BEC: Seu CEO Vai Pedir TED Pra Fraudador?
Business Email Compromise assessment — auditoria de email-spoofing, illicit consent grant, account takeover do C-level, deepfake voice, runbook anti-fraude.
Por qué ahora
El dolor real
BEC é o ataque mais lucrativo do BR contra média empresa. CEO viaja, fraudador comprometeu email do CFO, gerente paga R$ 800k pra conta falsa. Sem MFA real, sem SPF/DKIM/DMARC, sem cultura de second-channel verification, é só questão de quando.
Referencias y amenazas
/superficie-de-ataque
BEC · Email Comprometido
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
SPF, DKIM, DMARC
Validação de policy, alinhamento, reject rate, BIMI, monitoring de relatório agregado.
Account Takeover (M365/Google Workspace)
Phishing, password spray, MFA fatigue, illicit consent grant, app registration backdoor.
Email spoofing e display name
Lookalike domain (intrusi0.io), display name fraud, reply-to manipulation.
Deepfake voice call
Voice cloning de C-level, simulado com autorização — testa runbook de segunda confirmação.
Wire transfer fraud
Mudança de conta de fornecedor, validação out-of-band, processo financeiro.
Runbook anti-BEC
Cultura de second-channel, política de pagamento, treinamento focado em finance + compras.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Resposta a incidente em empresas médias após perda de 6-7 dígitos por BEC; assessment preventivo em fintech e indústria.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — BEC · Email Comprometido
Vocês fazem ATO simulado no email do CEO?
Sim, com autorização. ATO simulado em conta sandbox separada, sem comprometer dado real. Valida resposta do SOC + processo financeiro.
Faixa de preço?
Assessment técnico (SPF/DKIM/DMARC + ATO check): R$ 18-40k. Assessment completo + tabletop + treinamento: R$ 40-100k.
/contacto
Validar runbook anti-BEC
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.