O que é a “Fraude do CEO”?
A fraude do CEO é um tipo de ciberataque que pode ser cometido através dos métodos referidos até agora: Phishing (correio eletrónico), Vishing (chamada telefónica ou videochamada) e Smishing (mensagem de texto ou envio de uma mensagem de vídeo ou áudio).
Consiste em fazer-se passar por uma pessoa com um cargo ou uma posição de autoridade ou responsabilidade numa empresa privada ou numa entidade pública. Embora se refira ao CEO (Diretor Executivo), podem ser substituídos por quaisquer gestores, directores, coordenadores ou mesmo políticos e figuras públicas.
O objetivo é que o Utilizador tenha plena confiança na comunicação recebida, porque é uma pessoa de confiança cujo pedido deve ser tratado. De facto, é cada vez mais fácil criar comunicações falsas utilizando a imagem e a voz reais de uma pessoa (como podemos ver na imagem de exemplo, com rostos de celebridades) utilizando a Inteligência Artificial. Além disso, para evitar que os Utilizadores tenham tempo de refletir cuidadosamente sobre a resposta ou para detetar fraudes, os pedidos feitos por estes meios são quase sempre extremamente urgentes.
O que é que isto implica?
Se o nosso chefe nos pedir com urgência para alterar uma palavra-passe, descarregar um ficheiro, fazer uma transferência ou fornecer alguns dados ou informações, é provável que respondamos o mais rapidamente possível, sem pensar muito se o que ele está a pedir faz sentido.
Como é que podemos detetar estes ataques?
- Contacto por outros meios: um telefonema para a pessoa que está a pedir algo com urgência permite-nos verificar se se trata de uma fraude ou de um pedido real. É muito importante que não tentemos fazer esta verificação respondendo à mesma mensagem, porque podemos alertar o cibercriminoso para a nossa suspeita e isso seria pior.
- Aplicar a lógica comum: Pense se o que está a ser pedido é habitual ou mesmo se estão a ser utilizadas as vias indicadas nas políticas da empresa ou nos procedimentos de trabalho para tais pedidos. Vejamos alguns exemplos:
-
- Se os procedimentos internos determinarem que as alterações de palavra-passe devem ser solicitadas por correio para um endereço de apoio específico ou através de uma plataforma específica, não confie em quaisquer chamadas ou mensagens de texto ou de voz que possa receber, sem ter a certeza de que não se trata de uma burla.
- Se estivermos proibidos de enviar informações por Whatsapp ou serviços semelhantes, o nosso superior nunca nos pedirá documentos ou dados confidenciais por este meio.
- Se for necessária uma dupla aprovação ou um controlo interno para as transferências, não altere os dados de pagamento nem efectue essas transacções de forma ligeira. Por mais urgentes que sejam.
-
RECORDAMOS-LHE MAIS UMA VEZ: Se acredita que forneceu informações pessoais ou profissionais que não deveria ter divulgado devido a este tipo de ciberataque, comunique o facto ao departamento de TI, ao CISO ou ao DPO no local de trabalho e comunique-o à polícia .