A Polícia de Segurança Pública (PSP) alertou esta quinta-feira, 17 de outubro, para a “CEO Fraud”, uma burla que apesar de estatisticamente não ter muitas ocorrências registadas até ao momento, tem um grande impacto nas empresas e nos cidadãos.
A burla “CEO Fraud” consiste no envio de e-mails ou mensagens nas quais o burlão se faz passar por um responsável de uma empresa ou organização, solicitando a um funcionário dessa mesma empresa ou organização que proceda a um pagamento, ao envio de algum tipo de informação sensível, ou a uma alteração de dados bancários.
Segundo a PSP, este tipo de burla inicia-se com um estudo prévio dos alvos, sendo muito relevante nesta fase a engenharia social, que visa, através de manipulação psicológica, levar as pessoas a divulgar informações confidenciais ou fornecer acessos a sistemas.
Após o estudo e a obtenção de informação pessoal e, eventualmente, de credenciais, os suspeitos procedem à tentativa de burla, que pode revestir-se de várias formas, sendo de realçando-se a personificação de um diretor da empresa/organização vítima, a personificação de um cliente ou fornecedor ou de um funcionário da empresa/organização vítima.
“O sucesso desta burla depende, em grande medida, não só do estudo prévio dos suspeitos e da sua capacidade em personificarem de forma convincente os diferentes atores empresariais, mas também pelas características da própria mensagem que exploram as seguintes ideias-chave: Sensação de urgência ou ameaça para que seja feito rapidamente o que é pedido; Necessidade de contacto direto por indisponibilidade do responsável pela área; Necessidade de sigilo por se tratar de matéria sensível”, explica a PSP.
A autoridade policial refere que o combate a estes fenómenos passa, sobretudo, pelo reforço das medidas de segurança a adotar pelas pessoas e pelas instituições, nomeadamente a definição de procedimentos internos para a alteração de IBAN ou dos pagamentos que exijam uma dupla confirmação.
É importante nunca partilhar códigos ou credenciais de acesso por mensagem ou telefone, mesmo que do outro lado pareça estar uma entidade séria, verificar o endereço do remetente de emails recebidos ou o número de telemóvel de mensagens de texto, se for solicitada informação sensível ou forem feitos pedidos críticos, como transferências bancárias, e promover uma política de segurança, realizando ações de sensibilização internas junto dos funcionários, alertando para os riscos deste e de outros tipos de fraude.
