A PSP, atenta aos fenómenos criminais, tem-se preocupado com os crimes de burla que vão surgindo, como é o caso da mais recente, a “CEO Fraud”. Esta burla, ainda que, estatisticamente, “não se tenha traduzido em muitas ocorrências registadas até ao momento, tem um grande impacto nas empresas e nos cidadãos”.
A burla “CEO Fraud”, explica a PSP em comunicado enviado às redações, “consiste no envio de e-mails ou mensagens nas quais o burlão se faz passar por um responsável de uma empresa ou organização, solicitando a um funcionário dessa mesma empresa ou organização que proceda a um pagamento, ao envio de algum tipo de informação sensível, ou a uma alteração de dados bancários”.
Este tipo de burla “inicia-se com um estudo prévio dos alvos, sendo muito relevante nesta fase a engenharia social, que visa, através de manipulação psicológica, levar as pessoas a divulgar informações confidenciais ou fornecer acessos a sistemas”. De entre as formas mais comuns destacam-se o Phishing, com campanhas massivas de e-mails para um grande número de utilizadores de empresas e organizações fazendo-se passar por fontes confiáveis; o Spear Phishing, uma campanha de phishing mais seletiva, que exige um estudo sobre o utilizador ou grupo de utilizadores pretendidos e, inclusivamente, a recolha de dados pessoais dos visados por forma a dar mais credibilidade à abordagem; e o Whale Phishing, campanha onde os suspeitos têm como alvo os principais executivos e administradores, normalmente para desviar dinheiro de contas ou furtar dados confidenciais.
Após o estudo e a obtenção de informação pessoal e, eventualmente, de credenciais, os suspeitos procedem à tentativa de burla, que pode revestir-se de várias formas: desde logo, pela personificação de um diretor da empresa/organização vítima, que é a modalidade de ataque que dá nome à burla, e consiste em os suspeitos fazerem-se passar por um superior hierárquico, normalmente o diretor da empresa, solicitando a um funcionário que proceda a um pagamento ou a uma transferência urgente. Há também a possibilidade de personificação de um cliente ou fornecedor da empresa/organização vítima, sendo que nesta modalidade de ataque os suspeitos fazem-se passar por responsáveis de uma empresa que mantém negócios com a empresa vítima, solicitando a esta que os pagamentos em falta sejam feitos para uma nova conta bancária. Por outro lado, e na personificação de um funcionário da empresa/organização vítima, os suspeitos fazem-se passar por funcionários da própria empresa e solicitam aos serviços administrativos que seja alterada a conta bancária destinatária do seu vencimento.
O sucesso desta burla depende, em grande medida, não só do estudo prévio dos suspeitos e da sua capacidade em personificarem de forma convincente os diferentes atores empresariais, mas também pelas características da própria mensagem que exploram as seguintes ideias-chave: Sensação de urgência ou ameaça para que seja feito rapidamente o que é pedido; Necessidade de contacto direto por indisponibilidade do responsável pela área; Necessidade de sigilo por se tratar de matéria sensível.
O combate a estes fenómenos passa, sobretudo, pelo reforço das medidas de segurança a adotar pelas pessoas e pelas instituições, reduzindo desta forma o risco de serem alvo deste tipo de ataques. Para o efeito, a PSP aconselha a definir procedimentos internos para a alteração de IBAN que exijam uma dupla confirmação por parte do interessado; definir procedimentos internos para os pagamentos exigindo uma dupla confirmação da legitimidade do pagamento; nunca partilhar códigos ou credenciais de acesso por mensagem ou telefone, mesmo que do outro lado pareça estar uma entidade séria; verificar o endereço do remetente de emails recebidos ou o número de telemóvel de mensagens de texto, se for solicitada informação sensível ou forem feitos pedidos críticos, como transferências bancárias; e promover uma política de segurança, realizando ações de sensibilização internas junto dos funcionários, alertando para os riscos deste e de outros tipos de fraude.
