Imagine receber um e-mail urgente do CEO da sua empresa exigindo uma transferência eletrônica confidencial e imediata e alertando sobre as terríveis consequências em caso de atraso. Você age rapidamente, apenas para descobrir mais tarde que o e-mail nunca foi do seu chefe. Esse cenário inquietante está ocorrendo em empresas de todo o mundo, custando milhões às empresas.

Como as táticas de falsificação de identidade estão cada vez mais convincentes, é mais importante do que nunca reconhecer os sinais de alerta e entender como esses esquemas se desenvolvem. Neste artigo, você saberá quais são os alvos comuns da fraude de CEO, como reconhecer seus sinais e como você pode ajudar a proteger sua organização contra essa ameaça cibernética.

O que é fraude de CEO?

A fraude de CEO é uma forma de spear phishing em que os criminosos cibernéticos enviam um e-mail direcionado, no qual se fazem passar pelo diretor executivo de uma empresa ou outro executivo de alto nível para manipular um funcionário a transferir fundos ou divulgar informações confidenciais. Essa é uma forma específica e altamente eficaz de uma categoria mais ampla de ataques conhecida como comprometimento de e-mail comercial.

O ponto central da fraude de CEO está na exploração da confiança e da autoridade associadas à liderança corporativa, com o objetivo principal de obter ganhos financeiros, enganando os funcionários dos departamentos financeiro ou de recursos humanos para que façam transferências eletrônicas não autorizadas para as contas dos criminosos. A definição de fraude de CEO também inclui golpes destinados a roubar dados valiosos, como registros fiscais de funcionários ou listas de clientes, que podem ser vendidos ou usados para outras atividades fraudulentas.

Fraude de CEOs vs. whaling

Embora tanto a fraude de CEO quanto o whaling sejam ataques de engenharia social altamente direcionados, eles diferem em suas metas e objetivos. A fraude de CEO envolve um golpista que se faz passar por um executivo de alto nível para enganar um funcionário e levá-lo a executar ações não autorizadas, como transferir dinheiro ou compartilhar dados confidenciais. O funcionário é o alvo da fraude.

Por outro lado, o whaling é uma forma de phishing que visa diretamente os próprios executivos seniores— as baleias (whales) ou peixes grandes. O objetivo de um ataque whaling é induzir o executivo a revelar suas credenciais de login pessoais ou informações corporativas confidenciais, que podem ser usadas para facilitar ataques maiores.

Crimes cibernéticos cuidadosamente elaborados

Um ataque de fraude de CEO é um golpe cuidadosamente orquestrado que utiliza engenharia social e truques técnicos. O processo geralmente começa com o reconhecimento, no qual os golpistas estudam o organograma de uma empresa, identificam os principais funcionários do departamento financeiro e aprendem o estilo de comunicação do CEO.

Em seguida, eles usam a falsificação de e-mail para fazer com que uma mensagem pareça vir diretamente do e-mail verdadeiro do executivo. A própria solicitação fraudulenta é projetada para evitar suspeitas, enfatizando a urgência e a confidencialidade. O atacante pode alegar que está lidando com uma fusão secreta ou um pagamento de impostos urgente que precisa ser processado imediatamente e sem questionamento, pressionando o funcionário a agir antes que ele tenha tempo de pensar ou verificar a solicitação.

Um golpe altamente lucrativo

Os golpes de fraude de CEOs estão se tornando mais comuns porque são incrivelmente lucrativos para os criminosos cibernéticos e mais fáceis de executar no mundo digital de hoje. Além disso, a dependência de modelos remotos e híbridos no local de trabalho moderno criou inadvertidamente novas vulnerabilidades.

Por exemplo, as antigas formas de verificações rápidas e informais, como ir até a mesa do seu colega, nem sempre são possíveis, tornando mais fácil que um e-mail fraudulento de CEO, com aparência de urgência, passe despercebido e sem ser questionado e obtenha êxito.

→ Entenda melhor: Os 9 golpes mais comuns nas redes sociais—e Como identificá-los antes que seja tarde demais

Os principais alvos da fraude de CEOs

Na fraude de CEO, os atacantes pesquisam cuidadosamente e traçam o perfil de suas vítimas, visando indivíduos e departamentos com maior probabilidade de ter acesso a dados financeiros confidenciais ou a quem tenha autoridade para transferir dinheiro. Aqui estão alguns exemplos de alvos principais para fraudes de CEOs. Se você trabalha em qualquer uma dessas áreas, é melhor aumentar sua conscientização e precaução:

  • Equipe financeira e de contas a pagar: esses funcionários são os alvos mais comuns porque têm acesso direto aos fundos da empresa e autoridade para processar pagamentos e transferências eletrônicas. Os atacantes exploram seu dever de agir em solicitações executivas, especialmente quando são consideradas urgentes.
  • Profissionais de recursos humanos (RH): como os departamentos de RH mantêm uma grande quantidade de dados pessoais dos funcionários, eles se tornaram os principais alvos de roubo de dados. Os golpistas se fazem passar por executivos para solicitar informações confidenciais dos funcionários, como listagem de folha de pagamento, formulários de impostos e outras informações de identificação pessoal que podem ser usadas para roubo de identidade e outras fraudes.
  • Assistentes executivos e administrativos: esses indivíduos trabalham em estreita colaboração com executivos de alto nível e geralmente são encarregados de lidar com questões logísticas e financeiras em seu nome, como reserva de viagens ou compra de suprimentos. Os golpistas os atacam com solicitações de cartões-presente ou para gerenciar pagamentos de pequeno porte e aparentemente legítimos que se revelam fraudulentos.
  • Funcionários novos ou juniores: os funcionários mais novos podem estar menos familiarizados com os protocolos de pagamento da empresa e mais ansiosos para parecerem prestativos e solícitos. Os criminosos cibernéticos se aproveitam dessa falta de experiência, esperando que o novo funcionário atenda a uma solicitação fraudulenta sem questionar sua legitimidade.

Reconheça os sinais de alerta de um golpe de impostura de CEO

Como um golpe por e-mail de CEO é cuidadosamente elaborado para pressionar um funcionário a entrar em pânico e cometer um erro, uma abordagem fria, com pensamento claro e precaução são a sua melhor defesa. Ao aprender a reconhecer os sinais de alerta sutis e nem tão sutis, você pode impedir esses golpes antes que eles aconteçam. Além disso, todos os funcionários, e não apenas os do setor financeiro, devem ser treinados para estarem cientes dos seguintes sinais de alerta que geralmente indicam uma solicitação mal-intencionada.

  • Táticas de extrema pressão: o e-mail insiste em extrema urgência ou sigilo. Frases como “preciso que isso seja feito agora”, “trate disso discretamente” ou “estou em uma reunião e não posso falar” são usadas para apressar você a agir sem a devida verificação.
  • Solicitação incomum: a mensagem solicita uma ação que está fora do procedimento padrão da empresa. Pode ser uma solicitação para ignorar uma etapa de aprovação necessária, enviar fundos para uma conta internacional desconhecida ou comprar cartões-presente.
  • Dados de e-mail incorretos: observe atentamente o endereço de e-mail do remetente. Os golpistas geralmente usam um nome de exibição que parece correto, mas o endereço real é um domínio público, como @gmail.com ou uma versão ligeiramente incorreta do domínio da sua empresa, como CEO@compaany.com.
  • Mudanças no tom ou no estilo: a linguagem do e-mail parece estranha. Pode ser excessivamente formal ou informal em comparação com o estilo de comunicação típico do executivo, ou pode conter erros gramaticais e ortográficos incomuns.
  • Restrição do canal de comunicação: o remetente informa de maneira clara e enfática para não entrar em contato com ele por telefone ou falar com outras pessoas da organização sobre a solicitação, alegando que ele está ocupado ou que o assunto é altamente confidencial. Essa é uma tática para impedir a verificação.

Além do dinheiro: o verdadeiro custo da fraude de CEO no mundo real

A fraude de CEO é uma ameaça global que já custou bilhões em perdas para as empresas. Esses casos do mundo real mostram como até mesmo organizações bem estabelecidas podem ser vítimas de táticas sofisticadas de engenharia social.

  • A videoconferência deepfake de US$ 25 milhões: no início de 2024, um funcionário do setor financeiro de uma empresa multinacional foi induzido a efetuar um pagamento de US$ 25 milhões depois de participar de uma videoconferência com pessoas que ele acreditava serem o diretor financeiro da empresa e outros funcionários seniores. Os “colegas” na chamada eram, na verdade, manipulações de imagem por deepfake. O ataque sofisticado foi iniciado por um e-mail suspeito, mas ganhou credibilidade por meio de uma chamada de vídeo altamente realista, ilustrando uma escalada assustadora nas táticas de golpe.
  • Perda de 19 milhões de euros da empresa de cinema Pathé: A divisão holandesa da grande empresa cinematográfica Pathé perdeu mais de 19 milhões de euros em um golpe clássico de fraude de CEO. Os golpistas se fizeram passar por executivos da matriz francesa, usando e-mails falsos para instruir o CEO e o CFO holandeses a fazer uma série de transferências eletrônicas urgentes para uma falsa aquisição “confidencial” em Dubai. Os atacantes usaram com sucesso o sigilo e a autoridade para manipular os executivos a fim de contornar os procedimentos padrão.

Embora a perda financeira inicial de um ataque de fraude de CEO possa ser devastadora, o custo real vai muito além dos fundos roubados. As consequências geralmente envolvem despesas secundárias significativas, incluindo investigações forenses dispendiosas para determinar a extensão da violação, honorários advocatícios e possíveis multas regulamentares, caso os dados confidenciais tenham sido comprometidos.

Ainda mais prejudicial é a perda de confiança. Um ataque pode prejudicar gravemente a reputação de uma empresa entre clientes, parceiros e investidores, dificultando a manutenção das relações comerciais. Dentro da empresa, um incidente assim pode destruir carreiras e abalar o moral dos funcionários, criando um clima de desconfiança e culpa que dificulta a colaboração e reduz a produtividade. Essas consequências em cadeia são a razão pela qual a prevenção proativa é uma estratégia empresarial essencial.

O aumento dos golpes de deepfake e de voz com IA

A próxima evolução na fraude de CEOs envolve o uso de inteligência artificial para criar deepfakes altamente convincentes. Os criminosos cibernéticos não precisam mais depender apenas de e-mails baseados em texto. Com apenas uma pequena amostra de áudio de uma entrevista pública ou publicação em mídia social, eles podem clonar a voz de um executivo para usar em um ataque de phishing de voz (vishing).

Imagine receber uma mensagem de voz que soa exatamente como a do seu CEO, pedindo urgentemente que você processe um pagamento e que envie uma mensagem de texto com os dados assim que isso for feito. Essa tecnologia emergente torna mais difícil confiar em sinais de alerta tradicionais, como gramática ruim ou tom pouco familiar. Isso reforça uma verdade importante: a força da defesa está no procedimento.

Por mais convincente que uma mensagem pareça, verifique sempre por outro canal — como ligar de volta para o executivo em seu número de telefone oficial e conhecido — antes de tomar qualquer medida em relação a uma solicitação confidencial.

Proteja sua organização contra fraudes de CEOs

A prevenção eficaz de fraudes requer uma estratégia de segurança proativa e em várias camadas que combine tecnologia, processos robustos e educação contínua dos funcionários para proteger os ativos e os dados confidenciais da empresa contra esquemas de fraude cada vez mais sofisticados dos CEOs. Seguindo essas práticas recomendadas, você pode ajudar a criar uma defesa forte e cultivar uma cultura consciente de segurança em que os funcionários se sintam capacitados para questionar solicitações suspeitas.

  1. Siga a verificação multicanal padrão: para qualquer solicitação que envolva transferências de fundos ou divulgação de dados, você deve seguir rigorosamente o protocolo de verificação padrão. Esse procedimento deve envolver a confirmação da solicitação por meio de um canal de comunicação diferente, como uma ligação telefônica direta para um número conhecido ou uma conversa pessoal. Nunca use as informações de contato fornecidas no e-mail suspeito.
  2. Participe do treinamento regular dos funcionários: quando a sua empresa anunciar um treinamento sobre os perigos da fraude de CEO e outros ataques de phishing, não deixe de participar de todas as sessões, se possível, especialmente se você estiver em uma função financeira, de RH ou de suporte executivo. Observe os exemplos reais de e-mails fraudulentos para ajudar você a reconhecer os sinais de alerta.
  3. Use segurança avançada de e-mail: certifique-se de que as soluções modernas de segurança de e-mail que sua empresa oferece estejam implantadas em seus dispositivos. Essas soluções sinalizarão automaticamente os e-mails suspeitos, detectando golpes por e-mail e e-mails de fora da organização.
  4. Siga controles financeiros claros: se você lida com finanças ou compras, observe rigorosamente todas as políticas e garanta aprovação dupla para qualquer transferência eletrônica ou pagamento acima de um determinado limite. Dessa forma, você não poderá ser pressionado a transferir fundos sem que haja uma segunda verificação.

Simulações de phishing como treinamento

As simulações de phishing são uma ferramenta poderosa e proativa para transformar seus funcionários em um ativo de segurança robusto. Esses exercícios consistem em enviar e-mails de phishing simulados e inofensivos— como mensagens de fraude contra CEOs— para sua equipe em um ambiente controlado.

O objetivo não é enganar ou punir os funcionários, mas oferecer um treinamento prático e aplicado. Ao rastrear quem clica, você pode medir a eficácia dos seus programas de conscientização de segurança e identificar as áreas que precisam ser melhoradas.

O mais importante é que as simulações criam valiosos “momentos de aprendizado”, fornecendo feedback imediato aos funcionários que cometem erros durante o teste, reforçando como identificar sinais de alerta em um contexto do mundo real. Esse processo fortalece seu firewall humano, tornando toda a sua organização mais resistente a tentativas reais de golpes de impostura de CEO.

Etapas a serem seguidas se você for vítima de fraude de CEO

Ser vítima de uma fraude de CEO pode ser uma situação angustiante e de alto risco, mas uma resposta rápida e organizada pode limitar significativamente os danos e aumentar suas chances de recuperação. Se você acredita que acabou de se tornar uma vítima, aqui está o que você deve fazer imediatamente e nos dias posteriores:

  1. Aja imediatamente para bloquear os recursos financeiros: assim que suspeitar de uma transferência fraudulenta, entre em contato com sua instituição financeira para solicitar o cancelamento ou o estorno dos valores. Em seguida, peça ao seu banco que entre em contato com o banco receptor para congelar a conta. O tempo é essencial, por isso esta deve ser sua primeira medida.
  2. Notifique a liderança interna: alerte a liderança da sua empresa, o departamento de segurança/TI e a equipe jurídica sobre a violação. Eles precisam estar cientes da situação para colocar em prática o plano de resposta a incidentes da empresa e avaliar o escopo dos danos.
  3. Preserve todas as evidências: Não exclua nada. Mantenha os e-mails originais fraudulentos, todos os registros de comunicação e os registros de transações relevantes. Essas evidências são cruciais tanto para a investigação policial quanto para a sua análise interna.
  4. Informe às autoridades policiais: Apresente um relatório detalhado aos órgãos policiais competentes. Para empresas nos Estados Unidos, isso significa registrar uma reclamação no Internet Crime Complaint Center do FBI o mais rápido possível. A equipe de recuperação de ativos pode, às vezes, ajudar na recuperação de fundos roubados.
  5. Realize uma revisão pós-incidente: depois de gerenciar a crise, realize uma auditoria interna detalhada. Analise como ocorreu o incidente de fraude de CEO, identifique vulnerabilidades em seus processos ou sistemas e implemente ações corretivas e treinamento adicional para evitar ataques futuros.

Perguntas frequentes sobre fraude de CEOs

Qual é a diferença entre a fraude de CEO e o phishing comum?

O phishing comum lança uma rede ampla para capturar qualquer vítima, com os golpistas enviando e-mails genéricos a milhares de pessoas, na esperança de que algumas mordam a isca. Enquanto isso, a fraude de CEO é uma forma de spear phishing, que é como usar uma isca específica para pegar um determinado peixe. É um ataque altamente direcionado em que os golpistas se fazem passar por um executivo específico para enganar um determinado funcionário, usando as informações que coletaram sobre sua empresa para fazer com que a solicitação pareça legítima.

Nosso filtro de spam é suficiente para impedir esses golpes?

Embora um bom filtro de spam seja uma camada importante de defesa, muitas vezes ele não é suficiente para impedir um golpe sofisticado de impostura de CEO. Esses e-mails fraudulentos são cuidadosamente elaborados para contornar os gatilhos comuns de spam. Em geral, eles não contêm links ou anexos maliciosos e são enviados em volumes menores, o que permite que passem despercebidas pelos filtros que procuram campanhas de e-mail em massa.

Por que os golpistas pedem cartões-presente?

Os golpistas adoram cartões-presente porque eles são uma forma de moeda não rastreável. Quando você compartilha o número do cartão e o PIN, o golpista pode resgatar instantaneamente os fundos ou vender o cartão na dark web. Diferentemente de uma transferência eletrônica, que deixa um rastro digital e às vezes pode ser recuperada, as transações com cartão-presente são rápidas, anônimas e irreversíveis, o que as torna um alvo de baixo risco e alta recompensa para os criminosos que aplicam esses tipos de golpes de fraude de CEO.

Posso ter problemas por cair em um golpe de fraude de CEO?

É natural que você se preocupe, mas é importante lembrar que esses ataques são projetados por criminosos profissionais para explorar a psicologia humana e contornar as defesas técnicas. Uma cultura empresarial de apoio reconhece isso. A prioridade deve ser sempre a comunicação imediata de um incidente suspeito, sem medo de ser culpado. A denúncia rápida é a melhor chance de recuperar os fundos e é um sinal de que você é um funcionário responsável. Após o incidente, o foco deve estar em aprender lições para fortalecer as defesas de todos.

Considerações finais

Embora os criminosos cibernéticos aprimorem continuamente suas táticas, sua defesa mais forte é uma postura de segurança proativa e unificada. Ao promover uma cultura em que todos os funcionários se sintam capacitados para questionar e verificar solicitações, você constrói um poderoso firewall humano. Lembre-se de que processos robustos, conscientização contínua e um compromisso com a verificação são as chaves para proteger sua organização contra a ameaça de fraude de CEO.