“CEO Fraud” já ouviu falar? PSP alerta para esquema de burla a pessoas e empresas (e deixa conselhos)
A Polícia de Segurança Pública (PSP) lançou um alerta às empresas e cidadãos sobre um novo tipo de burla que, apesar de ainda não ser estatisticamente expressivo em Portugal, tem causado danos significativos às organizações visadas: a “CEO Fraud”. Este tipo de fraude envolve a personificação de altos responsáveis de empresas e organizações, com o objetivo de manipular os funcionários a realizarem pagamentos ou partilharem informações sensíveis.
Como funciona a burla “CEO Fraud”?
A burla “CEO Fraud” é um crime que começa com um estudo meticuloso dos alvos, segundo explica a PSP em comunicado. Os burlões recolhem informações sobre os responsáveis de uma empresa e utilizam engenharia social para manipular os funcionários, levando-os a agir com base em pedidos fraudulentos. Este tipo de crime assenta em várias táticas de phishing, que se distinguem pela sua sofisticação:
- Phishing: Envio massivo de e-mails fraudulentos a utilizadores de empresas, fazendo-se passar por fontes confiáveis.
- Spear Phishing: Uma abordagem mais direcionada, com estudo prévio do utilizador ou grupo de utilizadores, onde se recolhem dados pessoais dos visados para dar mais credibilidade à fraude.
- Whale Phishing: Focado nos altos executivos ou administradores de uma empresa, com o objetivo de desviar grandes somas de dinheiro ou obter dados confidenciais.
Após recolherem informações suficientes, os burlões avançam com a fraude. As formas mais comuns de ataque incluem:
- Personificação de um diretor: Os criminosos fazem-se passar por diretores ou outros superiores hierárquicos da empresa, solicitando a um funcionário que realize um pagamento ou uma transferência com carácter de urgência.
- Personificação de um cliente ou fornecedor: O burlão finge ser um cliente ou fornecedor da empresa, pedindo que pagamentos pendentes sejam feitos para uma nova conta bancária.
- Personificação de um funcionário: Neste cenário, o burlão assume a identidade de um funcionário e pede à empresa que altere o IBAN para onde o salário é transferido.
As técnicas usadas pelos burlões
O sucesso da “CEO Fraud” está não só na preparação meticulosa dos criminosos, como também nas técnicas de manipulação utilizadas. A PSP destaca algumas das estratégias mais comuns:
- Sensação de urgência: O burlão insiste na urgência da transação, muitas vezes alegando que a demora poderá ter consequências graves para a empresa.
- Contacto direto: Os criminosos podem afirmar que o responsável pelo pagamento está indisponível, forçando o funcionário a agir por conta própria.
- Sigilo: Pedem que o pedido seja mantido em segredo, sob o pretexto de tratar-se de uma questão delicada ou confidencial.
Reforço da segurança: as recomendações da PSP
Para prevenir este tipo de burla, a PSP aconselha as empresas e organizações a adotarem um conjunto de boas práticas de segurança, que podem fazer a diferença na proteção contra estes crimes:
- Estabelecer procedimentos internos para a alteração de IBAN, exigindo sempre uma dupla confirmação por parte do responsável.
- Implementar uma política de pagamentos que inclua uma dupla verificação da legitimidade de cada transação.
- Nunca partilhar códigos ou credenciais de acesso através de mensagens ou telefonemas, mesmo que o pedido pareça vir de uma entidade séria.
- Verificar sempre o remetente de e-mails ou o número de telefone de mensagens recebidas, especialmente se forem solicitados dados sensíveis ou transferências financeiras urgentes.
- Promover ações de sensibilização internas junto dos funcionários, educando-os sobre os riscos associados a este e outros tipos de fraude.
Apesar de o número de ocorrências ainda ser reduzido, segundo a PSP, o impacto financeiro e operacional nas empresas vítimas da “CEO Fraud” pode ser devastador. Este tipo de crime, com origem em sofisticadas técnicas de engenharia social, explora as falhas nos processos internos de segurança e a confiança excessiva que muitas vezes existe entre os funcionários e os seus superiores.
A PSP mantém-se atenta a este fenómeno criminal, reforçando a importância de medidas preventivas para mitigar os riscos de ser alvo destas burlas. Num contexto em que as empresas dependem cada vez mais de transações digitais e de comunicação eletrónica, é essencial que estas adotem uma postura proativa no combate à fraud investindo, por exemplo, em políticas de segurança robustas e em formações regulares para todos os colaboradores.