Compromisso de Email Empresarial: Como Funciona e Como Prevenir Fraudes BEC (PT-PT)

Chega um email do CEO: transferência bancária urgente, nova conta bancária, não discutir com ninguém. O endereço parece certo, o tom corresponde, o pedido não é estranho o suficiente para questionar. Dois dias depois, o dinheiro desapareceu — e o CEO nunca enviou essa mensagem.

O Compromisso de Email Empresarial (BEC) é uma das categorias de fraude de maior rendimento que visa organizações. Sem malware, sem exploração — apenas um email convincente e um processo que se move mais rápido do que qualquer pessoa consegue verificar. Esta publicação aborda como cada variante principal de BEC funciona, por que é eficaz e onde a infraestrutura de identidade a impede.

Principais conclusões

• BEC é fraude de engenharia social: os atacantes fazem-se passar ou comprometem uma identidade de email fidedigna para redirecionar dinheiro ou dados.
• As quatro variantes principais — fraude do CEO, fraude de fornecedor/fatura, desvio de pagamentos e compromisso de conta — partilham um mecanismo: abusam de uma relação de confiança estabelecida para contornar os controlos normais.
• O ataque tem sucesso quando não há um segundo sinal para verificar o pedido. O email por si só não é suficiente.
• A Didit preenche as lacunas com a Verificação de Email (0,03€) para detetar endereços de remetentes suspeitos, verificações de identidade e KYB para autenticar beneficiários e fornecedores antes de serem pagos, e Monitorização de Transações para sinalizar pagamentos anómalos em tempo real.
• O custo de um único pagamento BEC falhado supera o custo de todas as verificações combinadas.

O que é o Compromisso de Email Empresarial?

BEC é uma fraude em que um atacante usa um email com aparência legítima — falsificando um endereço, registando um domínio semelhante ou assumindo uma conta real — para enganar um funcionário a transferir dinheiro, alterar detalhes de pagamento ou divulgar credenciais.

A característica definidora é que não ataca sistemas; ataca pessoas e processos. Não há carga útil para analisar, nem assinatura para corresponder. Um email BEC bem elaborado passa por todos os filtros de spam porque, para o filtro, é um email normal.

Os principais tipos de ataque

Fraude do CEO (impersonificação executiva)

O atacante faz-se passar por um executivo sénior — CEO, CFO, diretor jurídico — e envia um email ao departamento financeiro com um pedido urgente e confidencial para transferir fundos para uma nova conta. A urgência e o sigilo são deliberados: impedem o alvo de discutir o pedido com qualquer pessoa. O remetente é geralmente um domínio semelhante (empresa-corp.com em vez de empresa.com) ou uma conta genuína comprometida, e o conteúdo é frequentemente pesquisado a partir do nome do alvo e do horário do executivo.

Fraude de fornecedor e fatura

O atacante faz-se passar por um fornecedor conhecido e informa o departamento de contas a pagar que a conta bancária do fornecedor mudou, redirecionando o próximo pagamento para a nova conta. É eficaz porque a alteração de dados bancários é um evento rotineiro, não um pedido incomum. A fraude só aparece quando o fornecedor real persegue a fatura em atraso.

Desvio de pagamentos

O atacante faz-se passar por um funcionário e pede ao RH ou departamento de pagamentos para alterar os seus detalhes de depósito direto antes da próxima execução. O alvo é o processador de pagamentos interno, então a transação parece legítima até que o funcionário reporte um salário em falta.

Compromisso de conta (BEC habilitado por ATO)

Aqui, o atacante não falsifica — ele possui. Uma conta real (muitas vezes de finanças ou compras) é assumida através de phishing de credenciais ou preenchimento de credenciais, e os pedidos BEC vêm do endereço genuíno. Esta é a variante mais difícil de detetar, porque todos os sinais de autenticação dizem que o remetente é legítimo.

Por que BEC é tão dispendioso

As transferências bancárias são frequentemente irreversíveis dentro da janela de recuperação, então, quando a parte legítima faz o seguimento, o dinheiro já se moveu. A confiança é pré-estabelecida — o pedido vem do seu CEO, fornecedor ou funcionário, então a verificação parece desnecessária. A urgência e a confidencialidade suprimem os controlos que o detetariam, e os domínios semelhantes custam alguns euros para registar. Com um nome de exibição plausível, a maioria dos destinatários nunca olha para além disso.

Como a Didit ajuda

O BEC explora lacunas na verificação de identidade em três pontos da cadeia de pagamento: quando um fornecedor é integrado, quando os detalhes do beneficiário mudam e quando uma transação é executada. Os módulos da Didit abordam os três.

Verificação de Email — detete remetentes suspeitos antes que a confiança seja estendida

O módulo de Verificação de Email da Didit (0,03€ por verificação) executa o envio e verificação de OTP mais uma camada de sinal de risco em menos de dois segundos. Para BEC, os sinais de risco são os mais importantes:

• Exposição a violação — o endereço aparece em violações de dados conhecidas, sugerindo que pode ter sido comprometido ou recolhido.
• Deteção de provedor descartável — um domínio temporário ou descartável, consistente com uma conta criada para o ataque.
• Capacidade de entrega — o endereço não aceita email, então o "fornecedor" pode enviar, mas nunca receber respostas.
• Reputação do domínio — o domínio é novo, sinalizado ou mostra características semelhantes.

Códigos de aviso retornados: BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, DUPLICATED_EMAIL. Você configura se cada um aciona aprovação, revisão ou recusa na Business Console. Para integração de fornecedores ou beneficiários, definir DISPOSABLE_EMAIL e UNDELIVERABLE_EMAIL para forçar a revisão é uma deteção de baixo esforço e alto sinal. Execute-o ao integrar um fornecedor, registar um beneficiário ou processar uma alteração de detalhes bancários — não apenas no registo.

Verificação de identidade — confirme que o solicitante é quem afirma ser

Para desvio de pagamentos e pedidos internos de alteração de conta, uma sessão de verificação adiciona um segundo sinal irrefutável: exigir uma breve verificação de identidade confirma que a pessoa ao teclado é o funcionário registado.

O fluxo central KYC (Verificação de ID + Vivacidade Passiva + Comparação Facial 1:1 + Análise de IP/Dispositivo) custa 0,33€ por sessão. Os SDKs da Didit cobrem Web, iOS, Android, React Native e Flutter, para que possa incorporá-lo no seu portal de RH ou pagamentos com uma única chamada de API e ler o resultado via webhook ou o endpoint de decisão. O sinal do dispositivo também ajuda: se a sessão for executada a partir de um dispositivo ou IP nunca associado a esse funcionário, DUPLICATED_DEVICE_FINGERPRINT ou EXPECTED_IP_ADDRESS_MISMATCH será acionado.

Verificação Empresarial (KYB) — valide os fornecedores antes do primeiro pagamento

A fraude de fatura de fornecedor funciona porque os novos fornecedores são por vezes integrados com base na confiança — um email, um PDF assinado, uma chamada telefónica. A Verificação Empresarial (KYB, a partir de 2,00€) fecha essa lacuna com uma cadeia programática:

• Pesquisa de registo — confirma que a empresa existe e está ativa na sua jurisdição.
• Extração de UBO e dados de diretores — revela quem realmente controla a entidade.
• Triagem AML da entidade — verifica a empresa e os seus principais intervenientes contra mais de 1.300 listas de sanções, PEP e meios de comunicação adversos.
• Sessões KYC vinculadas — cada UBO pode passar por uma verificação de identidade individual completa, fechando o ciclo entre a entidade e o ser humano.

Um fornecedor com uma empresa recém-registada, um email não entregável e sem presença em registo é exatamente o perfil que os operadores BEC criam. O KYB deteta isso antes da primeira fatura ser paga.

Monitorização de Transações — sinalize pagamentos anómalos em tempo real

Mesmo com fortes controlos de integração, o BEC pode sequestrar uma relação existente: um atacante que compromete o email de um fornecedor real solicita uma alteração de detalhes bancários numa conta real. O fornecedor é real, a fatura é real — apenas o destino mudou.

A Monitorização de Transações (0,02€ por transação) deteta a anomalia comportamental: um pagamento para uma conta que o fornecedor nunca usou, um valor fora do seu intervalo histórico ou uma mudança súbita na frequência. O motor de regras inclui 11 pacotes predefinidos que cobrem velocidade, valor, contraparte e geografia, e pode adicionar regras personalizadas. As correspondências entram na gestão de casos para revisão humana, e um ciclo de remediação automática AWAITING_USER pode bloquear pagamentos de menor risco até que o utilizador de origem conclua uma reverificação de identidade antes de prosseguir.

Casos de uso

Contas a pagar — integração de fornecedores e alterações de detalhes bancários

Execute a Verificação de Email + KYB ao adicionar um novo fornecedor ou alterar detalhes de pagamento. Um domínio descartável ou uma falha de registo impede o fornecedor fraudulento antes de qualquer pagamento.

RH e pagamentos — alterações de conta de pagamento de funcionários

Exija um passo KYC sempre que um funcionário alterar os detalhes de depósito direto. Biometria + vivacidade confirmam a presença do funcionário; os sinais de dispositivo e IP confirmam que a sessão se origina de um contexto conhecido.

Operações financeiras — monitorização de transferências externas

Execute a Monitorização de Transações em fluxos de saída. Sinalize contrapartes pela primeira vez, pagamentos acima dos limites históricos e contas adicionadas recentemente, e encaminhe-os para um revisor antes da execução.

Pagamentos de plataformas e marketplaces

Se o seu produto desembolsa fundos para empresas ou freelancers, a fraude estilo BEC é um risco a nível da plataforma. KYB para beneficiários empresariais e Verificação de Email no registo são controlos básicos.

Como integrar com a Didit

Todas as verificações são executadas dentro de uma sessão de verificação da Didit. Crie uma sessão com o fluxo de trabalho que inclui os módulos de que necessita (Verificação de Email, KYC, KYB, Monitorização de Transações), depois leia a decisão via webhook ou o endpoint de decisão.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'

curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

Referência completa: Verificação de Email · KYB · Monitorização de Transações · modelos de dados.

Perguntas frequentes

O que torna o BEC diferente do phishing comum?

O phishing geralmente rouba credenciais, enganando um utilizador a inseri-las em algum lugar. O BEC salta esse passo — usa um email com aparência fidedigna para manipular o alvo a transferir dinheiro ou alterar detalhes bancários diretamente. Nenhuma credencial precisa ser roubada; o ataque tem sucesso se o alvo simplesmente obedecer.

Como a Verificação de Email ajuda se o atacante usa uma conta real que comprometeu?

Para variantes de compromisso de conta, o sinal de exposição a violação é o mais relevante: se o endereço aparecer em conjuntos de dados de violação conhecidos, isso é um indicador de que a conta pode ter sido tomada. Os sinais de capacidade de entrega e reputação do domínio ajudam com domínios semelhantes. O compromisso de conta é a variante mais difícil de detetar apenas pelo endereço — é por isso que emparelhar verificações de email com monitorização comportamental de transações é importante.

Em que ponto o KYB deve ser exigido para um novo fornecedor?

Antes do primeiro pagamento. O custo de executar o KYB (a partir de 2,00€ por entidade) é insignificante em relação a uma transferência fraudulenta. No mínimo, acione o KYB sempre que um novo beneficiário for adicionado ou os detalhes bancários de um beneficiário existente forem alterados.

A Didit cobre empresas fora da UE e dos EUA?

Sim. A Verificação Empresarial abrange registos em mais de 220 países e territórios, a triagem AML abrange mais de 1.300 listas globais, e a Monitorização de Transações lida com moeda fiduciária e criptomoedas. A Didit é o único provedor de identidade formalmente atestado por um governo de um estado membro da UE (Tesouro / Banco de Espanha / SEPBLAC de Espanha) como mais seguro do que a verificação presencial.

Pronto para começar?

O BEC é tanto um problema de processo quanto de tecnologia — mas a tecnologia certa torna os controlos de processo viáveis em escala. A verificação de email, verificações de identidade, KYB e monitorização de transações da Didit compõem o fluxo de trabalho exato que os seus fluxos de integração e pagamento exigem.

• Conheça os módulos → Verificação de Email · KYB · Monitorização de Transações
• Verifique o preço → didit.me/pricing — Verificação de Email 0,03€, KYB a partir de 2,00€, Monitorização de Transações 0,02€/transação
• Comece grátis → business.didit.me — 500 verificações gratuitas/mês, sem mínimos