Os investigadores da Kaspersky identificaram uma campanha de fraude que suplanta a identidade do diretor executivo para exigir pagamentos urgentes aos departamentos financeiros. A empresa de segurança analisou várias mensagens enviadas ao pessoal da contabilidade que copiavam, com um nível notável de detalhe, trocas de e-mails supostamente mantidas entre o responsável máximo da organização e um escritório de advogados externo ou um prestador de serviços de consultoria. Os criminosos solicitavam transferências rápidas alegando compromissos contratuais ou prazos iminentes e anexavam (ou diziam anexar) faturas de aparência legítima.
A técnica, conhecida como comprometimento do e-mail empresarial (BEC), baseia-se em endereços de remetente falsificados que dificilmente levantam suspeitas. Em todos os incidentes estudados, o endereço real de onde a mensagem era enviada não tinha nada a ver com o nome visível do remetente; essa discrepância ficava oculta à primeira vista e só era percebida ao inspecionar o cabeçalho completo. Com este método, os criminosos aproveitam a confiança gerada por receber ordens diretas do diretor executivo para contornar os protocolos de verificação internos.
As variantes detetadas incluem e-mails que incorporam a fatura fraudulenta na forma de anexo e outros que simplesmente solicitam o pagamento, remetendo a suposta documentação «mais tarde». Em ambos os casos, a urgência apresentada visa que o funcionário aja sem verificar a autenticidade do pedido.
Em Espanha, por exemplo, o Instituto Nacional de Cibersegurança registou mais de 21 500 incidentes de phishing em 2024 e a fraude por correio já ultrapassa os 38 000 casos anuais. Dentro destes números, os ataques BEC ou «whaling», focados em se fazer passar por executivos de alto nível, constituem uma categoria cada vez mais frequente e lucrativa para os atacantes, especialmente contra empresas com cadeias de aprovação de pagamentos muito hierarquizadas.
A primeira linha de defesa consiste em confirmar a legitimidade do remetente antes de abrir links ou autorizar pagamentos. Os especialistas recomendam verificar o endereço de e-mail real, confirmar a solicitação por outro canal (por exemplo, uma chamada telefónica direta) e observar atentamente qualquer URL para detetar substituições de carateres que indiquem páginas de falsificação. Além disso, fornecer formação prática aos funcionários, reforçar as políticas de dupla assinatura e implementar soluções de segurança capazes de filtrar e-mails maliciosos permite travar estas ameaças antes que invadam a caixa de entrada.
Anna Lazaricheva, analista de spam da Kaspersky, sublinha: “Este ataque destaca-se pela sua atenção meticulosa aos detalhes e por tirar partido das relações de confiança. Ao criar cadeias de e-mails convincentes e imitar executivos de alto nível, os atacantes apostam que os funcionários não questionarão solicitações que parecem autênticas. As empresas devem priorizar a formação dos funcionários e contar com sistemas sólidos de verificação de e-mails para enfrentar essas ameaças em evolução”.