Versão 1.0
Data de Publicação: 12.04.2024
1. Enquadramento
Nos últimos meses, tem sido registado um crescente número de casos de CEO Fraud. Este tipo de incidente tem afetado cidadãos e organizações e pode resultar em dano financeiro de valor elevado. As campanhas de CEO Fraud caracterizam-se, essencialmente, pelo envio de emails ou mensagens de texto (sms ou através de aplicações) em que um agente malicioso, fazendo-se passar por uma entidade relacionada de alguma forma com a organização alvo (por exemplo, o/a Diretor(a) Executivo(a) ou um fornecedor), faz pedidos tipicamente de natureza financeira a colaboradores dessa mesma organização, podendo conduzir estes a realizar transferências bancárias para contas associadas ao atacante.
Destacam-se, em particular, campanhas onde o agente malicioso, em mensagens de texto ou emails direcionados a colaboradores, se faz passar pelo(a) Diretor(a) Executivo(a) da entidade alvo, ou por fornecedores desta mesma entidade, pedindo a alteração de dados bancários relacionados com pagamentos correntes. Nalguns casos são apresentados ficheiros comprovativos, maioritariamente documentos forjados, de alteração de contas bancárias.
Para proteger uma organização deste tipo de incidente é importante conhecer o contexto e as ações necessárias para uma mitigação desta ameaça. O Centro Nacional de Cibersegurança (CNCS) chama a atenção para as seguintes metodologias de ataque e boas práticas de prevenção.
2. Metodologias de Ataque Mais Frequentes
Este tipo de ataque pode ocorrer de diversas formas:
a. Personificação de entidade fornecedora – Conta comprometida:
Ocorre quando emails são enviados de contas de email conhecidas dos destinatários, uma vez que existe, do lado do fornecedor, uma conta comprometida. Os agentes maliciosos aproveitam-se do acesso privilegiado a caixas de email que tratam os assuntos financeiros para pedirem a alteração de dados da conta bancária utilizada para efeitos de pagamentos. Servindo-se do acesso a estas contas, apresentam faturas verdadeiras, já que o pedido é proveniente de uma conta legítima, e tipicamente utilizam linguagem semelhante à utilizada anteriormente, o que torna estes ataques difíceis de detetar.
b. Personificação de entidade fornecedora e clientes – Typosquatting:
Ocorre quando emails aparentam ser enviados de contas conhecidas dos destinatários. Esta metodologia tem por base o registo de um domínio semelhante ao da entidade personificada, utilizando elementos tipográficos idênticos ao do domínio legítimo ou top level domains (TLD), mas suficientemente diferentes para poderem ser registados.
O agente malicioso utiliza estes endereços para se fazer passar pelo cliente, perguntando ao fornecedor que faturas estão pendentes de pagamento. Caso o fornecedor não se aperceba que aquele não é o endereço legítimo do seu cliente, comunicará e enviará as faturas legítimas para o agente malicioso. Usando a mesma técnica, o agente cria um endereço de email semelhante ao do fornecedor e, munido da informação recolhida junto deste, entra também em contacto com o cliente verdadeiro relembrando-o de que existem faturas pendentes e pedindo para que estas sejam pagas para uma conta bancária diferente.
c. Personificação de colaborador para alterar destino do vencimento:
O departamento de Recursos Humanos de uma entidade também pode ser alvo deste tipo de ataques. Nestes casos, este departamento recebe um email que personifica a identidade de um colaborador, para que o destino de pagamento do seu vencimento seja alterado. Também aqui o agente malicioso costuma utilizar um domínio semelhante ao legítimo e simula a assinatura das mensagens de email de acordo com o que é utilizado dentro da entidade.
d. Personificação de superior hierárquico a requisitar cartões de oferta:
Ocorre quando colaboradores de entidades recebem mensagens de texto no seu número de telemóvel pessoal e/ou corporativo, ou emails, de um agente malicioso a personificar um superior hierárquico, requisitando que aquele colaborador compre determinados cartões de oferta. Para justificar este pedido, o agente malicioso avança com a explicação de que estes cartões de oferta se destinam a ser entregues a convidados da entidade ou a outros colaboradores como forma de bónus. O colaborador é também informado que o dinheiro gasto na aquisição dos cartões de oferta será devolvido prontamente. O atacante fica na posse destes cartões de oferta, dos quais beneficiará.
Tipicamente, quando estas comunicações ocorrem por mensagens de texto, no perfil do contacto encontra-se uma fotografia do superior hierárquico personificado, de modo a tornar a mensagem mais credível.