A Polícia de Segurança Pública (PSP), na prossecução das suas atribuições de prevenção criminal, está atenta aos fenómenos criminais e tem-se preocupado com os crimes de burla que vão surgindo, como é o caso da Burla CEO FRAUD. Esta burla, ainda que, estatisticamente, não se tenha traduzido em muitas ocorrências registadas até ao momento, tem um grande impacto nas empresas e nos cidadãos.

A burla CEO FRAUD consiste no envio de e-mails ou mensagens nas quais o burlão se faz passar por um responsável de uma empresa ou organização, solicitando a um funcionário dessa mesma empresa ou organização que proceda a um pagamento, ao envio de algum tipo de informação sensível, ou a uma alteração de dados bancários.

Este tipo de burla inicia-se com um estudo prévio dos alvos, sendo muito relevante nesta fase a engenharia social, que visa, através de manipulação psicológica, levar as pessoas a divulgar informações confidenciais ou fornecer acessos a sistemas. De entre as formas mais comuns destacam-se:

· Phishing – campanhas massivas de e-mails para um grande número de utilizadores de empresas e organizações fazendo-se passar por fontes confiáveis;

· Spear Phishing – campanha de phishing mais seletiva, que exige um estudo sobre o utilizador ou grupo de utilizadores pretendidos e, inclusivamente, a recolha de dados pessoais dos visados por forma a dar mais credibilidade à abordagem;

· Whale Phishing – campanha onde os suspeitos têm como alvo os principais executivos e administradores, normalmente para desviar dinheiro de contas ou furtar dados confidenciais.


Após o estudo e a obtenção de informação pessoal e, eventualmente, de credenciais, os suspeitos procedem à tentativa de burla, que pode revestir-se de várias formas, sendo de realçar as seguintes pela sua frequência:

· A personificação de um Diretor da empresa/organização vítima – esta é a modalidade de ataque que dá nome à burla, e consiste em os suspeitos fazerem-se passar por um superior hierárquico, normalmente o diretor da empresa, solicitando a um funcionário que proceda a um pagamento ou a uma transferência urgente;

· A personificação de um cliente ou fornecedor da empresa/organização vítima – nesta modalidade de ataque os suspeitos fazem-se passar por responsáveis de uma empresa que mantém negócios com a empresa vítima, solicitando a esta que os pagamentos em falta sejam feitos para uma nova conta bancária;

· A personificação de um funcionário da empresa/organização vítima – os suspeitos fazem-se passar por funcionários da própria empresa e solicitam aos serviços administrativos que seja alterada a conta bancária destinatária do seu vencimento.

O sucesso desta burla depende, em grande medida, não só do estudo prévio dos suspeitos e da sua capacidade em personificarem de forma convincente os diferentes atores empresariais, mas também pelas características da própria mensagem que exploram as seguintes ideias-chave: Sensação de urgência ou ameaça para que seja feito rapidamente o que é pedido; Necessidade de contacto direto por indisponibilidade do responsável pela área; Necessidade de sigilo por se tratar de matéria sensível.

O combate a estes fenómenos passa, sobretudo, pelo reforço das medidas de segurança a adotar pelas pessoas e pelas instituições, reduzindo desta forma o risco de serem alvo deste tipo de ataques. Para o efeito, a PSP aconselha a:

· Definir procedimentos internos para a alteração de IBAN que exijam uma dupla confirmação por parte do interessado;

· Definir procedimentos internos para os pagamentos exigindo uma dupla confirmação da legitimidade do pagamento;

· Nunca partilhar códigos ou credenciais de acesso por mensagem ou telefone, mesmo que do outro lado pareça estar uma entidade séria;

· Verificar o endereço do remetente de emails recebidos ou o número de telemóvel de mensagens de texto, se for solicitada informação sensível ou forem feitos pedidos críticos, como transferências bancárias;

· Promover uma política de segurança, realizando ações de sensibilização internas junto dos funcionários, alertando para os riscos deste e de outros tipos de fraude.