporá-lo em seu portal de RH ou folha de pagamento com uma única chamada de API e ler o resultado via webhook ou o endpoint de decisão. O sinal do dispositivo também ajuda: se a sessão for executada de um dispositivo ou IP nunca associado a esse funcionário, DUPLICATED_DEVICE_FINGERPRINT ou EXPECTED_IP_ADDRESS_MISMATCH será acionado.

Verificação de Negócios (KYB) — valide fornecedores antes do primeiro pagamento

A fraude de fatura de fornecedor funciona porque novos fornecedores às vezes são integrados com base na confiança — um e-mail, um PDF assinado, um telefonema. A Verificação de Negócios (KYB, a partir de US$ 2,00) fecha essa lacuna com uma cadeia programática:

  • Consulta de registro — confirma que a empresa existe e está ativa em sua jurisdição
  • Extração de UBO e dados de diretores — revela quem realmente controla a entidade
  • Triagem AML de entidade — verifica a empresa e os principais contra mais de 1.300 listas de sanções, PEP e mídia adversa
  • Sessões de KYC vinculadas — cada UBO pode ser submetido a uma verificação de identidade individual completa, fechando o ciclo entre entidade e humano

Um fornecedor com uma empresa recém-registrada, um e-mail não entregável e sem presença em registro é exatamente o perfil que os operadores de BEC criam. O KYB detecta isso antes que a primeira fatura seja paga.

Monitoramento de Transações — sinalize pagamentos anômalos em tempo real

Mesmo com fortes controles de integração, o BEC pode sequestrar um relacionamento existente: um atacante que compromete o e-mail de um fornecedor real solicita uma alteração de detalhes bancários em uma conta real. O fornecedor é real, a fatura é real — apenas o destino mudou.

O Monitoramento de Transações (US$ 0,02 por transação) detecta a anomalia comportamental: um pagamento para uma conta que o fornecedor nunca usou, um valor fora de seu histórico ou uma mudança repentina na frequência. O motor de regras oferece 11 pacotes pré-configurados cobrindo velocidade, valor, contraparte e geografia, e você pode adicionar regras personalizadas. As correspondências entram no gerenciamento de casos para revisão humana, e um loop de remediação automática AWAITING_USER pode barrar pagamentos de menor risco até que o usuário original conclua uma reverificação de identidade antes de prosseguir.

Casos de uso

Contas a pagar — integração de fornecedores e alterações de dados bancários

Execute Verificação de E-mail + KYB ao adicionar um novo fornecedor ou alterar detalhes de pagamento. Um domínio descartável ou uma falha de registro impede o fornecedor fraudulento antes de qualquer pagamento.

RH e folha de pagamento — alterações de conta de folha de pagamento de funcionários

Exija uma etapa de KYC sempre que um funcionário alterar os detalhes de depósito direto. Biometria + vivacidade confirmam a presença do funcionário; sinais de dispositivo e IP confirmam que a sessão se origina de um contexto conhecido.

Operações financeiras — monitoramento de transferências bancárias de saída

Execute o Monitoramento de Transações em fluxos de saída. Sinalize contrapartes de primeira vez, pagamentos acima dos limites históricos e contas adicionadas recentemente, e encaminhe-os para um revisor antes da execução.

Pagamentos de plataformas e marketplaces

Se seu produto desembolsa fundos para empresas ou freelancers, a fraude estilo BEC é um risco em nível de plataforma. KYB em recebedores de negócios e Verificação de E-mail no cadastro são controles básicos.

Como integrar com a Didit

Todas as verificações são executadas dentro de uma sessão de verificação da Didit. Crie uma sessão com o fluxo de trabalho que inclui os módulos de que você precisa (Verificação de E-mail, KYC, KYB, Monitoramento de Transações), depois leia a decisão via webhook ou o endpoint de decisão.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'
curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

Referência completa: Verificação de E-mail · KYB · Monitoramento de Transações · modelos de dados.

Perguntas frequentes

O que diferencia o BEC do phishing comum?

O phishing geralmente rouba credenciais enganando um usuário para que as insira em algum lugar. O BEC pula essa etapa — ele usa um e-mail com aparência confiável para manipular o alvo a transferir dinheiro ou alterar detalhes bancários diretamente. Nenhuma credencial precisa ser roubada; o ataque é bem-sucedido se o alvo simplesmente obedecer.

Como a Verificação de E-mail ajuda se o atacante usa uma conta real que ele comprometeu?

Para variantes de comprometimento de conta, o sinal de exposição a violação é o mais relevante: se o endereço aparece em conjuntos de dados de violações conhecidas, isso é um indicador de que a conta pode ter sido assumida. Sinais de entregabilidade e reputação de domínio ajudam com domínios semelhantes. O comprometimento de conta é a variante mais difícil de detectar apenas pelo endereço — é por isso que é importante combinar verificações de e-mail com monitoramento de transações comportamentais.

Em que ponto o KYB deve ser exigido para um novo fornecedor?

Antes do primeiro pagamento. O custo de executar o KYB (a partir de US$ 2,00 por entidade) é insignificante em relação a uma transferência fraudulenta. No mínimo, acione o KYB sempre que um novo recebedor for adicionado ou os detalhes bancários de um recebedor existente forem alterados.

A Didit cobre empresas fora da UE e dos EUA?

Sim. A Verificação de Negócios abrange registros em mais de 220 países e territórios, a triagem AML abrange mais de 1.300 listas globais, e o Monitoramento de Transações lida com fiat e cripto. A Didit é o único provedor de identidade formalmente atestado por um governo de um estado membro da UE (Tesoro / Banco de España / SEPBLAC da Espanha) como mais seguro do que a verificação presencial.

Pronto para começar?

O BEC é um problema de processo tanto quanto de tecnologia — mas a tecnologia certa torna os controles de processo viáveis em escala. A verificação de e-mail, as verificações de identidade, o KYB e o monitoramento de transações da Didit compõem o fluxo de trabalho exato que seus fluxos de integração e pagamento exigem.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
BEC: Como Parar Fraudes de E-mail Corporativo | Didit.