Ataque de comprometimento de e-mail comercial causa prejuízo de R$ 4,7 milhões à Zephyr Energy
Uma empresa de energia no Reino Unido, a Zephyr Energy, sofreu um prejuízo de 700 mil libras esterlinas (cerca de R$ 4,7 milhões) após um ataque hacker desviar o destino de um pagamento que seria feito a outra companhia. O caso se tornou público na última quinta-feira (9) e envolveu a subsidiária americana da Zephyr Energy, que relatou o incidente a seus investidores. O ataque fez o valor ser transferido para um terceiro sem envolvimento na negociação, informou a Zephyr Energy.
A empresa notificou imediatamente as autoridades policiais competentes e está trabalhando com os bancos e consultores envolvidos para tentar recuperar os fundos desviados. A Zephyr Energy disse que seus sistemas estão sendo monitorados continuamente e que, apesar de seguir padrões de mercado, adotou novas camadas de segurança. A empresa afirmou ainda que está realizando suas atividades normalmente e que tem capital de giro suficiente para que a invasão não afete sua operação.
A empresa não detalhou a invasão, mas esse tipo de ataque costuma envolver acessos indevidos a caixas de entrada de e-mails e a sistemas de contabilidade, por exemplo. Os "ataques de comprometimento de e-mail comercial" (BEC, do inglês Business Email Compromise) estão entre os mais comuns e, em 2025, geraram prejuízo de mais de US$ 3 bilhões para milhares de vítimas em 2025, segundo um relatório do FBI.
O que aconteceu com a Zephyr Energy
O incidente da Zephyr Energy ilustra a persistência e a sofisticação dos ataques de fraude financeira corporativa. Ao desviar um pagamento, os criminosos não necessariamente precisam comprometer toda a infraestrutura de TI da empresa, mas sim manipular o fluxo de informações financeiras. O desvio de pagamento é uma tática clássica de BEC, onde o atacante se faz passar por um fornecedor, um parceiro de negócios ou um executivo interno para instruir o departamento financeiro a alterar os dados bancários de uma transação.
A Zephyr Energy, uma empresa britânica de petróleo e gás com subsidiária americana, relatou o incidente a seus investidores, demonstrando a transparência exigida em empresas de capital aberto. O valor desviado, 700 mil libras, representa um impacto financeiro significativo, embora a empresa tenha afirmado que possui capital de giro suficiente para manter suas operações normais. Isso destaca a importância da resiliência financeira e da continuidade dos negócios em face de incidentes de segurança cibernética.
O custo dos ataques de comprometimento de e-mail comercial
Os dados do FBI mencionados no relatório fornecem um contexto alarmante sobre a escala do problema. Em 2025, os ataques de comprometimento de e-mail comercial geraram prejuízo de mais de US$ 3 bilhões para milhares de vítimas. Esse número reflete não apenas o valor direto desviado, mas também os custos de investigação, recuperação de fundos, multas regulatórias e danos à reputação.
O BEC é particularmente perigoso porque frequentemente não envolve malware ou exploração de vulnerabilidades técnicas complexas. Em vez disso, ele depende de engenharia social, manipulação psicológica e, muitas vezes, de credenciais de e-mail comprometidas. A natureza humana é o vetor de ataque mais explorado, tornando a conscientização e os processos de verificação tão críticos quanto as ferramentas de segurança técnica.
Vetores de ataque comuns e técnicas de invasão
A empresa não detalhou a invasão, mas esse tipo de ataque costuma envolver acessos indevidos a caixas de entrada de e-mails e a sistemas de contabilidade. Os vetores mais comuns incluem:
- Phishing direcionado: E-mails fraudulentos que parecem legítimos, enviados a funcionários específicos (como contadores ou executivos) para roubar credenciais.
- Comprometimento de conta de e-mail (CEO Fraud): O atacante assume o controle de uma conta de e-mail de um executivo e solicita transferências urgentes.
- Alteração de dados bancários: O atacante insere-se em uma cadeia de e-mails legítima e altera as informações de conta do fornecedor ou do cliente.
- Falsificação de domínio: Uso de domínios visualmente semelhantes aos legítimos para enganar os destinatários.
A exploração de sistemas de contabilidade também é um vetor crítico. Se um atacante consegue acesso a um sistema de ERP ou contabilidade, pode alterar diretamente os dados de pagamento, tornando a detecção mais difícil para os sistemas de segurança tradicionais que focam em e-mail e rede.
Impacto financeiro e operacional
O prejuízo de 700 mil libras esterlinas (cerca de R$ 4,7 milhões) é um exemplo claro do impacto financeiro direto de um incidente de segurança. Para empresas de energia e infraestrutura crítica, a interrupção ou desvio de fundos pode ter efeitos em cascata, afetando projetos, pagamentos a fornecedores e a confiança dos investidores.
A Zephyr Energy informou que está trabalhando com os bancos e consultores envolvidos para tentar recuperar os fundos desviados. A recuperação de fundos em casos de fraude financeira é frequentemente difícil e demorada, dependendo da cooperação internacional e da velocidade de resposta das autoridades. O tempo é crucial, pois quanto mais tempo passa, mais difícil é rastrear o dinheiro através de múltiplas contas e jurisdições.
Medidas de mitigação recomendadas
A Zephyr Energy disse que seus sistemas estão sendo monitorados continuamente e que, apesar de seguir padrões de mercado, adotou novas camadas de segurança. Para outras organizações, as seguintes medidas são essenciais para mitigar o risco de BEC:
- Verificação de múltiplos canais: Implementar políticas que exijam a confirmação de alterações de dados bancários por um canal diferente do e-mail (ex.: telefone, mensagem segura).
- Autenticação multifator (MFA): Garantir que todas as contas de e-mail e sistemas financeiros tenham MFA ativado para prevenir o acesso não autorizado.
- Monitoramento de transações: Implementar sistemas de detecção de anomalias que alertem sobre transferências incomuns ou alterações de dados bancários.
- Conscientização de funcionários: Treinar regularmente os funcionários, especialmente os do departamento financeiro, para identificar sinais de phishing e engenharia social.
- Revisão de processos: Realizar auditorias periódicas dos processos de pagamento e aprovação para identificar lacunas de segurança.
Implicações regulatórias e de conformidade
Embora o incidente tenha ocorrido no Reino Unido e envolva uma subsidiária americana, as implicações de conformidade são globais. Empresas que operam no Brasil ou têm filiais no país devem considerar as implicações da Lei Geral de Proteção de Dados (LGPD) em caso de vazamento de dados pessoais ou corporativos associados ao incidente.
A notificação às autoridades, como a Zephyr Energy fez às autoridades policiais competentes, é um passo importante para a conformidade e para a gestão de riscos. Em muitos casos, a notificação de incidentes de segurança é obrigatória por lei, dependendo da natureza dos dados afetados e da jurisdição.
Perguntas frequentes
O que é um ataque de comprometimento de e-mail comercial (BEC)?
É um tipo de fraude onde criminosos se passam por funcionários ou parceiros de negócios para enganar os destinatários e realizar transferências financeiras fraudulentas.
Como as empresas podem se proteger contra BEC?
Implementando políticas de verificação de múltiplos canais, MFA, monitoramento de transações e treinamento de conscientização para funcionários.
É possível recuperar fundos desviados?
A recuperação é possível, mas difícil e demorada. Depende da cooperação dos bancos, autoridades e da velocidade de resposta da empresa.
Qual o impacto financeiro médio desses ataques?
Em 2025, os ataques de BEC geraram prejuízo de mais de US$ 3 bilhões globalmente, segundo o FBI.
A Zephyr Energy sofreu interrupção nas operações?
A empresa informou que está realizando suas atividades normalmente e que tem capital de giro suficiente para que a invasão não afete sua operação.