Fraude CEO em Portugal: CNCS emite alerta urgente para as empresas

O esquema de Falso CEO continua a se alastrar em Portugal, custando milhões às empresas, de acordo com o Centro Nacional de Cibersegurança.

O Fraude do CEO continua a expandir-se em Portugal, apesar de diversas iniciativas da Polícia Judiciária para combater essas burlas. Os números decorrentes desses crimes são impressionantes, variando de milhares de euros a vários milhões. O Centro Nacional de Cibersegurança (CNCS) divulgou um relatório sobre o tema e seu cenário atual, alertando para o aumento de casos de Fraude do CEO e Fraude de Compromisso de E-mail Empresarial (BEC). Essa modalidade de incidente impacta tanto indivíduos quanto organizações, resultando em perdas financeiras consideráveis.

Fique por dentro das principais notícias de tecnologia e acompanhe tudo em tek.sapo.pt

De acordo com o CNCS, essas fraudes representaram em 2025 cerca de 18% de todos os incidentes de engenharia social reportados pelo CERT.PT. Esses casos envolvem o envio de e-mails e mensagens de texto, seja por SMS ou aplicativos de mensagens, em que um agente malicioso se faz passar por uma entidade da empresa.

Por exemplo, um executivo ou fornecedor realiza solicitações, geralmente de natureza financeira, a funcionários da mesma organização. Frequentemente, apela-se para a urgência ou confidencialidade do pedido, levando à transferência de valores para contas do golpista. A complexidade das fraudes pode chegar a usar documentos falsificados para dar suporte a essas alterações financeiras.

Sobre o panorama dos ataques, os criminosos obtêm informações públicas sobre a organização, incluindo colaboradores, funções, fornecedores, contatos e domínios. Depois, acessam e-mails reais das vítimas, utilizando credenciais obtidas de forma ilícita. O destaque vai para o spoofing, que consiste em falsificar o remetente sem comprometer contas, e o Typosquatting, que envolve a criação de domínios muito similares ao original. Esses pequenos enganos podem passar despercebidos, especialmente diante da urgência da mensagem, atingindo as vítimas mais distraídas.

No âmbito da engenharia social, eles exploram autoridade, urgência e a confiança interna dos colaboradores. Como exemplos, estão os pedidos urgentes de uma transferência solicitada pelo CEO, faturas falsas ou pedidos de alteração de dados bancários de fornecedores. O departamento de Recursos Humanos também se torna alvo frequente, recebendo solicitações para modificar dados bancários dos empregados. Além disso, o CNCS destaca o uso de deepfakes que conseguem simular a voz e a imagem de supervisores.

Para se proteger contra esses tipos de fraudes, o CNCS recomenda algumas boas práticas de prevenção, que podem ser encontradas em seu site. Uma delas é restringir, sempre que possível, a visibilidade pública de elementos como organogramas e contatos internos da organização. Assim como é importante conscientizar os colaboradores sobre os riscos de compartilhar informações profissionais online, dificultando a coleta de informações para esses ataques.

Pode soar repetitivo, mas a implementação da autenticação de dois fatores em todas as contas é crucial para prevenir qualquer comprometimento das contas da empresa. Também é recomendado restringir a entrada de e-mails provenientes de domínios recém-registrados ou que contenham mínimas variações tipográficas, os erros mencionados anteriormente. Para finalizar, é essencial estabelecer medidas que garantam que qualquer alteração nos dados dos fornecedores só possa ser realizada por eles. O guia completo com as boas práticas está disponível no site do CNCS.

Inscreva-se na newsletter do TEK Notícias e receba diariamente as principais notícias de tecnologia na sua caixa de entrada.