Atenção ao E-mail do ‘CEO’: Como Identificar e Evitar Golpes Financeiros
Recentemente, você recebeu um e-mail aparentemente do seu ‘CEO’, solicitando uma transferência de fundos para um ‘fornecedor’? Cuidado! Este pode ser um golpe de fraude do CEO, um esquema que detalharemos a seguir.
Vamos começar com uma breve introdução.
Fui alvo de um golpe de fraude do CEO cerca de dois meses após ingressar na etechpt.com como redator.
Inicialmente, não percebi o golpe. O fraudador usava um domínio aparentemente legítimo, Virgin Media ([email protected]). Presumi que meu CEO tinha alguma ligação com essa empresa de telecomunicações, já que ambos estão localizados no Reino Unido.
Respondi positivamente à pergunta inicial: ‘Gostaria de lhe atribuir uma tarefa, você está livre?’. O remetente então detalhou uma tarefa envolvendo a transferência de cerca de 24.610 INR (~ $ 300) para um fornecedor, cujos detalhes seriam enviados se eu concordasse.
Desconfiado, pedi ao remetente que comprovasse sua identidade antes de eu realizar qualquer transferência. Após algumas trocas de e-mails, o golpista desistiu, e encaminhei a conversa ao meu CEO real e à equipe de TI da Virgin Media.
Embora eu não tivesse treinamento prévio para lidar com fraudes desse tipo, tive sorte de não cair na armadilha.
Não podemos confiar apenas na sorte. É essencial conhecer esses golpes e educar outras pessoas sobre eles.
Fraude do CEO: O Phishing Executivo em Ação
Este tipo de fraude se enquadra no spear phishing, um ataque direcionado a uma organização específica ou a alguns de seus funcionários. Se o alvo for um funcionário de alto escalão (como um executivo), é chamado de ataque de phishing baleeiro.
O Federal Bureau of Investigation (FBI) dos EUA classifica esses golpes como Business Email Compromise (BEC) ou Email Account Compromise (EAC), responsáveis por quase US$ 2,4 bilhões em perdas em 2021, conforme relatado neste Relatório de Crimes na Internet.
Geograficamente, a Nigéria é o principal país de origem, com 46% das fraudes do CEO, seguida pelos EUA (27%) e Reino Unido (15%).
Como Funcionam Esses Golpes?
Surpreendentemente, a fraude do CEO não requer habilidades técnicas avançadas ou conhecimento criminal. O método se baseia no envio de um e-mail aleatório e engenharia social para induzir a vítima a transferir fundos ou revelar informações confidenciais para ações ilícitas.
Vamos analisar as táticas mais comuns usadas pelos golpistas.
Tipos de Fraude do CEO
Tipo 1
A forma mais básica é um e-mail aleatório que se passa pelo CEO, solicitando dinheiro. Esse tipo de golpe é relativamente fácil de identificar. Basta prestar atenção ao endereço de e-mail (e não apenas ao nome do remetente).
Geralmente, o nome de domínio ([email protected]) já indica uma fraude. No entanto, o endereço de e-mail pode sugerir uma organização legítima (como ocorreu no meu caso).
Essa aparência de legitimidade pode enganar um profissional desavisado. Além disso, o endereço de e-mail pode parecer verdadeiro, mas com pequenas alterações, como @gmial.com em vez de @gmail.com.
Finalmente, pode ser um endereço de e-mail legítimo, mas comprometido, o que dificulta a detecção da fraude.
Tipo 2
Uma técnica mais sofisticada envolve o uso de chamadas de vídeo. O golpista envia e-mails ‘urgentes’ solicitando reuniões online para funcionários, geralmente no departamento financeiro, usando um endereço de e-mail que simula ser de um executivo de alto escalão.
Durante a chamada, os participantes visualizam uma imagem sem áudio (ou com áudio deepfake), alegando problemas de conexão.
Em seguida, o falso executivo solicita uma transferência eletrônica para contas bancárias desconhecidas, onde o dinheiro é desviado por outros canais (como criptomoedas) após a fraude ser bem-sucedida.
Tipo 3
Este é uma variação do Tipo 1, mas tem como alvo parceiros de negócios em vez de funcionários, e é conhecido como fraude de fatura.
Neste caso, o cliente de uma organização recebe um e-mail solicitando o pagamento de uma fatura para contas bancárias específicas com urgência.
Fonte: CBC News
Essa tática tem uma alta taxa de sucesso, pois geralmente utiliza um endereço de e-mail empresarial hackeado. Como o e-mail é um meio comum de comunicação profissional, isso pode resultar em grandes perdas financeiras e de reputação para a organização-alvo.
Como Verificar um E-mail de Fraude do CEO?
Como funcionário, é difícil recusar um pedido do seu próprio CEO. Essa é a principal razão pela qual os golpistas têm sucesso com um simples e-mail aleatório.
Além de questionar solicitações financeiras, é sempre recomendável solicitar uma videoconferência antes de atender ao pedido.
Na maioria dos casos, basta verificar o endereço de e-mail com atenção. Ele pode não pertencer à sua organização ou ter erros no nome da empresa.
Além disso, uma instituição não pode registrar todas as extensões de domínio. Portanto, é preciso ter cuidado com e-mails enviados de [email protected] quando o endereço oficial é [email protected]
Por fim, você pode estar recebendo e-mails de um endereço de empresa operado externamente ou de um membro interno desonesto. Nestes casos, é fundamental fazer uma confirmação verbal ou informar outros executivos antes de efetuar qualquer pagamento.
Para proteger sua organização, se você estiver em uma posição de liderança, inclua simulações de phishing no treinamento regular de seus funcionários. Os golpistas estão sempre evoluindo, portanto, um aviso isolado pode não ser suficiente.
Considerações Finais
Infelizmente, dependemos muito dos e-mails corporativos, o que cria vulnerabilidades que os criminosos exploram frequentemente.
Embora ainda não haja um substituto para essa forma de comunicação, podemos adicionar parceiros de negócios em aplicativos como o Slack ou WhatsApp. Isso pode ajudar a confirmar rapidamente qualquer suspeita e evitar contratempos.
P.S.: Não deixe de conferir este outro artigo que aborda outros tipos de crimes cibernéticos para aumentar sua conscientização na internet.