A fraude do CEO, conhecida também como “Compromisso de E-mail Empresarial”, envolve atacantes que se fazem passar pelo CEO da empresa ou outros executivos de uma organização privada ou pública para enganar funcionários e (sobretudo) induzi-los a transferir dinheiro ou informações sensíveis (mais raro) para terceiros. Prevenir a fraude do CEO envolve uma combinação de medidas técnicas, formação de trabalhadores e processos internos robustos.

Num caso recente, https://www.policiajudiciaria.pt/pj-apanha-autor-de-burla-ceo-fraud/ “a Polícia Judiciária (…) deteve um homem, de 31 anos, presumível autor de crimes de burla qualificada, acesso ilegítimo e branqueamento de capitais, envolvendo movimentos num total de 42 mil euros. A investigação iniciou-se em meados de setembro de 2023 tendo por base movimentações bancárias suspeitas, com origem em burlas com o “modus operandi” designado por “CEO Fraud”. Esta burla caracteriza-se, essencialmente, pelo envio de emails ou mensagens de texto (sms ou através de aplicações) em que um agente malicioso, fazendo passar-se por uma entidade relacionada de alguma forma com a organização alvo, faz pedidos de natureza financeira a colaboradores dessa mesma organização, podendo conduzir estes a realizar transferências bancárias para contas associadas ao atacante.”

Já em 2022, na “Operação Selatis” https://www.policiajudiciaria.pt/operacao-selatis/ a Polícia Judiciária tinha lançado “uma vasta operação de combate ao cibercrime transnacional, tendo procedido à detenção de 25 indivíduos e cumprido 27 mandados de buscas domiciliárias (…) A investigação teve o seu início em meados do ano de 2020, estando em causa a prática reiterada de crimes de burla informática, acesso ilegítimo, falsidade informática, falsificação de documentos, branqueamento e associação criminosa” em que o “modus operandi consistia no esquema fraudulento conhecido por “CEO Fraud””.

O método era assim detalhado, em 2022, pela PJ: “Substituindo-se às verdadeiras empresas, os suspeitos criaram vários endereços de correio eletrónico fraudulentos, alteraram dados de pagamento e induziram as vitimas a efetuar avultadas transferências monetárias, para contas bancárias por si controladas e que se destinavam ao branqueamento de capitais. Paralelamente, os mesmos agentes do crime criaram “websites” que simulavam empresas já existentes e que se dedicavam à comercialização de produtos de proteção individual, como seja luvas de látex, fatos de proteção, máscaras cirúrgicas e álcool-gel e após receberem o contacto das empresas interessadas, contactavam as mesmas por email ou telefone, fechando negócios com a condição da realização do pagamento antecipado. As transferências bancárias ocorriam para “Contas Mulas” abertas para o efeito e as vítimas, na sua maioria estrangeiras, acabavam por nunca receber qualquer mercadoria. No total foram utilizadas cerca de 50 contas bancárias nacionais para o branqueamento de capitais, cujo prejuízo patrimonial apurado é já superior a 1 milhão e 300 mil Euros.”

Mais recentemente, tivemos outro caso de “CEO Fraud” em junho de 2024:
https://eco.sapo.pt/2024/06/20/instituto-de-gestao-financeira-da-educacao-recupera-os-25-milhoes-perdidos-em-fraude/
“Instituto de Gestão Financeira da Educação (IGeFE) conseguiu recuperar os “cerca de 2,5 milhões de euros que foram transferidos na sequência de um esquema de fraude“, anunciou o Ministério da Educação, Ciência e Inovação esta quinta-feira. Em causa estão “três transferências bancárias” feitas este mês para “pagamento a uma empresa que presta serviços informáticos, tendo as verbas sido transferidas para um IBAN de uma outra entidade”.

Noutros países alguns casos de “CEO Fraud” alcançaram grandes proporções. Por exemplo:
Banco Crelan (Bélgica, 2016): O banco belga Crelan perdeu 70 milhões de euros (75,8 milhões de dólares) num ataque de fraude de CEO.
FACC (Áustria, 2016): O fabricante de componentes aeroespaciais FACC perdeu 50 milhões de euros (54 milhões de dólares) quando atacantes se fizeram passar pelo CEO em emails para o departamento financeiro.
Ubiquiti Networks (EUA, 2015): A empresa de redes perdeu 46,7 milhões de dólares através de uma série de transferências fraudulentas para contas no estrangeiro.
Nikkei (Japão, 2019): A subsidiária americana da empresa de comunicação social japonesa Nikkei foi vítima de uma burla BEC, perdendo 29 milhões de dólares.
Pathé (Países Baixos, 2018): A filial holandesa da empresa de cinema francesa Pathé perdeu mais de 19 milhões de euros (21 milhões de dólares) num ataque “CEO Fraud”.
Tecnimont SpA (Itália, 2018): A subsidiária indiana da empresa de engenharia italiana foi enganada e transferiu 18,6 milhões de dólares para contas sediadas em Hong Kong.
Toyota Boshoku Corporation (Japão, 2019): A subsidiária da Toyota perdeu 37 milhões de dólares num ataque “CEO fraud” visando a sua filial europeia.
Leoni AG (Alemanha, 2016): O fabricante alemão de fios e cabos perdeu 40 milhões de euros (44 milhões de dólares) quando burlões enganaram funcionários das finanças para transferir dinheiro para contas estrangeiras.
Scoular Co. (EUA, 2014): O comerciante de mercadorias perdeu 17,2 milhões de dólares quando um executivo foi enganado por emails supostamente do CEO e de um auditor externo.
Zhengzhou Haiyou Carbide Group (China, 2016): A empresa chinesa perdeu 47 milhões de dólares numa burla envolvendo emails e chamadas telefónicas fraudulentas realizadas em nome do CEO.

Estes casos salientam a natureza global da fraude de CEO e as significativas perdas financeiras que podem resultar de ataques bem-sucedidos. Sublinham a importância de implementar medidas de segurança robustas e programas de formação para prevenir tais incidentes.

Algumas estratégias para escapar à “CEO fraud”:

Prevenções e Medidas Técnicas:
1. Protocolos de Autenticação de E-mail: Embora já sejam relativamente comuns, ainda nem todas as organizações implementaram nos seus sistemas de email o DMARC (Autenticação, Relatório e Conformidade de Mensagens Baseadas em Domínio), DKIM (DomainKeys Identified Mail) e o registo SPF (Sender Policy Framework) para prevenir e-mails falsificados.
Se ainda não o fez: é a altura! (ontem teria sido preferível)
2. Filtragem Avançada de E-mail: Usar filtros de spam avançados e soluções de segurança de e-mail que detectem phishing e e-mails fraudulentos.
3. Autenticação de Dois Factores (2FA): Exigir 2FA para aceder a contas de e-mail e outros sistemas críticos.
4. Encriptação: Garantir que e-mails e dados sensíveis sejam encriptados tanto em trânsito como em repouso.

Formação Permanente, Avaliações de conhecimento e Consciencialização dos Funcionários:
1. Formação Regular: Realizar sessões de formação regulares sobre reconhecimento de ataques de phishing e engenharia social.
2. Ataques de Phishing Simulados: Realizar testes periódicos de phishing simulado para avaliar a consciencialização e resposta dos funcionários.
3. Políticas Claras: Estabelecer e comunicar políticas claras para lidar com pedidos envolvendo informações sensíveis ou transações financeiras, especialmente aqueles recebidos por e-mail.

Melhorias de Processos:
1.Procedimentos de Verificação: Implementar processos de verificação em várias etapas para quaisquer transações financeiras ou pedidos de dados sensíveis. Isto pode incluir a confirmação de pedidos através de um canal de comunicação secundário (por exemplo, chamada telefónica ou mensagem instantânea).
2. Segregação de Funções: Garantir que nenhum indivíduo tenha autoridade para aprovar e executar transações financeiras sem supervisão adicional.
3. Plano de Resposta a Incidentes: Desenvolver e atualizar regularmente um plano de resposta a incidentes especificamente para lidar com potenciais ataques BEC.
4. Lista Branca de Canais de Comunicação: Usar canais de comunicação verificados para comunicações sensíveis. Garantir que os funcionários saibam não agir sobre pedidos inesperados sem a devida verificação.
5. Reuniões directas: Promover e realizar reuniões entre o CEO e os trabalhadores da organização para aumentar a transparência e o conhecimento mútuo.
6. Transparência: Criar uma cultura de transparência na organização quanto a todas as actividades financeiras e a pagamentos a fornecedores.
7. Não aprovar por email e criar sistemas de aprovações múltiplas: Usar sistemas de aprovação de despesas e pagamentos que envolvam várias aprovações de várias pessoas através de sistemas de fluxo de trabalho transparentes e com sistemas de reporte e verificação em tempo real.

Monitorização e Relatórios:
1. Auditorias Regulares: Realizar auditorias regulares de e-mails e transacções financeiras para detectar quaisquer anomalias.
2. Sistemas de Monitorização: Implementar sistemas de monitorização que possam sinalizar padrões de atividade incomuns, como grandes transferências ou e-mails de executivos enviados fora do horário normal de trabalho.
3. Relatar Actividades Suspeitas: Incentivar os funcionários a relatar quaisquer e-mails ou atividades suspeitas sem medo de repercussões negativas.

Ao combinar estas abordagens técnicas, processuais e educacionais, as organizações podem reduzir significativamente o risco de se tornarem vítimas de “fraude de CEO”.