Como reconhecer e prevenir a fraude do CEO em 2022

Laptop with 2 hands reaching out holding a contract that's being signed
Clique aqui para ver um resumo deste artigo!
Como reconhecer e prevenir a Fraude do CEO - Um guia rápido

A fraude do CEO é uma forma de comprometimento de e-mail comercial (BEC). Este golpe envolve golpistas que enviam e-mails fraudulentos aos funcionários. Em seus e-mails, os fraudadores do CEO geralmente solicitam uma transferência urgente de dinheiro.

Devido à urgência expressa nos e-mails, sua “realidade” e o poder (percebido) do remetente dentro da organização, os funcionários que recebem esses e-mails geralmente agem sobre eles.

Inspecione os e-mails com solicitações de natureza financeira (transferências, alteração de informações de pagamento, etc.) com muito cuidado. Preste atenção especial aos seguintes elementos:

  • O remetente: Muitas vezes, os fraudadores de CEOs usam endereços de e-mail muito semelhantes ao endereço real de um CEO ou gerente, mas contêm pequenas variações.
  • Links e anexos: clique apenas em links e abra anexos em que você confia totalmente e se confiar totalmente no remetente. Os golpistas do BEC geralmente incluem links e anexos com malware em seus e-mails na tentativa de roubar seus dados ou os dados de sua empresa.
  • Urgência: Normalmente, os golpistas do CEO expressarão urgência em seus e-mails. Eles podem pedir para você fazer uma grande transferência no mesmo dia e dizer que é urgente. Além disso, eles geralmente afirmam estar muito ocupados (“Estou em uma longa reunião”) para discutir o pedido com mais detalhes.
  • Sigilo: os fraudadores de CEO muitas vezes fazem suas vítimas acreditarem que o que estão prestes a fazer é “ultra secreto“. Por exemplo, eles podem dizer que a fusão falsa para a qual eles precisam de dinheiro deve ser um segredo até que seja finalizada. Eles fazem isso para evitar que os funcionários discutam solicitações fraudulentas com colegas ou supervisores.

Deseja saber mais sobre fraudes de CEOs, incluindo dicas sobre como evitá-las e o que fazer se você for uma vítima? Leia o artigo completo abaixo!

Desde que a internet surgiu, os golpistas têm sempre como alvo cidadãos desavisados ​​online. Esse fenômeno provavelmente não chegará a lugar nenhum em breve. No entanto, muitos golpistas estão escolhendo suas vítimas com cada vez mais cuidado hoje em dia e também estão tentando pegar alguns dos “maiores peixes” lá fora, enganando (grandes) empresas. Isso é conhecido como fraude do CEO.

Mas o que é exatamente a fraude do CEO? Como funciona? Como você evita a fraude do CEO como funcionário ou empresa? O que você deve fazer se for uma vítima? Quais são alguns exemplos de grandes empresas vítimas de fraude do CEOs? Espera-se que os casos de fraude do CEO só aumentem em 2022. Aqui está o que você precisa saber sobre isso.

O que é a fraude do CEO?

What is a CEO fraud icon

A fraude do CEO é uma maneira (geralmente) sofisticada de enganar grandes empresas e organizações. O objetivo é enganar os funcionários para que transfiram fundos para os golpistas. Para isso, o golpista fingirá ser o CEO, fundador ou um importante funcionário da empresa.

A diferença percebida na hierarquia dentro da organização pode deixar os “funcionários de baixo escalão” bastante intimidados a fazer o que eles acham que seu “CEO” quer que eles façam. Muitas vezes, os criminosos entrarão em contato com um funcionário por e-mail, solicitando uma transferência eletrônica urgente. O e-mail pode se parecer com algo no exemplo abaixo.

Fake email showing example of CEO fraud

Os funcionários autorizados a fazer pagamentos ou assinar documentos devem estar bem cientes dos perigos da fraude do CEO. No entanto, todos os funcionários de uma organização podem, em teoria, ser alvos. De fato, de acordo com a empresa de segurança cibernética Barracuda, 77% desses ataques visam funcionários fora das funções financeiras ou executivas!

Compromisso de e-mail comercial (BEC)

Email with hacking icon, compromised

A fraude do CEO é uma forma de comprometimento de e-mail comercial. Esse tipo de golpe baseia-se na manipulação do comportamento das pessoas enganando-as (engenharia social) enviando um e-mail que alega vir de alguém da empresa ou de uma parte relacionada, como um fornecedor.

Esse tipo de fraude pode e muitas vezes depende de técnicas e estratégias muito astutas. Às vezes, os criminosos podem invadir a conta de e-mail legítima do CEO (ou a conta de um gerente, por exemplo). Posteriormente, eles irão monitorar e analisar como o CEO ou gerente se comunica. Agora, eles podem enganar outras pessoas dentro da organização usando um endereço de e-mail e uma maneira de serem abordados que lhes é familiar.

Phishing do CEO está se tornando cada vez mais comum

CEO phishing icon, two hooks with email icon

De acordo com Barracuda, a organização média sofre 700 ataques de e-mail de engenharia social por ano. Conforme discutido anteriormente, os invasores nem sempre se passam pelo CEO, mas às vezes outros executivos. Independentemente de quem eles escolherem para se passar, o dano geralmente é devastador: de acordo com o FBI, esses golpes podem custar bilhões.

É muito provável que os números reais sejam ainda maiores. Afinal, nem todas as tentativas são relatadas. O mesmo é provavelmente verdade para muitos casos em que o dano fiscal é relativamente baixo.

Além disso, o aumento do trabalho remoto pós-pandemia sem dúvida aumentou a dependência das comunicações. Portanto, há uma alta probabilidade de que os casos de fraude do CEO só aumentem.


Como funciona a fraude do CEO?

Existem duas estratégias principais que os fraudadores de CEOs usam para enganar as empresas. A primeira é enviar um e-mail de um domínio (a parte que vem depois de “@”) que é praticamente idêntico ao nome de domínio real da empresa ou contém apenas pequenas variações.

Infographic showing main strategies used in CEO fraud

A estratégia acima é chamada de falsificação de domínio. Isso pode ser feito de maneiras excepcionalmente astutas. Por exemplo, existe uma grande empresa que opera em toda a Europa e vende eletrônicos de consumo, chamada MediaMarkt. Você consegue identificar facilmente a diferença entre “[email protected]” e “[email protected]”? Este exemplo mostra como fraudadores semelhantes de CEOs podem fazer com que domínios diferentes se pareçam.

A segunda estratégia de fraude do CEO é sem dúvida ainda mais perigosa: hackear a conta de e-mail corporativa de um funcionário ou, pior ainda, a conta de e-mail de um executivo para enviar e-mails fraudulentos confiáveis ​​e conseguir funcionários autorizados a fazer pagamentos fraudulentos.

Existem diferentes maneiras de esses hacks acontecerem. Um comum é a caça submarina: um ataque de phishing calculado que tem como alvo um funcionário específico. Os golpistas enganarão o funcionário enviando-lhe um e-mail que o endereça corretamente e contém uma história que parece real. Eles são solicitados a clicar em um link ou anexo que contém malware perigoso. Esse malware perigoso na verdade permite que criminosos invadam as contas da vítima, como seu e-mail.

Fake email mockup showing example of CEO confirm receipt fraud

O anexo incluído no e-mail fraudulento acima contém malware. Ao clicar no arquivo, ele solicitará que você baixe um executável de roubo de dados.


Reconheça a fraude do CEO

Reconhecer a fraude do CEO é essencial para evitar perdas significativas. Os criminosos geralmente criam e-mails atraentes que dificultam a detecção de fraudes do CEO. No entanto, existem alguns alertas vermelhos que os denunciam.

Estratégias de comprometimento de e-mail comercial usadas com frequência

Antes que os golpistas de e-mail comercial ataquem um funcionário, eles pesquisam. Uma vez que eles conheçam a pessoa e quais são suas responsabilidades e o que eles estão autorizados a fazer e o que não, eles irão abordá-los com um pedido “adequado“.

Por exemplo, um gerente de contas provavelmente não poderá transferir milhões de dólares sem autorização. No entanto, os golpistas podem levá-los a comprar alguns cartões-presente para “parceiros de negócios” ou serem baixados como despesas de entretenimento. Eles podem fazer com que o gerente altere algumas informações de pagamento, fornecendo aos criminosos uma maneira fácil de drenar uma empresa.

Dependendo de seu alvo, os fraudadores de CEO geralmente tentam fazer com que suas vítimas façam uma das seguintes coisas:

  • Transferir dinheiro para uma fusão (obviamente falsa), para pagar acionistas ou para algum tipo de projeto
  • Comprar cartões-presente, alegando que são para parceiros ou colegas
  • Alteração das informações de pagamento devido a um problema inventado ou a uma alteração sofrida por um beneficiário
  • Fazer com que eles paguem faturas falsas que são cuidadosamente elaboradas com base em projetos atuais da empresa ou faturas anteriores

Sinais de alerta de e-mail

Além da estratégia de fraude do CEO usada, geralmente há outros sinais de alerta em um e-mail de spear phishing do CEO. Como tal, recomendamos prestar atenção aos seguintes elementos dos e-mails que você recebe:

  • O remetente: Os fraudadores de CEO geralmente tentam enganar os destinatários enviando seus e-mails de um domínio (a parte depois de “@”) que é muito semelhante ao domínio real de uma empresa. Inspecione o endereço de e-mail exato de onde veio o e-mail antes de tomar qualquer outra ação. A maioria dos provedores de e-mail, como o Gmail, permite que você veja o endereço de e-mail clicando no nome do remetente.
  • Links: Lembre-se de todos os links encontrados no e-mail. Afinal, muitos spear phishers usam links maliciosos para espalhar malware ou roubar detalhes de login. Tenha especial cuidado ao ver links encurtados (como links bit.ly). Você pode verificar o destino de um link apenas passando o mouse sobre ele. Também recomendamos verificar se um link é seguro executando-o por meio de uma ferramenta criada para fazer exatamente isso: como o Norton Safe Web.
  • Anexos: Assim como os links, os anexos também costumam ser usados para espalhar malware e roubar informações. Como tal, abra anexos apenas quando os espera e de fontes em que confia.

Sinais de aviso no texto do e-mail

Os textos e mensagens nos e-mails de fraude do CEO geralmente compartilham algumas características comuns, que listaremos abaixo.

  • Autoridade: Os e-mails contam com a exibição de autoridade (falsa), forçando alguém a fazer algo (em vez de solicitar) como um supervisor faria. Em outras palavras, os criminosos abusarão da posição na hierarquia da empresa da pessoa que estão imitando.
  • Sigilo: O fraudador enfatiza que você não deve discutir o pedido dele com colegas ou gerentes. Ele vai alegar que é para ser uma surpresa ou segredo. Ele pode alegar, por exemplo, que precisa que você compre alguns cartões-presente como surpresa para alguns colegas ou parceiros.
  • Urgência: Qualquer que seja a solicitação, o fraudador enfatizará que ela precisa acontecer rapidamente. Afinal, dar ao funcionário pouco tempo para pensar com clareza é uma parte importante do trabalho do golpe. Eles também enfatizarão que a tarefa dada ao funcionário é muito importante. O funcionário pensa que vai desempenhar um papel importante na execução da estratégia.
  • Elogiar a vítima: Embora a pressão seja um elemento importante desses golpes, elogiar a vítima e fazê-la acreditar que é especial. Os criminosos dirão que eles são os únicos que “podem ser confiáveis ​​com essa tarefa”.
  • Garantia (“tudo bem”): Geralmente os criminosos inventam uma desculpa para não poder discutir a tarefa com mais detalhes. “O CEO” pode alegar estar em uma reunião importante. Para garantir à vítima que está tudo bem, eles podem criar um método de verificação falso. Por exemplo, eles podem dar ao funcionário o número de telefone de um escritório de advocacia falso. Como essas pessoas trabalham em conjunto com os golpistas, obviamente garantirão ao funcionário que está tudo bem.

Prevenindo a fraude do CEO

Agora que você conhece exemplos de fraude do CEO e os sinais de alerta, o próximo passo é aprender a evitá-la. Existem diferentes métodos para se proteger desses golpes, mas o mais importante, de longe, é aumentar a conscientização em toda a sua organização sobre esses golpes.

Abaixo, daremos algumas dicas específicas para funcionários e empresas sobre como evitar fraudes do CEOs.

Dicas para funcionários

Como funcionário de uma (grande) organização, é muito provável que você receba vários e-mails de phishing do CEO durante sua carreira. Por isso, listamos abaixo algumas dicas para evitar fraudes do CEOs.

  • Sempre verifique o remetente. Clique no nome do remetente para ver seu endereço de e-mail completo. Verifique se há alguma anormalidade.
  • Se o remetente mencionar uma conta bancária no e-mail ou na fatura, verifique sempre se o número da conta está entre as conhecidas pelo departamento financeiro.
  • Continue se informando sobre as últimas fraudes de spear phishing e CEO.
  • Discuta e-mails suspeitos com um colega ou superior, mesmo que o e-mail afirme que você não deveria. Se você for informado de um segredo da empresa, provavelmente terá que assinar um acordo de confidencialidade.
  • Idealmente, discuta uma solicitação de e-mail suspeita com o remetente do e-mail ou aquele que ele está imitando (por ligação ou reunião privada). Pode parecer assustador entrar em contato com seu CEO ou gerente, mas ainda é a melhor maneira de evitar a fraude do CEO.

Dicas para empresas

Como empresa, é quase impossível se proteger completamente contra golpes do CEOs e outros ataques de engenharia social. Afinal, a segurança de uma empresa geralmente é tão forte quanto seu elo mais fraco (funcionário). Portanto, treinar seus funcionários para reconhecer a fraude do CEO é crucial. Além disso, não deixe de seguir as dicas abaixo.

  • Estabeleça protocolos e regras claras para a transferência de grandes quantias de dinheiro. Também deve haver um sistema de dupla verificação para grandes transferências.
  • Crie e aplique regras e diretrizes claras para alterar os detalhes de pagamento. Idealmente, entre em contato diretamente com o parceiro, fornecedor ou parte relacionada cujas informações de pagamento estão sendo alteradas para verificação.
  • Torne obrigatória a verificação em duas etapas para a conta de e-mail de cada funcionário. Dessa forma, mesmo quando os criminosos obtiverem seus dados de login, eles não poderão acessar suas contas.
  • Organize uma auditoria de segurança de sua própria organização. Você pode fazer isso sozinho, enviando a seus funcionários um e-mail de phishing sem aviso prévio em um momento inesperado. Posteriormente, é importante fornecer treinamento adicional aos funcionários que caíram no golpe. Alternativamente, você pode contratar os serviços de uma empresa especializada nessas auditorias, como a Cofense. Eles oferecem auditorias de segurança e treinamento antiphishing.
  • Certifique-se de que sua organização invista suficientemente em segurança cibernética. Você pode considerar a compra de algumas ferramentas que são softwares especializados na prevenção de phishing e fraudes de CEO, como as oferecidas pela Cofense.

O que fazer se você for uma vítima de fraude do CEO

Os fraudadores de CEOs são excepcionalmente astutos na maneira como enganam suas vítimas. Como tal, é altamente provável que, em algum momento, um de seus funcionários se torne vítima de fraude do CEO. Se você foi vítima de fraude do CEO, aqui está o que você pode fazer.

Infographic showing what to do if you are a CEO fraud victim

  1. Reúna todas as provas que tiver e denuncie o crime à polícia. Além disso, informe os danos estimados. Se você é da Europa, consulte este site da Europol. Aqui você pode clicar no país em que vive para descobrir qual organização entrar em contato e como. Se você é dos EUA, denuncie o crime ao Centro de Reclamações de Crimes na Internet do FBI. No Brasil, entre em contato com a polícia local.
  2. Entre em contato com o banco da empresa o mais rápido possível (a pessoa designada para entrar em contato com o banco ou o CEO deve fazer isso idealmente). Às vezes, se o banco for contatado muito rapidamente após uma transação fraudulenta, ele ainda poderá desfazê-la. De qualquer forma, você deve notificar o banco para que os mesmos criminosos não executem ataques subsequentes em sua conta bancária.
  3. Notifique o departamento de TI da sua empresa sobre quaisquer ataques ou e-mails de phishing. Envie-lhes os e-mails em questão para ajudá-los a se preparar para ataques futuros. Desta forma, eles podem reforçar a segurança. Ou pelo menos eles podem discutir quais devem ser os próximos passos com seu supervisor.
  4. Notifique também quaisquer terceiros que possam enfrentar riscos após o comprometimento de seus sistemas, como fornecedores e outras empresas cujos dados (sensíveis) você possui em arquivo.
  5. Os fraudadores do CEO podem ter violado seus sistemas. Eles podem ter usado malware em um e-mail de caça submarina para invadir o PC de um funcionário e, posteriormente, obter acesso a outros PCs em sua rede. Portanto, é crucial que seu departamento de TI verifique minuciosamente seus sistemas em busca de malware após qualquer ataque. Se eles não puderem fazê-lo, você terá que contratar os serviços de um profissional.

Casos famosos de fraude do CEO/compromisso de e-mail comercial (BEC)

Por fim, discutiremos alguns grandes golpes de fraude do CEO/BEC para fornecer uma visão de como esses golpes geralmente começam e se desenrolam. Os golpes BEC geralmente visam corporações de bilhões de dólares e, às vezes, até governos!

Golpe de comprometimento de e-mail comercial da Toyota

Começamos com um dos maiores golpes BEC já ocorridos. Em 14 de agosto de 2019, os golpistas convenceram um funcionário do departamento financeiro e contábil da subsidiária europeia da Toyota (Toyota Boshoku Europe N.V.) a transferir 37 milhões de dólares (cerca de 4 bilhões de ienes) para outra conta!

Os detalhes exatos do caso são desconhecidos. No entanto, algumas fontes especulam que a parte maliciosa fez com que o funcionário entrasse em pânico e pagasse. Eles supostamente fizeram isso alegando que a produção da Toyota seria desacelerada significativamente se o pagamento não fosse feito rapidamente. Criar esse senso de urgência é um truque comum de fraude e phishing do CEO.

Gigante do cinema Pathé inventa novo gênero com “dupla fraude do CEO”: cyberdrama

O próximo caso serve também para mostrar que mesmo grandes multinacionais podem ser vítimas de fraudes do CEO. De certa forma, este caso diz respeito a “dupla fraude do CEO“. Afinal, alguém fingindo ser o CEO da matriz francesa enganou o CEO de sua subsidiária holandesa. Eles alegaram que precisavam de uma boa quantia para a aquisição de um concorrente em Dubai.

O CEO holandês suspeitou com razão e discutiu o assunto com o CFO (Chief Financial Officer). Depois de explicar aos criminosos que era necessária uma verificação adicional, os golpistas forneceram isso, ou melhor, enviaram outro e-mail falso, mas muito inteligente, de uma conta diferente pela que convenceu CEO holandês. Os danos totais de todos os pagamentos fraudulentos totalizaram cerca de 22 milhões de dólares. Isso aconteceu em 2018.

Governo porto-riquenho vítima de phishing

Este próximo golpe mostra que não apenas organizações e empresas podem ser vítimas de fraudes do CEO e golpes de phishing. A mesma coisa pode acontecer com as instituições governamentais.

Em 17 de janeiro de 2020, a Industrial Development Company de Porto Rico perdeu mais de US$ 2,6 milhões em um golpe de phishing. Eles foram contatados por uma parte maliciosa, presumivelmente se passando por parceiros ou beneficiários. Os criminosos pediram que eles alterassem uma conta bancária vinculada a pagamentos de remessas. Um funcionário do governo porto-riquenho obedeceu, causando a devastadora perda financeira.

Golpistas estão ficando mais criativos a cada dia

Esses exemplos devem mostrar que os golpistas estão ficando cada vez mais criativos a cada dia. A fraude do CEO é um problema sério, especialmente para empresas menores que simplesmente não podem arcar com tais perdas. Outros tipos de fraude também estão se tornando populares, como fraudes de help desk ou golpes no WhatsApp. É importante manter-se atualizado com o que está acontecendo para que você possa se manter seguro.

Fraude do CEO - Perguntas frequentes

Você tem uma pergunta específica sobre fraude do CEO? Dê uma olhada no nosso FAQ abaixo. Basta clicar em uma pergunta para ver a resposta. Está faltando sua pergunta? Deixe-nos uma resposta com a sua pergunta e responderemos o mais breve possível!

A fraude do CEO é uma forma de phishing em que a vítima, um funcionário, é induzida a transferir (grandes) fundos para um golpista. Isso é feito enviando um e-mail no qual o golpista se faz passar pelo CEO ou um gerente de alto escalão de uma empresa. Em seu e-mail, eles solicitarão uma transferência direta, uma alteração das informações de pagamento existentes ou usarão outros truques para roubar dinheiro. A fraude do CEO é uma forma de Business Email Compromise (BEC) e engenharia social.

Business Email Compromise (BEC) é um termo genérico para manipular funcionários ou figuras importantes em uma empresa onde  os golpistas fazem pedidos, enviando a eles um e-mail enganoso no qual eles se passam por outra pessoa. Como tal, a fraude do CEO é um tipo de comprometimento de e-mail comercial. No entanto, o BEC também se refere a casos em que os golpistas se apresentam como beneficiários de uma empresa e alegam que sua conta bancária mudou ou como fornecedor, por exemplo.

Prevenir a fraude do CEO não é tarefa fácil, pois esses criminosos estão ficando mais espertos a cada dia que passa. No entanto, existem algumas dicas que você pode seguir para tornar muito menos provável que você se torne uma vítima:

  • Sempre inspecione cuidadosamente o endereço de e-mail de onde vem o e-mail que você recebeu. Muitas vezes, os fraudadores do CEO usam um endereço de e-mail ligeiramente diferente da pessoa que estão se passando.
  • Discuta e-mails suspeitos com seu supervisor ou colegas. Idealmente, discuta a solicitação que você recebeu por e-mail pessoalmente ou por telefone com o remetente (representado) do e-mail.
  • Crie e aplique regras claras quando se trata de fazer pagamentos e alterar as informações de pagamento em sua organização.
International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.