A Polícia de Segurança Pública (PSP) tem estado atenta à inovação relativa aos crimes de burla que não param de ser reinventados. Uma das invenções mais recentes é a Burla CEO FRAUD. Esta burla, que apesar de estatisticamente, não ter até ao momento muitas ocorrências registadas, está a ter um grande impacto nas empresas e nos cidadãos.
A burla CEO FRAUD consiste no envio de e-mails ou mensagens nas quais o burlão se faz passar por um responsável de uma empresa ou organização, solicitando a um funcionário dessa mesma empresa ou organização que proceda a um pagamento, ao envio de algum tipo de informação sensível, ou a uma alteração de dados bancários.
Este tipo de burla inicia-se com um estudo prévio dos alvos, sendo muito relevante nesta fase a engenharia social, que visa, através de manipulação psicológica, levar as pessoas a divulgar informações confidenciais ou fornecer acessos a sistemas. De entre as formas mais comuns destacam-se:
- Phishing – campanhas massivas de e-mails para um grande número de utilizadores de empresas e organizações fazendo-se passar por fontes confiáveis;
- Spear Phishing – campanha de phishing mais seletiva, que exige um estudo sobre o utilizador ou grupo de utilizadores pretendidos e, inclusivamente, a recolha de dados pessoais dos visados por forma a dar mais credibilidade à abordagem;
- Whale Phishing – campanha onde os suspeitos têm como alvo os principais executivos e administradores, normalmente para desviar dinheiro de contas ou furtar dados confidenciais.
Após o estudo e a obtenção de informação pessoal e, eventualmente, de credenciais, os suspeitos procedem à tentativa de burla, que pode revestir-se de várias formas, sendo de realçando-se as seguintes pela sua frequência:
- A personificação de um Diretor da empresa/organização vítima – esta é a modalidade de ataque que dá nome à burla, e consiste em os suspeitos fazerem-se passar por um superior hierárquico, normalmente o diretor da empresa, solicitando a um funcionário que proceda a um pagamento ou a uma transferência urgente;
- A personificação de um cliente ou fornecedor da empresa/organização vítima – nesta modalidade de ataque os suspeitos fazem-se passar por responsáveis de uma empresa que mantém negócios com a empresa vítima, solicitando a esta que os pagamentos em falta sejam feitos para uma nova conta bancária;
- A personificação de um funcionário da empresa/organização vítima – os suspeitos fazem-se passar por funcionários da própria empresa e solicitam aos serviços administrativos que seja alterada a conta bancária destinatária do seu vencimento.
O sucesso desta burla depende, em grande medida, não só do estudo prévio dos suspeitos e da sua capacidade em personificarem de forma convincente os diferentes atores empresariais, mas também pelas características da própria mensagem que exploram as seguintes ideias-chave: Sensação de urgência ou ameaça para que seja feito rapidamente o que é pedido; Necessidade de contacto direto por indisponibilidade do responsável pela área; Necessidade de sigilo por se tratar de matéria sensível.
O combate a estes fenómenos passa, sobretudo, pelo reforço das medidas de segurança a adotar pelas pessoas e pelas instituições, reduzindo desta forma o risco de serem alvo deste tipo de ataques. Para o efeito, a PSP aconselha a:
- Definir procedimentos internos para a alteração de IBAN que exijam uma dupla confirmação por parte do interessado;
- Definir procedimentos internos para os pagamentos exigindo uma dupla confirmação da legitimidade do pagamento;
- Nunca partilhar códigos ou credenciais de acesso por mensagem ou telefone, mesmo que do outro lado pareça estar uma entidade séria;
- Verificar o endereço do remetente de emails recebidos ou o número de telemóvel de mensagens de texto, se for solicitada informação sensível ou forem feitos pedidos críticos, como transferências bancárias;
- Promover uma política de segurança, realizando ações de sensibilização internas junto dos funcionários, alertando para os riscos deste e de outros tipos de fraude.