Ir para conteúdo

Contexto Atual - CEO Fraud

Versão 1.0
Data de Publicação: 12.04.2024


1.    Enquadramento

Nos últimos meses, tem sido registado um crescente número de casos de CEO Fraud. Este tipo de incidente tem afetado cidadãos e organizações e pode resultar em dano financeiro de valor elevado. As campanhas de CEO Fraud caracterizam-se, essencialmente, pelo envio de emails ou mensagens de texto (sms ou através de aplicações) em que um agente malicioso, fazendo-se passar por uma entidade relacionada de alguma forma com a organização alvo (por exemplo, o/a Diretor(a) Executivo(a) ou um fornecedor), faz pedidos tipicamente de natureza financeira a colaboradores dessa mesma organização, podendo conduzir estes a realizar transferências bancárias para contas associadas ao atacante.

Destacam-se, em particular, campanhas onde o agente malicioso, em mensagens de texto ou emails direcionados a colaboradores, se faz passar pelo(a) Diretor(a) Executivo(a) da entidade alvo, ou por fornecedores desta mesma entidade, pedindo a alteração de dados bancários relacionados com pagamentos correntes. Nalguns casos são apresentados ficheiros comprovativos, maioritariamente documentos forjados, de alteração de contas bancárias.

Para proteger uma organização deste tipo de incidente é importante conhecer o contexto e as ações necessárias para uma mitigação desta ameaça. O Centro Nacional de Cibersegurança (CNCS) chama a atenção para as seguintes metodologias de ataque e boas práticas de prevenção.



2.    Metodologias de Ataque Mais Frequentes

Este tipo de ataque pode ocorrer de diversas formas:

a. Personificação de entidade fornecedora – Conta comprometida:
Ocorre quando emails são enviados de contas de email conhecidas dos destinatários, uma vez que existe, do lado do fornecedor, uma conta comprometida. Os agentes maliciosos aproveitam-se do acesso privilegiado a caixas de email que tratam os assuntos financeiros para pedirem a alteração de dados da conta bancária utilizada para efeitos de pagamentos. Servindo-se do acesso a estas contas, apresentam faturas verdadeiras, já que o pedido é proveniente de uma conta legítima, e tipicamente utilizam linguagem semelhante à utilizada anteriormente, o que torna estes ataques difíceis de detetar.

b. Personificação de entidade fornecedora e clientes – Typosquatting:
Ocorre quando emails aparentam ser enviados de contas conhecidas dos destinatários. Esta metodologia tem por base o registo de um domínio semelhante ao da entidade personificada, utilizando elementos tipográficos idênticos ao do domínio legítimo ou top level domains (TLD), mas suficientemente diferentes para poderem ser registados.
O agente malicioso utiliza estes endereços para se fazer passar pelo cliente, perguntando ao fornecedor que faturas estão pendentes de pagamento. Caso o fornecedor não se aperceba que aquele não é o endereço legítimo do seu cliente, comunicará e enviará as faturas legítimas para o agente malicioso. Usando a mesma técnica, o agente cria um endereço de email semelhante ao do fornecedor e, munido da informação recolhida junto deste, entra também em contacto com o cliente verdadeiro relembrando-o de que existem faturas pendentes e pedindo para que estas sejam pagas para uma conta bancária diferente.

c. Personificação de colaborador para alterar destino do vencimento:
O departamento de Recursos Humanos de uma entidade também pode ser alvo deste tipo de ataques. Nestes casos, este departamento recebe um email que personifica a identidade de um colaborador, para que o destino de pagamento do seu vencimento seja alterado. Também aqui o agente malicioso costuma utilizar um domínio semelhante ao legítimo e simula a assinatura das mensagens de email de acordo com o que é utilizado dentro da entidade.

 d. Personificação de superior hierárquico a requisitar cartões de oferta:
Ocorre quando colaboradores de entidades recebem mensagens de texto no seu número de telemóvel pessoal e/ou corporativo, ou emails, de um agente malicioso a personificar um superior hierárquico, requisitando que aquele colaborador compre determinados cartões de oferta. Para justificar este pedido, o agente malicioso avança com a explicação de que estes cartões de oferta se destinam a ser entregues a convidados da entidade ou a outros colaboradores como forma de bónus. O colaborador é também informado que o dinheiro gasto na aquisição dos cartões de oferta será devolvido prontamente. O atacante fica na posse destes cartões de oferta, dos quais beneficiará.
Tipicamente, quando estas comunicações ocorrem por mensagens de texto, no perfil do contacto encontra-se uma fotografia do superior hierárquico personificado, de modo a tornar a mensagem mais credível.



3.    Recomendações para Empresas e Organismos da Administração Pública

a. Aplicar o múltiplo fator de autenticação em todas as contas da organização. Isto irá fazer com que o comprometimento de uma palavra-passe não conduza necessariamente ao comprometimento da conta, na medida em que o segundo fator evita que a palavra-passe permita por si só o acesso.

b. Sensibilizar os colaboradores das organizações para os seguintes cuidados:
    1. Verificar o endereço do remetente de emails recebidos ou o número de telemóvel de mensagens de texto, sobretudo se for solicitada informação sensível ou forem feitos pedidos críticos, como transferências bancárias;
    2. Sempre que é solicitada informação sensível ou feitos pedidos críticos por email ou mensagem de texto, confirmar com a entidade legítima, através de outro canal, se efetivamente fez alguma dessas ações;
    3. Confirmar pedidos de alteração de dados bancários com a própria entidade anunciada através de número de telefone conhecido e não do número inscrito na assinatura do email recebido;
    4. Confirmar o titular da conta bancária para a qual se pretende realizar uma transferência bancária em resultado de pedido por email ou mensagem de texto;
    5. Verificar a linguagem dos conteúdos dos emails e das mensagens de texto recebidos – muitas vezes esta linguagem não é coerente com o idioma utilizado em comunicações anteriores ou é descontextualizada;
    6. Suspeitar de emails ou mensagens de texto enviadas fora dos históricos das comunicações, principalmente se solicitarem informação sensível ou ações críticas.
  2.  
  3. c. Implementar mecanismo de gestão que garanta que qualquer alteração de dados do fornecedor seja validada por este.
  4.  
  5. d. Realizar acordos com as entidades bancárias de modo a criar mecanismos de verificação extra na realização de transferências bancárias para minimizar possíveis consequências de um ataque deste tipo.
  6.  
  7. e. Tem sido identificado a nível internacional que agentes maliciosos recorrem a deep fakes (uso de Inteligência Artificial para modificação de voz e imagem) para personificarem superiores hierárquicos e autorizarem transferências ou pagamentos pouco comuns. Assim, recomenda-se atenção redobrada para este tipo de casos – não confiar numa mensagem apenas porque usa imagem ou voz que parecem reais.

 

4. Em Caso de Incidente

Caso seja vítima de ataque de CEO Fraud, aconselha-se que sejam contactados o CERT.PT (equipa de resposta a incidentes do CNCS) (cert@cert.pt) e a Polícia Judiciária (unc3t@pj.pt). Consulte o seguinte tutorial sobre como reportar um incidenteaqui.

Consulte também os seguintes conteúdos de Boas Práticas do CNCS de modo a obter mais informação: aqui. Para a sensibilização dos colaboradores, além de apresentações que podem ser usadas nas organizações (aqui), o CNCS disponibiliza também quatro cursos online gratuitos: aqui.
Última atualização em 19-04-2024