Business Email Compromise (BEC), ou Comprometimento de E-mail Empresarial, é um esquema de fraude digital altamente sofisticado que explora a confiança nas comunicações corporativas para obter ganhos financeiros ilícitos. Diferentemente de ataques cibernéticos convencionais que frequentemente empregam malware ou exploits , o BEC se caracteriza por abordagens de engenharia social e falsificação de identidade, induzindo vítimas a realizarem transferências financeiras fraudulentas ou a divulgar informações classificadas como sensíveis (ENISA, 2022).
Trata-se de uma ameaça emergente desde a década de 2010, evoluindo a partir de simples golpes de “phishing” para esquemas complexos de impersonação de executivos e fornecedores. O aspecto inovador do BEC é fundamentar-se na exploração da confiança humana, e não simplesmente em vulnerabilidades técnicas, o que tem permitido que esses ataques contornem muitas das defesas tradicionais de segurança da informação (ENISA, 2022; Abnormal, 2025).
Nos últimos anos, o BEC consolidou-se como uma das formas de crime cibernético de maior impacto financeiro global. Relatórios oficiais demonstram sua escalada: o Internet Crime Complaint Center (IC3) do FBI reportou US$ 2,7 bilhões em perdas relacionadas a BEC somente em 2022, a partir de 21.832 queixas registradas naquele ano (FBI, 2023). O valor representou aproximadamente um quarto de todas as perdas por crimes cibernéticos reportadas nos EUA em 2022, ficando atrás apenas das fraudes de investimento em criptomoedas (FBI, 2023).
A tendência ascendente permanece – em 2024 as perdas com BEC atingiram cerca de US$ 2,8 bilhões, contribuindo para um acumulado de US$ 17,1 bilhões em prejuízos relatados globalmente desde 2015 (FBI, 2025; Abnormal, 2025).
Agências internacionais de aplicação da lei também soam o alarme: a Europol identificou o BEC (também referido como fraude do CEO ou business compromise fraud) como uma ameaça emergente na Europa em meados da década de 2010, com prejuízos dobrando anualmente e expandindo-se rapidamente de países iniciais como França e Bélgica para uma escala mundial (Europol, 2019).
Diante desse cenário, o BEC destaca-se no panorama contemporâneo de fraudes digitais como um vetor de ataque prioritário, exigindo atenção especial da comunidade de segurança da informação devido à sua combinação única de alta eficácia, baixo perfil técnico e danos severos (Papathanasiou et al., 2023).
Métodos
Este estudo foi conduzido por meio de pesquisa exploratória e descritiva, com abordagem qualitativa e documental. Realizou-se levantamento de dados secundários em fontes confiáveis e especializadas sobre BEC, visando delinear sua evolução, impacto e características operacionais. Foram consultados relatórios institucionais, incluindo os relatórios anuais do Internet Crime Complaint Center do FBI (por exemplo, Internet Crime Report de 2022 e 2024) e alertas públicos correlatos, que fornecem estatísticas de incidentes e prejuízos financeiros (FBI, 2023; FBI, 2024). Também foram examinadas publicações de agências de cibersegurança internacionais, como o relatório Threat Landscape da ENISA (Agência da União Europeia para Cibersegurança), e avaliações de ameaças da Europol (por exemplo, o Internet Organised Crime Threat Assessment) referentes a esquemas de fraude por e-mail (ENISA, 2022; Europol, 2019).
Complementarmente, empreendeu-se revisão bibliográfica em bases acadêmicas (IEEE Xplore, Scopus, Google Acadêmico), visando identificar estudos científicos recentes sobre BEC. Foram incluídos artigos revisados por pares que discutem os princípios, técnicas e impactos do BEC, a exemplo de Papathanasiou et al. (2023), além de literatura sobre engenharia social e fraudes eletrônicas correlatas. A pesquisa considerou ainda relatórios de inteligência de ameaças e estudos de mercado produzidos por empresas de segurança, como o relatório anual Data Breach Investigations Report (DBIR) da Verizon e white papers de fornecedores especializados em segurança de e-mail (Verizon, 2022; Cloudflare, 2022). Essas fontes forneceram dados quantitativos (número de incidentes, perdas estimadas, prevalência de vetores de ataque) e análises qualitativas de casos reais e tendências evolutivas do BEC.
Os critérios de seleção priorizaram informações publicadas entre 2018 e 2025, garantindo atualização e relevância contemporânea. Foram incluídos dados globais e regionais (América do Norte, Europa), com ênfase em estatísticas consolidadas e exemplos ilustrativos de casos notórios. Como limitações, destaca-se que os números de incidentes e perdas baseiam-se em dados reportados às autoridades; há subnotificação, dado que muitas organizações podem não divulgar publicamente incidentes de BEC por razões legais ou reputacionais. Além disso, este estudo não realizou coleta de dados primários (como entrevistas ou experimentos), concentrando-se na análise documental de fontes existentes. Apesar dessas limitações, a triangulação de múltiplas fontes confiáveis busca assegurar uma visão abrangente e embasada do fenômeno BEC.
A metodologia adotada configura-se, portanto, como uma análise documental descritiva, de natureza qualitativa, apoiada por dados quantitativos secundários. Essa abordagem permite contextualizar o BEC no cenário de fraudes digitais e extrair padrões e evidências consolidadas na literatura e em relatórios técnicos, fornecendo embasamento teórico-prático para a discussão dos resultados.
Resultados
Prevalência e Impacto Financeiro
Os dados coletados confirmam que o BEC é atualmente uma das modalidades de crime cibernético mais prejudiciais financeiramente. De acordo com o FBI (2023), as queixas de BEC registradas no ano de 2022 totalizaram 21.832 incidentes nos EUA, com perdas superiores a US$ 2,7 bilhões, configurando o segundo tipo de crime com maiores perdas reportadas ao IC3 naquele ano – atrás apenas das fraudes de investimento em criptomoedas (FBI, 2023). Esse montante representou um aumento significativo em relação a 2021, acompanhando uma tendência plurianual de crescimento dos prejuízos causados por BEC. Globalmente, entre 2013 e 2023, estima-se que o golpe já tenha exposto vítimas a mais de US$ 55 bilhões em potenciais perdas (FBI, 2024). O BEC é reportado em todos os 50 estados dos EUA e em pelo menos 186 países, tendo transferências fraudulentas rastreadas para contas bancárias em mais de 140 países diferentes – notadamente, bancos intermediários em Hong Kong, Reino Unido, China, México e Emirados Árabes figuram entre os destinos frequentes dos valores desviados (FBI, 2024). Esses números ilustram a dimensão transnacional da ameaça e sugerem operação de redes criminosas globalizadas por trás de muitos esquemas de BEC.
Um dado relevante é que, embora o volume de ataques BEC seja relativamente baixo em comparação a spam e phishing massivos, o impacto financeiro é desproporcional. Por exemplo, um relatório da Cloudflare (2022) apontou que e-mails maliciosos de BEC representaram apenas cerca de 1,3% do total de ataques de e-mail observados, porém responderam por perdas muito maiores que qualquer outra categoria, devido ao alto valor envolvido em cada fraude. Ademais, verificou-se um aumento no valor mediano das transações fraudulentas associadas a BEC nos últimos anos (ENISA, 2022), indicando que os fraudadores estão solicitando somas cada vez maiores em seus ataques bem-sucedidos, fator corroborado por casos reportados na mídia onde grandes corporações sofreram tentativas de transferência de dezenas de milhões de dólares em um único incidente. Em síntese, o BEC se consolidou como uma fraude de baixo volume e alto impacto, figurando entre os crimes cibernéticos mais onerosos para vítimas corporativas.
Modus Operandi Típico
A análise dos casos e literatura revela um padrão típico de execução do BEC que envolve múltiplas etapas de engenharia social e, ocasionalmente, algum tipo de intrusão técnica. Em linhas gerais, o ataque inicia-se com o comprometimento ou falsificação de uma conta de e-mail legítima. Os criminosos empregam diversas técnicas para isso: cerca de 41% dos incidentes de BEC começam com phishing tradicional – por exemplo, um e-mail enganoso induzindo a vítima a fornecer credenciais de acesso (Verizon, 2022; ENISA, 2022). Outros 25% envolvem uso direto de credenciais obtidas ilicitamente (possivelmente a partir de vazamentos de dados ou ataques anteriores), permitindo o acesso indevido a contas corporativas legítimas (ENISA, 2022).
Em um número considerável de casos, os golpistas recorrem à falsificação de identidade sem malware, seja através de spoofing de e-mail (envio de mensagens a partir de um endereço que imita o domínio de confiança) ou da criação de domínios enganosos muito semelhantes aos de empresas parceiras, dificultando a detecção da fraude. Importante notar que a implementação ampla de protocolos de autenticação de e-mail (como DMARC) mitigou parcialmente os ataques por spoofing direto, mas não elimina golpes em que o atacante registra domínios similares ou compromete contas de e-mail reais, cenários nos quais a mensagem fraudulenta pode passar por todos os filtros de segurança tradicionais.
Uma vez que os criminosos dispõem de uma conta comprometida ou de um canal de comunicação falsificado, eles estudam a organização-alvo e selecionam cuidadosamente a vítima interna. Geralmente, os alvos preferenciais são funcionários com acesso a finanças ou informações sensíveis, tais como profissionais de contas a pagar, executivos financeiros (CFOs), assistentes executivos ou equipes de RH (Papathanasiou et al., 2023). Os atacantes frequentemente monitoram conversas corporativas (quando obtêm acesso interno) para identificar padrões de comunicação, hierarquias e projetos em andamento, a fim de criar mensagens altamente convincentes e contextuais. Com base nessa preparação, o golpe assume diversas formas conhecidas:
- Fraude do CEO (CEO fraud): O golpista personifica um executivo sênior (tipicamente o CEO ou diretor financeiro), enviando um e-mail urgente a um funcionário do financeiro para que execute uma transferência bancária significativa a um suposto fornecedor ou parceiro. A mensagem enfatiza confidencialidade e rapidez, explorando a autoridade do executivo e a pressa para desencorajar verificações adicionais (KnowBe4, 2019; Europol, 2019).
- Fraude de faturas (invoice fraud): Aqui os criminosos se passam por um fornecedor ou prestador de serviço legítimo da empresa. Enviam uma fatura falsa ou alteram os dados bancários em uma fatura real, solicitando o pagamento para uma conta sob controle do fraudador. Essa tática costuma envolver comprometer o e-mail de um fornecedor real (ou falsificar comunicações em nome dele) e aproveitar-se de relações comerciais existentes, o que torna a detecção particularmente difícil (FBI, 2023; Abnormal, 2025).
- Desvio de folha de pagamento: Os atacantes miram o departamento de Recursos Humanos ou folha de pagamento, enviando pedidos para alterar dados de depósito bancário de funcionários. Fingindo ser um empregado, o fraudador solicita que seu salário seja redirecionado para uma nova conta (que pertence aos criminosos), causando prejuízo tanto ao empregado quanto à empresa até que a fraude seja descoberta (Abnormal, 2025).
- Solicitação de informações fiscais ou dados sensíveis: Em algumas variações, o objetivo inicial não é uma transferência imediata, mas obter dados que possam viabilizar fraudes subsequentes. Um exemplo comum nos EUA é o pedido de formulários fiscais (W-2) de funcionários, contendo informações pessoais e financeiras que podem ser usadas para fraude de identidade ou preparação de golpes futuros (FBI, 2019). Tais esquemas costumam ocorrer em épocas específicas (como período de declaração de imposto de renda).
- Golpe de cartões-presente (gift cards): Variante na qual o fraudador, posando como um executivo, solicita que um colaborador compre cartões de presente em grande quantidade (por exemplo, cartões de lojas ou de crédito pré-pago) para supostamente presentear clientes ou funcionários, pedindo que envie os códigos dos cartões por e-mail. Esses códigos são rapidamente revendidos ou utilizados pelos criminosos, resultando em perda financeira direta para a empresa (FBI, 2023).
Independentemente da modalidade, alguns elementos em comum se destacam no modus operandi do BEC. As mensagens costumam apresentar tom de urgência e sigilo, pressionando o destinatário a agir rapidamente (“isso é extremamente urgente e confidencial”). Os fraudadores aproveitam diferenças de fuso horário ou enviam comunicações em horários estratégicos – por exemplo, fim de expediente de sexta-feira – para dificultar a validação imediata por outros canais (ENISA, 2022). Em casos mais avançados, os criminosos complementam o engano com ligações telefônicas de voz falsificada (vishing) para confirmar instruções: há relatos de uso de spoofing de número de telefone da empresa ou mesmo de áudio gerado por inteligência artificial imitando a voz de um diretor, visando reforçar a credibilidade do pedido (Interpol, 2022; Abnormal, 2025).
Além disso, criminosos têm utilizado plataformas de videoconferência comprometidas ou adulteradas – por exemplo, participando de reuniões via Zoom/Teams com perfis falsos ou vídeos congelados – para se passar por executivos e reiterar solicitações de pagamento durante reuniões virtuais (FBI, 2022). Esses desenvolvimentos evidenciam a contínua evolução do BEC, com adoção de novas tecnologias (como deepfakes) para aprimorar a fraude, tornando-a ainda mais convincente.
Vetores de Ataque e Técnicas de Intrusão
A natureza do BEC faz com que os vetores de ataque privilegiados sejam aqueles que exploram a confiança e legitimidade dos canais corporativos existentes. O e-mail corporativo permanece o principal meio, sendo o alvo tanto de ataques de phishing (para roubo de credenciais) quanto de ataques de engenharia social puros (mensagens forjadas sem conteúdo malicioso). Como evidenciado, menos da metade dos BECs envolvem um link malicioso ou anexo — ao contrário de phishings tradicionais — o que significa que muitas vezes não há indicadores técnicos óbvios para filtros de segurança (ENISA, 2022).
Em diversos casos, o invasor já está dentro da conta de e-mail de alguém da empresa ou de um parceiro (via comprometimento de conta), e envia a mensagem fraudulenta de um endereço legítimo, tornando a detecção ainda mais desafiadora. A ausência de payloads maliciosos (malware ou URLs suspeitas) é deliberada, pois permite que o e-mail passe despercebido por soluções de segurança convencionais, como gateways de e-mail seguros, que se concentram em identificar vírus, anexos perigosos ou domínios em listas de bloqueio (Abnormal, 2025).
Contudo, há casos de uso de malware auxiliar no contexto de BEC. Keyloggers e trojans de acesso remoto (RATs) podem ser implantados (por exemplo, via phishing inicial) com o objetivo de capturar credenciais e comprometer caixas de e-mail ou ainda para espionar comunicações e identificar futuras oportunidades de fraude (Papathanasiou et al., 2023). Esses malwares costumam ser ferramentas prontamente disponíveis em fóruns clandestinos, exigindo baixo investimento e conhecimentos medianos, o que facilita o acesso de criminosos a campanhas de BEC. Entretanto, uma vez obtido o acesso ou as informações desejadas, o passo final da fraude (a solicitação de transferência) é conduzido sem acionar mecanismos de segurança, baseando-se unicamente na comunicação por e-mail e na manipulação psicológica.
No que tange à superfície de ataque, além do e-mail, os criminosos podem explorar vulnerabilidades nos processos organizacionais. Por exemplo, muitos ataques BEC tiram vantagem de lacunas nos procedimentos de verificação: organizações que não adotam política de dupla verificação para pagamentos (como confirmação verbal com o solicitante) ou que não possuem múltiplos níveis de aprovação para transferências de alto valor tornam-se alvos mais fáceis. A pandemia de COVID-19 e o aumento do trabalho remoto criaram um ambiente propício para BEC, pois reduziram a comunicação presencial e reforçaram a dependência do e-mail para decisões urgentes, tornando colaboradores isolados mais suscetíveis a solicitações fraudulentas que pareçam procedentes da liderança (Papathanasiou et al., 2023).
Finalmente, os resultados da pesquisa indicam que grupos criminosos especializados em BEC diversificaram suas táticas de lavagem e movimentação dos valores roubados. Inicialmente, os pagamentos fraudulentos eram direcionados a contas bancárias controladas pelos golpistas (muitas vezes contas de “laranjas” ou empresas de fachada). Nos últimos anos, verificou-se um aumento do uso de contas de custódia ligadas a exchanges de criptomoedas ou serviços de pagamento digitais para receber os fundos desviados (FBI, 2023). Essa prática dificulta o rastreamento, pois os criminosos rapidamente convertem e repartem os valores em criptomoedas, tornando a recuperação ainda mais complexa. O FBI (2023) observou em 2022 um crescimento de fraudes BEC envolvendo instruções para enviar dinheiro diretamente a plataformas de criptomoeda, reforçando a necessidade de vigilância também nesse domínio.
Discussão
Os achados deste estudo corroboram amplamente a literatura existente e elucidam por que o BEC permanece uma ameaça tão eficaz e desafiadora no campo da segurança da informação. Diferentemente de ataques cibernéticos tradicionais que exploram falhas técnicas em sistemas, o BEC explora vulnerabilidades humanas e processuais da organização alvo. Sua eficácia está alicerçada em princípios clássicos de engenharia social: a exploração da autoridade, da urgência e da confiança. Conforme observado por ENISA (2022), ataques BEC não exigem backdoors ou malware complexo – os criminosos literalmente obtêm sucesso “pedindo” que a vítima lhes entregue o dinheiro, capitalizando na suposição de legitimidade do pedido. Essa inversão de paradigma (ataques baseados em confiança ao invés de exploração técnica) explica por que controles de segurança convencionais muitas vezes falham em detectar ou impedir o BEC. Soluções de perímetro, como filtros anti-spam, antivírus e sistemas de detecção de intrusão, foram projetadas para identificar códigos maliciosos e tráfego anômalo, não para discernir um e-mail aparentemente legítimo com um conteúdo fraudulentamente induzido (Abnormal, 2025). Assim, o BEC escapa das malhas tecnológicas e recai sobre o elo humano da segurança, que tipicamente é o mais suscetível a erros.
A literatura enfatiza que fatores organizacionais e comportamentais contribuem para a vulnerabilidade frente ao BEC. Muitas empresas não possuem políticas rígidas para verificação de solicitações financeiras fora do padrão, ou essas políticas não são devidamente comunicadas e exercitadas. Em ambientes corporativos hierarquizados, funcionários tendem a não questionar ordens de superiores, sobretudo se expressas com caráter de urgência. Ataques BEC tiram proveito dessa dinâmica cultural: o medo de contrariar um suposto diretor solicitando uma transferência imediata, aliado à pressa em “resolver o problema”, suprime muitas vezes o senso crítico do funcionário. Edwards et al. (2017) observam que elementos de persuasão e manipulação psicológica empregados em fraudes avançadas (como linguagem persuasiva, criação de cenários plausíveis, exploração da boa-fé) desempenham papel central no sucesso do golpe. No contexto do BEC, os golpistas personificam figuras de confiança (um CEO, um fornecedor regular), imitando seu estilo de comunicação e referenciando detalhes internos (obtidos via espionagem ou redes sociais), o que aumenta drasticamente a credibilidade da fraude perante a vítima.
Outro aspecto discutido é a resiliência e evolução contínua do BEC em face de medidas de combate. As autoridades têm intensificado esforços para desmantelar quadrilhas de BEC – por exemplo, operações internacionais de aplicação da lei (como a “Operation Delilah” mencionada pela Interpol) resultaram em prisões de diversos indivíduos envolvidos em fraudes via e-mail (ENISA, 2022). Ademais, o FBI mantém desde 2018 uma força-tarefa focada na recuperação de ativos de BEC (Recovery Asset Team), que em alguns casos consegue congelar ou reverter transferências se a fraude for notificada em tempo hábil. Apesar disso, os criminosos adaptam-se rapidamente: diversificam rotas de transferência (incluindo criptomoedas), utilizam identidades falsas e mulas financeiras em diferentes jurisdições e, conforme discutido, estão incorporando novas tecnologias (como IA generativa para criar e-mails impecáveis e deepfakes para voz/vídeo) para aumentar o alcance e sofisticação dos golpes (Abnormal, 2025). Essas tendências sugerem que o BEC continuará evoluindo e explorando lacunas tanto tecnológicas quanto humanas.
Estratégias de Mitigação e Implicações
Diante desse panorama, torna-se evidente que as estratégias de mitigação do BEC devem ser multidimensionais, envolvendo tecnologia, processos e fatores humanos. Do ponto de vista tecnológico, embora o BEC não seja essencialmente um ataque técnico, há contramedidas úteis: implementar rigorosamente protocolos de autenticação de e-mail como SPF, DKIM e DMARC pode dificultar spoofing simples de domínios legítimos, forçando atacantes a métodos mais onerosos (Jakobsson, 2016). Além disso, fornecedores de segurança vêm desenvolvendo soluções baseadas em Inteligência Artificial e análise comportamental que aprendem os padrões normais de comunicação e detectam anomalias sutis em e-mails – por exemplo, mudanças no estilo de escrita de um executivo ou pedidos fora do comum – sinalizando potencial comprometimento (Abnormal, 2025). Essas ferramentas, integradas via API ao Microsoft 365 ou Google Workspace, podem analisar contexto (como login suspeito na conta emissora, regras de redirecionamento de e-mail criadas recentemente, etc.) e sinalizar possíveis BEC antes que cheguem ao destinatário. Apesar de promissoras, tais soluções ainda estão em adoção inicial e não substituem a necessidade de conscientização humana.
No âmbito dos processos organizacionais, as organizações devem instituir controles claros: políticas de confirmação fora do canal eletrônico para transações financeiras relevantes (por exemplo, toda solicitação de transferência acima de determinado valor deve ser verificada por telefone ou videoconferência diretamente com o solicitante, usando contatos previamente conhecidos e não os fornecidos no e-mail). Mecanismos de dupla aprovação para pagamentos (segregação de funções, onde o solicitante e aprovador não sejam a mesma pessoa) também reduzem o risco de um único ponto de falha. Simulações internas e testes de resposta (semelhantes a exercícios de phishing simulado) podem ser estendidos a cenários de BEC, de modo a avaliar se funcionários seguiriam um procedimento correto diante de um pedido anômalo do “diretor”. Essas medidas processuais criam camadas de checagem independentes da tecnologia, endereçando a raiz comportamental do problema.
Por fim, o fator humano deve ser abordado através de educação e cultura organizacional. Programas de treinamento em segurança precisam incluir módulos específicos sobre BEC e fraudes de engenharia social, esclarecendo que executivos legítimos não se ofenderão com verificações de segurança. É imperativo treinar funcionários para reconhecer sinais de alerta: comunicações inusitadas fora do horário padrão, tom de urgência exagerada, desvios de procedimentos normais de pagamento, pequenos erros de ortografia no nome de domínio ou no estilo de escrita do remetente, pedidos de sigilo absoluto, etc. (ENISA, 2022). Promover uma cultura na qual questionar pedidos extraordinários é incentivado e apoiado pela diretoria pode fazer a diferença – os colaboradores devem sentir-se encorajados a postergar uma transferência para checar a veracidade, sem medo de retaliação. Adicionalmente, compartilhar relatos de incidentes (internamente ou do setor) ajuda a sensibilizar pelo exemplo, mostrando que tais golpes ocorrem e podem atingir qualquer nível hierárquico.
Conclusão
Em síntese, a discussão reforça que o Business Email Compromise representa uma ameaça original dentro do panorama de cibersegurança, pois baseia-se na exploração da confiança inerente às relações humanas e comerciais, em vez de brechas técnicas. Essa característica torna seu combate desafiador: requer que tecnologia, processos e pessoas atuem em conjunto para reforçar o elo mais fraco – o fator humano.
À luz dos resultados apresentados, conclui-se que mitigar efetivamente o BEC demanda uma abordagem holística de security awareness, controles organizacionais rigorosos e adoção criteriosa de soluções inovadoras que possam identificar e bloquear tentativas de fraude baseadas em engenharia social. Somente combinando esses esforços será possível reduzir o impacto desta forma de crime digital que, apesar de não envolver malwares sofisticados, provou ser extremamente eficaz em subverter a confiança e causar perdas milionárias às organizações.
Referências
Abnormal (2025) – ABNORMAL. Why BEC Remains the $2.8 Billion Problem CISOs Can’t Ignore. Abnormal Security Blog, 3 set. 2025. Disponível em: https://abnormal.ai/blog/bec-problem-cisos-cant-ignore. Acesso em: 10 out. 2025.
Cloudflare (2022) – CLOUDFLARE. Cloudflare Security Report 2022 – How to Stop Business Email Compromise. Cloudflare, Mai. 2022. Disponível em: https://cf-assets.www.cloudflare.com/\[…\]HowtoStopBusinessEmailCompromiseMay2022.pdf. Acesso em: 5 jan. 2025.
ENISA (2022) – ENISA – European Union Agency for Cybersecurity. ENISA Threat Landscape 2022 – Report. Luxemburgo: ENISA, 2022. Disponível em: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022. Acesso em: 12 dez. 2025.
Europol (2019) – EUROPOL. Focus on CEO Fraud. Comunicado à imprensa, 22 jul. 2019. Europol Newsroom. Disponível em: https://www.europol.europa.eu/newsroom/news/focus-ceo-fraud. Acesso em: 2 dez. 2025.
FBI (2019) – FBI – Federal Bureau of Investigation. Public Service Announcement I-082119-PSA: Business Email Compromise – The $26 Billion Scam. Washington, DC: IC3/FBI, 2019. Disponível em: https://www.ic3.gov/Media/Y2019/PSA190910. Acesso em: 10 jan. 2026.
FBI (2023) – FBI – Federal Bureau of Investigation. Internet Crime Report 2022. Washington, DC: FBI/IC3, 2023. Disponível em: https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf. Acesso em: 15 nov. 2025.
FBI (2024) – FBI – Federal Bureau of Investigation. Business Email Compromise: The $55 Billion Scam (I-091124-PSA). IC3 Public Service Announcement, 11 set. 2024. Disponível em: https://www.ic3.gov/PSA/2024/PSA240911. Acesso em: 5 jan. 2026.
Papathanasiou et al. (2023) – PAPATHANASIOU, A.; LIONTOS, G.; LIAGKOU, V.; GLAVAS, E. Business Email Compromise (BEC) attacks: threats, vulnerabilities and countermeasures – a perspective on the Greek landscape. Journal of Cybersecurity and Privacy, v.3, n.3, p.610-637, 2023. DOI: 10.3390/jcp3030029.
Verizon (2022) – VERIZON. 2022 Data Breach Investigations Report. 15ᵃ ed. Verizon Enterprise, 2022. Disponível em: https://www.verizon.com/business/resources/reports/dbir/. Acesso em: 20 nov. 2025.
