O esquema de Falso CEO continua a crescer em Portugal e segundo o Centro Nacional de Cibersegurança está a custar milhões às empresas.
O CEO Fraud continua a crescer em Portugal, apesar das inúmeras campanhas da Polícia Judiciária para interromper este tipo de burlas. Os números resultantes dos crimes são surpreendentes, entre os milhares de euros, aos vários milhões. O Centro Nacional de Cibersegurança (CNCS) publicou um relatório sobre o tema e o seu contexto atual, alertando para o número crescente de casos CEO Fraud e Business Email Compromise Fraud (BEC). Este tipo de incidente afeta tanto cidadãos como organizações, resultando em perdas financeiras significativas.
Segundo o CNCS, estas campanhas corresponderam em 2025 a 18% de todos os incidentes de engenharia social que foram notificados pelo CERT.PT. Estes passam pelo envio de emails e mensagens de texto, seja por SMS ou apps de conversação, em que um agente malicioso se faz passar por uma entidade da empresa.
Por exemplo, um diretor executivo ou fornecedor, que faz pedidos, por norma, de natureza financeira, a colaboradores dessa mesma organização. Muitas vezes é invocado um carácter urgente ou reservado desse pedido, levando ao engano de realizar transferências bancárias para contas do atacante. A sofisticação das burlas chega ao ponto de serem usados documentos falsificados para contextualizar e comprovar essas alterações bancárias.
Sobre a meteorologia dos ataques, os criminosos fazem a recolha da informação pública sobre a organização, sejam colaboradores, funções, fornecedores, contactos e domínios. Depois acedem a emails reais das vítimas, através de credenciais roubadas. Destaque para o spoofing, criando uma falsificação do remetente sem comprometer contas ou o Typosquatting, que passa pela criação de domínios muito semelhantes ao original. Estes pequenos erros podem passar despercebidos mediante a urgência da mensagem, às vítimas mais distraídas.
No campo da engenharia social, estes exploram a autoridade, urgência e a confiança interna dos funcionários. Como exemplos listados, os pedidos urgentes de uma transferência pedida pelo CEO. A entrega de faturas falsas ou pedidos de alteração de IBAN dos fornecedores. O departamento de Recursos Humanos também é constantemente vítima de ataques, sendo pedido para alterar dados bancários dos colaboradores. Por outro lado, o CNCS aponta para o uso de deepfakes que são capazes de simular a voz e imagem dos superiores.
Para evitar este tipo de ameaças de burlas, o CNCS listou algumas boas práticas de prevenção, disponíveis no seu website. Um deles é limitar, sempre que possível, a visibilidade pública de elementos como organogramas e contactos internos da organização. Da mesma forma que os colaboradores devem ser sensibilizados sobre o risco de publicarem informação profissional online. O objetivo é dificultar a recolha de informação para estes ataques.
Pode parecer um “disco riscado”, mas a autenticação de dois fatores em todas as contas continua a ser determinante para evitar qualquer comprometimento das contas da empresa. Deve também limitar a entrada de emails que sejam provenientes de domínios registados recentemente ou que tenham pequenas variações tipográficas, os tais erros. Por fim, implementar medidas que garantam que qualquer alteração de dados de fornecedor só pode ser realizada por este. O guia completo de boas práticas pode ser consultado no website da CNCS.
(Teksapo)