À medida que os cibercriminosos se tornam cada vez mais sofisticados, a fraude do CEO surge como uma das suas tácticas mais perigosas. Esta forma de fraude visa empresas de todas as dimensões, utilizando mensagens ou mensagens de correio eletrónico falsas para manipular os funcionários no sentido de transferirem dinheiro ou divulgarem dados sensíveis. Compreender como funciona a fraude dos Diretores Executivos e, mais importante ainda, como a evitar, é essencial para proteger a sua organização.
O que é a fraude do CEO?
A fraude do CEO, também conhecida como business email compromise (BEC), é um esquema em que os atacantes se fazem passar por um executivo da empresa, normalmente o CEO, para enganar os empregados. Estas comunicações fraudulentas solicitam frequentemente transferências bancárias urgentes, informações sensíveis ou dados confidenciais da empresa.
A dimensão do problema: a fraude dos diretores executivos em números
O impacto da fraude dos diretores executivos é impressionante:
- A fraude dos CEO causou perdas de 2,7 mil milhões de dólares a nível mundial em 2022, de acordo com o Internet Crime Report do FBI.
- Cerca de 75% das organizações afirmam ter sido alvo de fraude por parte dos diretores executivos pelo menos uma vez, tal como salientado por um relatório da Verizon sobre violações de dados.
- De acordo com a Association of Certified Fraud Examiners (ACFE), um ataque fraudulento a um diretor executivo resulta, em média, em perdas de 140 000 dólares.
Estes números mostram que nenhuma empresa é demasiado pequena ou demasiado segura para ser visada.
Métodos de ataque comuns
As fraudes contra diretores executivos exploram normalmente o comportamento humano, em particular a confiança e o sentido de urgência. Os métodos mais comuns utilizados pelos cibercriminosos incluem:
- Phishing: o phishing é a utilização de mensagens de correio eletrónico generalizadas concebidas para enganar os empregados e levá-los a fornecer dados sensíveis, como credenciais de acesso ou informações financeiras. Estas mensagens de correio eletrónico parecem muitas vezes legítimas, mas são concebidas para explorar a confiança humana.
- Spear Phishing: o spear phishing é uma forma de phishing altamente direcionada, em que os cibercriminosos enviam e-mails personalizados a funcionários específicos. Ao utilizar dados pessoais, aumentam a probabilidade de sucesso e criam confiança no destinatário.
- Whaling executivo: o whaling é uma variação do spear phishing, em que os cibercriminosos visam especificamente executivos de alto nível ou indivíduos importantes de uma organização. O objetivo é obter acesso a sistemas sensíveis ou a activos financeiros, explorando a sua autoridade e confiança.
- Social Engineering: a engenharia social refere-se à manipulação de funcionários para que tomem decisões ou divulguem informações confidenciais sem a devida verificação. Esta tática envolve frequentemente fazer-se passar por figuras de autoridade ou criar um falso sentido de urgência para enganar a vítima e levá-la a agir rapidamente.
Como funciona a fraude do CEO: Cenários de ataque
- A fraude da fatura falsa: O e-mail de um fornecedor é falsificado, pedindo o pagamento de uma fatura falsa.
- O pedido urgente de transferência eletrónica: Um "Diretor Executivo" solicita urgentemente uma transferência financeira, criando pressão para agir rapidamente.
- O pedido de dados de RH: Uma mensagem de correio eletrónico faz-se passar pelo CEO, pedindo informações sensíveis sobre os empregados, como registos fiscais ou detalhes dos salários.
- Comprometendo fornecedores: Os criminosos podem visar fornecedores terceiros de confiança para obter acesso aos seus sistemas ou finanças.
Principais alvos da fraude contra diretores executivos
Certos funcionários e equipas são mais susceptíveis de serem visados, incluindo
- Equipas de finanças: Funcionários que tratam de transferências bancárias e pagamentos de facturas.
- Gestores de RH: Pessoal que gere os salários ou os dados sensíveis dos trabalhadores.
- Executivos C-suite: Líderes de topo que pretendem ter acesso direto a sistemas financeiros e operacionais.
- Fornecedores e parceiros: Partes interessadas externas utilizadas como intermediários para aceder aos fundos ou dados da empresa.
Passos de prevenção: Como proteger a sua empresa contra a fraude do diretor executivo
A boa notícia? A fraude dos diretores executivos pode ser evitada com as estratégias certas:
- Formação dos funcionários: Formação regular sobre o reconhecimento de e-mails de phishing e a verificação de pedidos invulgares.
- Implementação da política: Processos claros para o tratamento de transferências electrónicas, incluindo aprovação a vários níveis.
- Soluções tecnológicas: Ferramentas como filtros de correio eletrónico, autenticação multi-fator (MFA) e plataformas de comunicação seguras.
- Incentivar a verificação: Confirmar sempre os pedidos de dados sensíveis ou de transferências financeiras através de comunicação telefónica ou pessoal.
Para obter orientações mais pormenorizadas sobre a criação de um programa de sensibilização para a segurança para os executivos, consulte este recurso da MetaCompliance.
Agir agora: Marque uma demonstração gratuita da formação de sensibilização para a cibersegurança para executivos C-Suite
Para saber mais sobre a fraude dos diretores executivos e as estratégias de prevenção mais recentes, explore recursos como o guia do FBI sobre o comprometimento do correio eletrónico empresarial.
A fraude de CEO é uma ameaça crescente, mas com a formação, as políticas e as ferramentas corretas, pode reduzir significativamente o seu risco. A MetaCompliance oferece formação de sensibilização para a segurança altamente personalizável, adaptada a cada departamento e função na sua organização. Quer esteja a proteger a sua equipa financeira, o departamento de RH ou os executivos de topo, a nossa plataforma pode ser personalizada para satisfazer as suas necessidades. Marque hoje uma demonstração gratuita para ver como podemos ajudar a proteger a sua empresa contra a fraude dos diretores executivos.
