A fraude CEO é uma das formas de engenharia social mais utilizadas para atacar empresas. Neste esquema, um criminoso faz se passar por um responsável de topo — como um CEO, Diretor ou gestor — para convencer Colaboradores a realizar pagamentos urgentes, partilhar informação sensível ou alterar dados de pagamento de fornecedores.

Este tipo de ataque explora a urgência e a autoridade, tornando essencial que as empresas alertem e formem as suas equipas para reconhecer estes pedidos falsos.

Os criminosos que utilizam fraude CEO seguem normalmente alguns dos seguintes passos:

1. Estudam a empresa e identificam decisores ou responsáveis financeiros
2. Criam contactos falsos, muitas vezes muito semelhantes aos verdadeiros (e-mail, whatsapp, etc.)
3. Enviam mensagens urgentes, a solicitar:

• Transferências “confidenciais”
• Pagamentos de faturas falsas
• Alteração de IBAN de fornecedores
• Partilha de documentos internos

1. Pressionam o Colaborador a agir rapidamente, quebrando os procedimentos habituais.
2. Criam contacto falso de terceiro para criar confiança e legitimidade na operação ou no pedido.

A prevenção depende de processos claros e de Colaboradores informados.

Reforce práticas como:

• Verificar sempre pedidos incomuns por outro canal (telefonema, teams, etc.).
• Implementar processos de dupla verificação para pagamentos.
• Sensibilizar os vários Colaboradores para a temática de fraude e fenómenos de engenharia social.
• Verificar sempre com atenção o domínio do remetente.
•  Desconfiar de pedidos que quebram os procedimentos habituais (transferências rápidas fora do procedimento habitual da empresa, alterações de IBAN sem validação, envio de documentos internos sensíveis).
• Identificar sinais de alerta no estilo de comunicação (tom de escrita diferente, linguagem demasiado formal ou informal, vocabulário que o CEO/gestor não usa, erros de português ou tradução automática).
• Evitar abrir anexos ou links estranhos (links que parecem reais, mas vão para páginas falsas, PDF, faturas ou documentos inesperados). 

1. Não executar o pedido.
2. Contactar diretamente a pessoa supostamente envolvida (por outro canal).
3. Reportar de imediato o incidente às equipas internas de segurança ou de fraude da sua empresa.
4. Guardar a mensagem fraudulenta para análise.

Se suspeitar ter sido vítima de fraude, para além de reportar de imediato a situação à equipa de segurança interna da sua empresa deverá contactar o Banco BPI pela Linha de Segurança: 21 720 77 61 (24 horas por dia, em Portugal e no estrangeiro).

BPI. Banco para as Empresas.

O BPI promove a segurança digital dos seus Clientes, disponibilizando conteúdos de sensibilização, canais oficiais de apoio e dinamizando iniciativas de capacitação dirigidas ao tecido empresarial, incluindo encontros e sessões dedicadas à cibersegurança.

Estes momentos permitem apoiar as empresas na adoção de boas práticas, no reforço da literacia digital das equipas e na proteção das suas operações.

Para saber se existem iniciativas previstas na sua região, os Clientes devem contactar o respetivo gerente de conta.

Para mais informações, contacte qualquer Balcão ou Centro de Empresas BPI ou consulte a página Segurança Online.