A Polícia de Segurança Pública (PSP), na prossecução das suas atribuições de prevenção criminal, está “atenta aos fenómenos criminais” e tem-se preocupado com os crimes de burla que vão surgindo, como é o caso da Burla CEO FRAUD. Esta burla, “ainda que, estatisticamente, não se tenha traduzido em muitas ocorrências registadas até ao momento, tem um grande impacto nas empresas e nos cidadãos”.
A burla CEO FRAUD consiste no envio de e-mails ou mensagens nas quais o burlão se faz passar por um responsável de uma empresa ou organização, solicitando a um funcionário dessa mesma empresa ou organização que proceda a um pagamento, ao envio de algum tipo de informação sensível, ou a uma alteração de dados bancários.
Este tipo de burla inicia-se com um estudo prévio dos alvos, sendo muito relevante nesta fase a engenharia social, que visa, através de manipulação psicológica, levar as pessoas a divulgar informações confidenciais ou fornecer acessos a sistemas.
De entre as formas mais comuns destacam-se:
· Phishing – campanhas massivas de e-mails para um grande número de utilizadores de empresas e organizações fazendo-se passar por fontes confiáveis;
· Spear Phishing – campanha de phishing mais seletiva, que exige um estudo sobre o utilizador ou grupo de utilizadores pretendidos e, inclusivamente, a recolha de dados pessoais dos visados por forma a dar mais credibilidade à abordagem;
· Whale Phishing – campanha onde os suspeitos têm como alvo os principais executivos e administradores, normalmente para desviar dinheiro de contas ou furtar dados confidenciais.
Após o estudo e a obtenção de informação pessoal e, eventualmente, de credenciais, os suspeitos procedem à tentativa de burla, que pode revestir-se de várias formas, sendo de realçando-se as seguintes pela sua frequência:
· A personificação de um Director da empresa/organização vítima – esta é a modalidade de ataque que dá nome à burla, e consiste em os suspeitos fazerem-se passar por um superior hierárquico, normalmente o director da empresa, solicitando a um funcionário que proceda a um pagamento ou a uma transferência urgente;
· A personificação de um cliente ou fornecedor da empresa/organização vítima – nesta modalidade de ataque os suspeitos fazem-se passar por responsáveis de uma empresa que mantém negócios com a empresa vítima, solicitando a esta que os pagamentos em falta sejam feitos para uma nova conta bancária;
· A personificação de um funcionário da empresa/organização vítima – os suspeitos fazem-se passar por funcionários da própria empresa e solicitam aos serviços administrativos que seja alterada a conta bancária destinatária do seu vencimento.
O sucesso desta burla depende, em grande medida, não só do estudo prévio dos suspeitos e da sua capacidade em personificarem de forma convincente os diferentes actores empresariais, mas também pelas características da própria mensagem que exploram as seguintes ideias-chave: Sensação de urgência ou ameaça para que seja feito rapidamente o que é pedido; Necessidade de contacto directo por indisponibilidade do responsável pela área; Necessidade de sigilo por se tratar de matéria sensível.
O combate a estes fenómenos passa, sobretudo, pelo reforço das medidas de segurança a adoptar pelas pessoas e pelas instituições, reduzindo desta forma o risco de serem alvo deste tipo de ataques. Para o efeito, a PSP aconselha a:
· Definir procedimentos internos para a alteração de IBAN que exijam uma dupla confirmação por parte do interessado;
· Definir procedimentos internos para os pagamentos exigindo uma dupla confirmação da legitimidade do pagamento;
· Nunca partilhar códigos ou credenciais de acesso por mensagem ou telefone, mesmo que do outro lado pareça estar uma entidade séria;
· Verificar o endereço do remetente de emails recebidos ou o número de telemóvel de mensagens de texto, se for solicitada informação sensível ou forem feitos pedidos críticos, como transferências bancárias;
· Promover uma política de segurança, realizando acções de sensibilização internas junto dos funcionários, alertando para os riscos deste e de outros tipos de fraude.