BEC: Seu CEO Vai Pedir TED Pra Fraudador?
Business Email Compromise assessment — auditoria de email-spoofing, illicit consent grant, account takeover do C-level, deepfake voice, runbook anti-fraude.
Por que agora
A dor real
BEC é o ataque mais lucrativo do BR contra média empresa. CEO viaja, fraudador comprometeu email do CFO, gerente paga R$ 800k pra conta falsa. Sem MFA real, sem SPF/DKIM/DMARC, sem cultura de second-channel verification, é só questão de quando.
Referências e ameaças
/superficie-de-ataque
BEC · Email Comprometido
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
SPF, DKIM, DMARC
Validação de policy, alinhamento, reject rate, BIMI, monitoring de relatório agregado.
Account Takeover (M365/Google Workspace)
Phishing, password spray, MFA fatigue, illicit consent grant, app registration backdoor.
Email spoofing e display name
Lookalike domain (intrusi0.io), display name fraud, reply-to manipulation.
Deepfake voice call
Voice cloning de C-level, simulado com autorização — testa runbook de segunda confirmação.
Wire transfer fraud
Mudança de conta de fornecedor, validação out-of-band, processo financeiro.
Runbook anti-BEC
Cultura de second-channel, política de pagamento, treinamento focado em finance + compras.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Resposta a incidente em empresas médias após perda de 6-7 dígitos por BEC; assessment preventivo em fintech e indústria.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridade
dos candidatos a pentester reprovam no nosso Crivo
Você sabe quem vai ter acesso ao seu ambiente?
NDA vale no tribunal. Não vale no dia a dia. Antes do primeiro acesso, todo pentester nosso passa por background, perfil psicométrico e teste de integridade.
- Verificação criminal, fiscal e profissional aprofundada
- Avaliação psicométrica e perfil de risco
- Teste de integridade prático com cenários controlados
- Time fixo — não rotativo, sem 'estranho a cada engajamento'
/faq
FAQ — BEC · Email Comprometido
Vocês fazem ATO simulado no email do CEO?
Sim, com autorização. ATO simulado em conta sandbox separada, sem comprometer dado real. Valida resposta do SOC + processo financeiro.
Faixa de preço?
Assessment técnico (SPF/DKIM/DMARC + ATO check): R$ 18-40k. Assessment completo + tabletop + treinamento: R$ 40-100k.
/contato
Validar runbook anti-BEC
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.