“Achei que tínhamos ganhado um contrato de 150 mil euros”: Empresas queixam-se de novo esquema de fraude no LinkedIn

O LinkedIn, uma rede social focada no ambiente de trabalho, ganhou grande popularidade nos últimos anos, tornando-se um espaço essencial para estabelecer contactos, procurar emprego ou promover um negócio. É conhecido pelo seu ambiente de apoio e profissionalismo, com interações positivas entre colegas de várias áreas. No entanto, mesmo um ambiente aparentemente seguro como este não conseguiu escapar às estratégias de cibercriminosos que exploram a interação entre utilizadores para promover as suas fraudes.

Investigadores da empresa de cibersegurança Panda Security alertaram para uma nova onda de ciberataques direcionada a pequenas e médias empresas (PMEs) através de mensagens internas no LinkedIn. O objetivo dos atacantes é infiltrar malware nos sistemas das vítimas e, com isso, comprometer a segurança das suas operações.

De acordo com dados do Ministério do Interior de Espanha, a criminalidade cibernética registou um aumento de 9,2% em relação a 2023. Uma das razões para este crescimento é a constante evolução das modalidades de fraude. No caso do esquema que utiliza o LinkedIn como plataforma, os cibercriminosos recorrem a técnicas de engenharia social para solicitar propostas económicas em páginas corporativas de centenas de PMEs ou nos perfis dos seus executivos.

O método é tão sofisticado que, de acordo com a Panda Security, mais de 85% das empresas que receberam as mensagens fraudulentas caíram na armadilha, avançando para a segunda fase do ataque.

O esquema detalhado
Os atacantes assumem a identidade de supostos diretores de uma empresa e, a partir daí, solicitam os serviços da PME-alvo. Para tornar a fraude mais convincente, explica o El Economista, utilizam endereços de e-mail que são quase idênticos aos endereços reais das empresas que fingem representar. Após estabelecerem contacto e ganharem a confiança da vítima, iniciam uma troca de mensagens que culmina no envio de uma documentação para a assinatura de um contrato de prestação de serviços. No entanto, em vez de um contrato legítimo, as vítimas acabam por abrir um ficheiro infetado com malware que assume o controlo de todo o sistema informático da empresa.

Um dos casos mais ilustrativos é o de José Miguel, CEO de uma pequena consultora de transporte e logística, que descreveu ao El Economista como foi enganado pelo esquema: “Pensava que tínhamos ganho um contrato de 150.000€. Mas, em vez disso, toda a nossa empresa foi hackeada.” José Miguel relatou que o e-mail fraudulento parecia legítimo e incluía instruções sobre como descarregar as bases do projeto. “Mencionavam um orçamento e até a comissão habitual que se cobra pelo sucesso nos serviços que oferecemos”, acrescentou.

A sofisticação e realismo dos esquemas de fraude têm sido tão elevados que algumas empresas foram enganadas três vezes consecutivas. O método é particularmente perigoso, pois os cibercriminosos adaptam-se rapidamente e conseguem criar e-mails que aparentam ser provenientes de fontes confiáveis, tornando-se quase indistinguíveis das comunicações empresariais reais.

Como evitar cair nestas fraudes?
Especialistas em cibersegurança recomendam que as empresas adotem medidas preventivas rigorosas para evitar cair em fraudes como estas. Entre as recomendações estão a verificação minuciosa de e-mails de remetentes desconhecidos, especialmente aqueles que solicitam informações ou documentos, e o uso de softwares de segurança que possam identificar e bloquear ameaças. Adicionalmente, é importante que as empresas invistam em formação para os seus colaboradores, de modo a que estejam preparados para identificar sinais de possíveis ataques.