Fraudes de Business Email Compromise (BEC) seguem entre os principais vetores de perdas financeiras corporativas. O relatório Fortra’s December 2025 BEC Global Insights indica uma mudança relevante: golpes envolvendo gift cards passaram a liderar esse tipo de ataque, sinalizando uma evolução na forma como criminosos exploram processos internos e rotinas de trabalho.
Como funcionam os BEC scams hoje
BEC é um tipo de fraude baseado em engenharia social. O atacante se passa por um executivo, gestor ou parceiro e solicita uma ação financeira fora do fluxo habitual.
Nos casos mais recentes, o pedido costuma envolver a compra urgente de gift cards e o envio dos códigos por e-mail ou mensagem. A escolha desse formato não é aleatória: cartões-presente são fáceis de adquirir, difíceis de rastrear e rapidamente convertidos em dinheiro.
O sucesso desse tipo de fraude está menos relacionado a falhas tecnológicas e mais à dinâmica organizacional. Os ataques costumam explorar:
- relações de confiança e hierarquia;
- senso de urgência em decisões operacionais;
- lacunas em processos de validação.
Quando o pedido parece compatível com a rotina da empresa, a chance de verificação diminui.
A relação entre phishing e BEC
Ataques de BEC raramente acontecem de forma isolada. Em muitos casos, são precedidos por campanhas de phishing que ajudam a mapear estruturas internas, hábitos de comunicação e papéis organizacionais.
Dados da Kaspersky indicam que 43% das pequenas e médias empresas da América Latina já sofreram phishing, com o Brasil liderando em volume de tentativas na região. Esse contexto ajuda a explicar por que fraudes mais direcionadas, como BEC, encontram um ambiente favorável para evoluir.
Esse encadeamento mostra que o risco não está apenas no ataque final, mas na sequência de eventos que o torna viável.
Leia também
Práticas que reduzem a exposição
A experiência de mercado mostra que a mitigação de BEC depende principalmente de processos e comportamento organizacional. Entre as medidas mais adotadas estão:
- proibição de solicitações financeiras fora dos fluxos oficiais;
- validação por múltiplos canais em pedidos urgentes;
- treinamento contínuo sobre engenharia social;
- incentivo à confirmação de solicitações atípicas.
Essas práticas não eliminam o risco, mas reduzem significativamente a probabilidade de fraude bem-sucedida.
O papel do seguro cibernético
Com o aumento das perdas financeiras associadas a fraudes digitais, o seguro cibernético passou a integrar a estratégia de mitigação. A cobertura pode apoiar custos de resposta a incidentes, investigações e perdas financeiras decorrentes de fraude.
A contratação da apólice normalmente exige um processo de avaliação de maturidade em segurança e governança. Durante a subscrição, seguradoras analisam controles internos, políticas, treinamentos, processos de validação e planos de resposta a incidentes.
Na prática, esse processo funciona como um diagnóstico estruturado de risco. Além de viabilizar a transferência de parte das perdas financeiras, ele ajuda a identificar lacunas, priorizar melhorias e fortalecer o compliance antes mesmo de um incidente ocorrer.
Assim, o seguro atua de forma complementar aos controles preventivos, contribuindo para maior previsibilidade diante de eventos que não podem ser totalmente evitados.
BEC como parte da agenda corporativa
O avanço das fraudes com gift cards indica uma adaptação dos ataques à realidade operacional das empresas. Em vez de explorar vulnerabilidades técnicas, os criminosos priorizam rotinas administrativas.
Por isso, a resposta mais eficaz tende a combinar compliance, treinamento e instrumentos de proteção. Essa abordagem integrada fortalece a resiliência organizacional diante de um risco que continua evoluindo.
