O esquema criminoso CEO Fraud, também conhecido por “Business Email Compromise” (BEC), é uma das ameaças mais sofisticadas que as empresas podem enfrentar, independentemente da sua dimensão. Este tipo de ataque fraudulento envolve a usurpação da identidade de um dos executivos destas organizações, com vista a ludibriar os colaboradores e induzi-los a transferir fundos ou revelar informações confidenciais.
O que é um ataque de CEO Fraud
Um ataque de CEO Fraud refere-se a um esquema fraudulento no qual os criminosos assumem a identidade de um executivo da empresa, geralmente o CEO, e instruem os colaboradores a realizar transferências financeiras ou a partilhar informações sensíveis. Esses ataques são particularmente eficazes porque exploram a hierarquia organizacional e a urgência aparente das solicitações.
Como funciona o esquema CEO Fraud
Estes ataques fraudulentos seguem geralmente um padrão específico que comporta diversas fases:
• Os criminosos pesquisam informações sobre a empresa-alvo para identificar os responsáveis, os funcionários-chave e as políticas internas de transferência de fundos. Esse processo pode incluir a análise de sites corporativos, redes sociais e outras fontes públicas para reunir dados sobre esses intervenientes;
• Através da utilização de técnicas de phishing ou ações de engenharia social são obtidos os acessos a contas de correio eletrónico corporativas, ou, em alternativa são criados endereços de e-mail falsos que imitam os originais;
• Para a execução da fraude os criminosos enviam mensagens de correio eletrónico para colaboradores específicos, frequentemente ligados ao departamento financeiro, solicitando uma transferência urgente de fundos ou informações confidenciais. Essas mensagens são cuidadosamente elaboradas para parecerem legítimas e muitas vezes incluem detalhes específicos sobre projetos das empresas para aumentar a credibilidade das mesmas;
• O colaborador, acreditando que a solicitação é legítima, efetua a transferência para uma conta controlada pelos criminosos. Em alguns casos, os criminosos também podem solicitar informações confidenciais que podem ser utilizadas em futuros ataques.
Os diversos tipos de CEO Fraud
• Falsificação da fatura (Invoice Fraud) – Os criminosos falsificam as faturas com vista à sua remessa junto do departamento financeiro da empresa, solicitando que seja efetuado um pagamento urgente.
• Sequestro de conta de E-mail (Email Account Compromise) – Os atacantes comprometem a conta de correio eletrónico do executivo e utilizam a mesma para remeter solicitações fraudulentas.
• Fraude de fornecedor (Vendor Email Compromise) – Os criminosos fazem-se passar por fornecedores legítimos e solicitam alterações ao meio de pagamento ou enviam faturas fraudulentas.
Como pode proteger a sua organização
A prevenção contra esta fraude envolve uma combinação de fatores, relacionados com a consciencialização, políticas rigorosas de procedimentos e tecnologias de segurança.
• Implemente ações de formação junto dos seus colaboradores para reconhecer as mensagens de correio eletrónico suspeitas e as técnicas de engenharia social utilizadas pelos criminosos. Para o efeito, poderá organizar sessões de formação regulares e simulações de ações de phishing para manter os colaboradores em alerta.
• Implemente a autenticação de dois fatores (2FA) para aceder às contas de correio eletrónico corporativas para dificultar os acessos não autorizados.
• Estabeleça processos de verificação que contemplem múltiplos níveis para a efetivação de transferências financeiras, incluindo a confirmação telefónica. Neste sentido, desenvolva políticas claras de comunicação em processos que envolvam estas atividades.
• Utilize ferramentas de monitorização de correio eletrónico para detetar atividades suspeitas. Algumas ferramentas que integram inteligência artificial podem ajudar na identificação de padrões anómalos em comunicações que possam indiciar fraudes em execução.
• De forma regular, reveja e atualize as políticas de segurança organizacionais para se ajustar às novas ameaças e garantir que todos os colaboradores estejam cientes das melhores práticas de segurança.
Em caso de vitimização
O esquema fraudulento CEO Fraud torna-se assim uma atividade delituosa astuta que pode causar grandes prejuízos financeiros e reputacionais às organizações. No entanto, com as medidas preventivas adequadas e uma cultura de segurança bem estabelecida, as organizações podem reduzir significativamente o risco de se tornarem vítimas desse tipo de fraude.
Em caso de vitimização deverá contactar de imediato as autoridades policiais, nomeadamente a Polícia Judiciária.