Está a trabalhar e recebe um email com o assunto “Urgente: pagamento”. E quem vem no remetente? O nome do CEO da sua empresa. “Podes tratar deste pagamento? É urgente” costuma ser o texto que consta da mensagem. Embora possa parecer uma correspondência habitual entre alguns departamentos da empresas, nomeadamente do financeiro, aceder a este pedido pode significar ser vítima de uma fraude com consequências económicas.

A situação descrita é conhecida como “CEO fraud”, em português a “fraude do CEO”. Trata-se de um dos ataques de engenharia social (tentativa de manipulação de pessoas) mais sofisticados em curso, que está também a ganhar projeção em Portugal. “Consiste numa técnica de phishing em que os atacantes tentam fazer-se passar por um executivo com um cargo de alto nível numa empresa (CEO, diretores, etc.)”, explica Alberto R. Rodas, engenheiro de pré-vendas para Espanha e Portugal da empresa de segurança Sophos, em declarações por escrito ao Observador. “Utilizando técnicas de engenharia social como a autoridade e a urgência, o objetivo é conseguir que um colaborador, geralmente do departamento financeiro, faça uma transferência bancária ‘secreta’ e urgente de uma soma considerável de dinheiro.”

A fórmula costuma ser sempre a mesma: o trabalhador recebe um email que aparentemente teve origem num executivo de topo da companhia (presidente executivo, diretor financeiro e por aí fora) e o texto é simples e com tom de urgência. Em casos mais extremos, pode até ser acompanhado de frases como “a empresa depende disto” ou “o destino da empresa está nas tuas mãos” – embora estes dois exemplos já possam levantar algumas suspeitas.

Alberto R. Rodas nota que, numa boa parte dos casos, os “ataques tentam conseguir que a vítima se torne cúmplice”, ao enviar-lhe emails não do chefe direto, mas de alguém com um cargo acima, pedindo-lhe “discrição e urgência por vários motivos”.

Habitualmente está também anexada uma fatura de um pagamento pendente, em alguns casos uma réplica bastante credível de uma fatura. O problema é que, quando é feito o pagamento, não vai parar às mãos de um fornecedor, mas sim às mãos de um grupo de cibercriminosos. Entre os tipos de ataques de engenharia social, a “fraude do CEO” é um dos exemplos de sofisticação: não só é preciso que o autor do esquema saiba quem é o CEO ou executivo por quem se quer fazer passar, mas também que tenha algum critério a definir os alvos. Afinal, enviar um email com o pedido de um pagamento para alguém que não seja da área financeira ou que tenha esse tipo de tarefas não surtiria grandes efeitos.

Ainda assim, apesar de poder ser mais trabalhoso na pesquisa de informação, o responsável da Sophos nota que este esquema tem conquistado “relevância nos últimos tempos” pelo facto de não ser preciso grande esforço, pelo menos em comparação com outros tipos de ataques. “É muito simples, não requer grandes esforços. Não estamos a falar de entrar na rede de uma empresa, lançar um trojan em todos os computadores e depois iniciar um processo de encriptação… é um simples email que, se escrito corretamente, pode trazer enormes benefícios.”

E, neste caso, o crime parece compensar, já que há cada vez mais empresas a serem vítimas deste tipo de ataque, também conhecido como “business email compromise” (comprometido email empresarial). A situação está a escalar ao ponto de, em maio deste ano, o norte-americano FBI ter emitido um alerta, lembrando que, embora muitas vezes esteja associado a transferências, também há variações que “envolvem corromper emails de trabalho legítimos ou pedir informação pessoal, recibos de vencimento, declarações de impostos ou até carteiras de criptomoedas”.

Entre julho de 2019 e dezembro de 2021, o FBI registou um aumento de 65% no risco global deste tipo de fraude. Os números indicavam que este esquema já tinha sido reportado em “todos os 50 estados [norte-americanos] e em 177 países, com mais de 140 países a receber transferências fraudulentas”, com destaque para Tailândia e Hong Kong como os dois principais destinos dos montantes arrecadados. A China, que em tempos ocupava um lugar entre os dois principais destinos recetores, perdeu fôlego no ranking, passando para a terceira posição, ainda assim à frente do México e Singapura.

Os números do FBI, resultantes de uma análise feita entre junho de 2016 e dezembro de 2021, revelam um total de 241.206 incidentes domésticos e internacionais deste tipo de ataques, com uma estimativa de 43,3 mil milhões de dólares (41,5 mil milhões de euros) perdidos. Só nos Estados Unidos, a estimativa inclui um total de 59 mil incidentes, com perdas a rondar os 9,2 mil milhões de dólares.

Como se comporta este tipo de crime informático em Portugal?

As empresas de cibersegurança contactadas pelo Observador relatam que este tipo de fraude não é um fenómeno recente em Portugal. O cenário é comprovado pelos números divulgados em julho deste ano pelo Gabinete Cibercrime da Procuradoria-Geral da República (PGR) e também pelo relatório da Cibersegurança em Portugal, publicado em junho pelo Centro Nacional de Cibersegurança (CNCS).

Na nota informativa das denúncias recebidas pela PGR, a “CEO fraud” é recorrente ao ponto de ser incluída na lista de criminalidade mais frequente. “Também continuaram a ser denunciadas ao Gabinete Cibercrime situações da chamada ‘CEO fraud’ ou ‘business email compromise’, técnica de engenharia social pela qual se pretende induzir em erro uma determinada estrutura empresarial, levando-a a efetuar pagamentos a terceiros (os criminosos), que se fazem passar por autênticos fornecedores ou parceiros de negócio da empresa”, contextualiza o relatório. “Em geral, esta atuação ilícita é desencadeada por grupos de crime organizado internacional e os prejuízos económicos causados são de grande montante”, acrescenta o Gabinete Cibercrime.

É detalhado que este gabinete recebeu “denúncias remetidas por empresas estrangeiras, queixando-se de que foram enganosamente induzidas a efetuar pagamentos para contas bancárias de bancos em Portugal”. Mas também chegaram relatos de empresas portuguesas a denunciarem que fizeram pagamentos indevidos com destino a contas bancárias no estrangeiro.

Até junho, o Gabinete Cibercrime recebeu 10 denúncias deste tipo – só duas é que não foram encaminhadas para investigação. Ainda com o segundo semestre de 2022 a decorrer, é já colocada a hipótese de os números deste ano ultrapassarem as denúncias de 2021, uma vez que, durante todo o ano passado, foram recebidas 14 denúncias. No total, até junho foi recebido um total de 852 denúncias – a fraude do CEO representava menos de 2% das denúncias totais. Em comparação, o phishing, a tipologia de crime informático mais reportada, tinha 255 denúncias nos primeiros seis meses do ano, o equivalente a cerca de 30% do total.

Contactado pelo Observador, o CNCS não partilha dados mais recentes, remetendo para o relatório sobre riscos e conflitos como a informação mais atualizada nesta matéria, que contém dados de 2021. Os incidentes com engenharia social representaram uma boa parte dos ataques e também nestes dados é mencionada a “CEO fraud”. Este tipo de incidente surge na terceira posição entre os ataques de engenharia social mais frequentes, com um peso de 9%, atrás do vishing, o phishing por voz, (43%) e da sextortion (26%). Também neste relatório é destacada “alguma sofisticação” neste ataque da fraude do CEO, onde “através de email dirigido a um empregado de uma organização com responsabilidades financeiras” é solicitada “uma transferência bancária para uma conta indicada pelo agente criminoso, o qual se faz passar por uma chefia.”

Ainda assim, este relatório revela que, no ranking da criminalidade mais frequente, a “fraude do CEO” até perdeu algum gás entre 2020 e 2021. Em 2020, a “CEO fraud” ocupava o quarto lugar da criminalidade frequente, numa classificação feita tendo por base o registo de denúncias ao Gabinete Cibercrime da PGR. No ano passado, caiu duas posições, passando para o sexto lugar. É notório que este tipo de fraude foi ultrapassada pelo aumento das burlas online e também das burlas com criptoativos e outros produtos financeiros, por exemplo.

Rui Duro, country manager da Check Point em Software em Portugal, nota que ataques deste género “têm sido um fenómeno comum”, mas explica que “não existem dados portugueses concretos” sobre o número de empresas afetadas. “A monitorização é complicada de realizar”, contextualiza, explicando que “são muito difíceis de detetar”. Também a Sophos e a S21Sec, ambas empresas de cibersegurança a operar no mercado português, relatam não ter dados concretos sobre a incidência desta fraude em Portugal. Apenas com dados de denúncias, não é fácil perceber quais as perdas económicas associadas a este tipo de fraude em Portugal.

Para onde pode evoluir? Para deepfakes que até imitam a voz do CEO

Hugo Nunes, responsável da equipa de intelligence da empresa de cibersegurança S21Sec, admite que este ataque de engenharia social não é uma novidade, mas há mudanças. Quer “iludir a vítima para que tome determinadas ações, fazendo-se passar por alguém de influência”, mas o que vemos aqui em termos de alteração tem muito a ver com a mudança dos meios de comunicação”.

E, também neste caso, o aumento deste género de ataques foi auxiliado pela pandemia de Covid-19 e pela passagem para os meios de comunicação mais digitais. Com o teletrabalho, nota Hugo Nunes, “já não temos a presença física da pessoa para comprovar se efetivamente fez” o pedido que chegou por email. Deixa de ser possível “bater à porta” de um gabinete, por exemplo, para confirmar no local se o pedido que chegou por email é legítimo ou não.

Interpol diz que crimes financeiros e informáticos são as principais ameaças criminosas

A juntar ao facto de as pessoas já não estarem, em muitos casos, no mesmo espaço físico, existe ainda a “multiplicação das plataformas” de comunicação. Nesse sentido, este responsável da S21Sec reconhece que este tipo de fraude também começou a evoluir. As vítimas, “que são escolhidas maioritariamente pelas funções que têm dentro da empresa”, passaram a ser confrontadas com meios complementares além do email para agirem de forma rápida e pouco pensada. “Temos visto muito [esta fraude] passar para meios como o SMS e WhatsApp”. O responsável desta equipa que estuda ciberameaças na S21Sec nota que, em alguns casos, “além de dar uma sensação de maior urgência e de pressão”, a vítima “é transportada para meios que fogem do radar de monitorização da empresa”.

E, embora não haja “referência de casos assim”, há internacionalmente relatos deste tipo de fraude recorrendo já “a plataformas de videoconferência ou mesmo através de deepfakes”. Os deepfakes assumem a forma de vídeos, muitas vezes feitos com recurso a inteligência artificial, que imitam a fisionomia e a voz de alguém. Hugo Nunes explica que, através da “tentativa de simular a voz do CEO, usando transformação de voz e videoconferência”, estes ataques podem tornar-se mais sofisticados.

Este especialista reconhece que as empresas que têm maior visibilidade e mais informação disponível online ou em plataformas como o LinkedIn podem tornar-se mais apetecíveis para este tipo de fraude. Em cenários em que “tanto o CEO como os trabalhadores do departamento financeiro” tenham também visibilidade na internet “toda essa informação vai ser útil”. No caso de uma “microempresa, se não tiver essa informação online ou se não for transacionada tão livremente, será difícil que um agente malicioso ataque”.

As necessidades de digitalização e de estar online, aceleradas pela pandemia, fizeram também com que hoje em dia mais empresas tenham esta informação nos sites, dando “combustível” a este tipo de ataque. “É quase uma necessidade” estar online atualmente, lembra Hugo Nunes, potencialmente deixando mais empresas com informação disponível para alimentar este fenómeno.

Perguntar nunca fez mal a ninguém – e pode ser a chave para a prevenção

Perante este cenário, o que podem as empresas fazer para se precaverem desta fraude do CEO? Embora à primeira vista “possa parecer fácil identificar a ‘CEO fraud’, nem sempre é assim”, reconhece Alberto R. Rodas, explicando que “tudo depende do nível de preparação e conhecimento dos colaboradores”. Um dos conselhos desta companhia passa não só pela contratação de “uma boa proteção de email, que permita identificar estes ataques, mas também pela formação das equipas de forma recorrente, para que saibam evitar cair nestas fraudes.”

Já Rui Duro, da Check Point Software, lembra que é preciso ter olho vivo aos emails, deixando vários conselhos práticos, como a verificação dos endereços, “para ter a certeza de que correspondem à pessoa”. Além disso, “se alguma vez tiver dúvidas sobre um email, pergunte ao remetente original”, aconselha este responsável, e leia todo o texto disponível, procurando “quaisquer inconsistências, erros de ortografia ou discrepâncias”. Na ótica deste especialista, também é relevante “implementar a autenticação multifator para todas as contas, mas especialmente no email, para evitar o roubo da conta” e “configurá-la de modo a notificar das alterações que surjam”.

Além dos conselhos habituais de boas práticas de segurança, Hugo Nunes, da S21Sec, recomenda a que haja alguma “coerência” e respeito pelos “processos definidos”. “É uma questão de definir os processos da empresa e de os seguir” à risca. Ou seja, se o funcionário do departamento financeiro só costuma receber pedidos para processar pagamentos ou transferências de determinada pessoa, não deve ser o facto de um pedido chegar vindo do CEO ou outro cargo semelhante a merecer um desrespeito das regras. “Se o pedido é feito sempre de uma determinada forma e chegar de outra, a tentar aplicar atalhos a processos que deveriam ser seguidos de determinada forma”, deve merecer imediatamente uma análise cuidada.

PSP regista quase 400 queixas por devassa informática e alerta para importância do bloqueio e denúncia