A Polícia de Segurança Pública (PSP), na prossecução das suas atribuições de prevenção criminal, está atenta aos fenómenos criminais, como os crimes de burla, incluindo a "CEO FRAUD".

Em comunicado enviado às redações, a PSP explica que esta burla, ainda que, estatisticamente, não se tenha traduzido em muitas ocorrências registadas até ao momento, tem um grande impacto nas empresas e nos cidadãos.

A burla CEO FRAUD consiste no envio de e-mails ou mensagens, nas quais o burlão se faz passar por um responsável de uma empresa ou organização, solicitando a um funcionário dessa mesma empresa ou organização que efetue um pagamento, envie algum tipo de informação sensível ou altere dados bancários.

Este tipo de burla inicia-se com um estudo prévio dos alvos, sendo nesta fase relevante a engenharia social, que visa, através de manipulação psicológica, levar as pessoas a divulgar informações confidenciais ou fornecer acesso aos sistemas.

Entre as formas mais comuns destacam-se o “Phishing” - campanhas massivas de e-mails para um grande número de utilizadores de empresas e organizações fazendo-se passar por fontes confiáveis -, o “Spear Phishing” - campanha de phishing mais seletiva, que exige um estudo sobre o utilizador ou grupo de utilizadores pretendidos e, inclusivamente, a recolha de dados pessoais dos visados de forma a dar mais credibilidade à abordagem -, e o “Whale Phishing” - campanha onde os suspeitos têm como alvo os principais executivos e administradores, normalmente para desviar dinheiro de contas ou furtar dados confidenciais.

Após o estudo e a obtenção de informação pessoal e, eventualmente, de credenciais, os suspeitos procedem à tentativa de burla, que pode revestir-se de várias formas.

Entre elas, a personificação de um diretor da empresa ou organização vítima, personificação de um cliente ou fornecedor da empresa ou organização vítima, ou personificação de um funcionário da empresa ou organização vítima.

O sucesso desta burla depende, em grande medida, não só do estudo prévio dos suspeitos e da sua capacidade de personificarem de forma convincente os diferentes atores empresariais, mas também pelas características da própria mensagem que exploram a sensação de urgência ou ameaça para que seja feito rapidamente o que é pedido, a necessidade de contacto direto por indisponibilidade do responsável pela área e a necessidade de sigilo por se tratar de matéria sensível.

O combate a estes fenómenos passa, sobretudo, pelo reforço das medidas de segurança a adotar pelas pessoas e pelas instituições, reduzindo o risco de serem alvo deste tipo de ataques.

Para o efeito, a PSP aconselha a:

  • Definir procedimentos internos para a alteração do IBAN que exijam uma dupla confirmação por parte do interessado;
  • Definir procedimentos internos para os pagamentos, exigindo uma dupla confirmação da legitimidade do pagamento;
  • Nunca partilhar códigos ou credenciais de acesso por mensagem ou telefone, mesmo que do outro lado pareça estar uma entidade séria;
  • Verificar o endereço do remetente de e-mails recebidos ou o número de telemóvel de mensagens de texto, se for solicitada informação sensível ou forem feitos pedidos críticos, como transferências bancárias;
  • Promover uma política de segurança, realizando ações de sensibilização internas junto dos funcionários, alertando para os riscos deste e de outros tipos de fraude.