Fraude de Falso CEO dispara em Portugal: CNCS lança alerta urgente às empresas
Um dos golpes digitais mais insidiosos está a ganhar força em Portugal: o esquema de Falso CEO. Apesar das campanhas de alerta da Polícia Judiciária, o número de incidentes não para de crescer, causando prejuízos que variam de milhares a millions de euros. O Centro Nacional de Cibersegurança (CNCS) emitiu um alerta urgente, destacando que, em 2025, estas fraudes representaram 18% de todos os casos de engenharia social reportados ao CERT.PT.
O método é sofisticado e explora a trust interna das empresas. Os atacantes falsificam identidades de altos executivos ou fornecedores, enviando e-mails ou mensagens com pedidos urgentes — muitas vezes financeiros. A pressão do urgency leva colaboradores a realizar transferências para contas controladas pelos criminosos. Em alguns casos, são usados documentos falsificados ou técnicas de spoofing , que criam ilusão de legitimidade.
Outra tática comum é o typosquatting , onde pequenos erros ortográficos passam despercebidos. Os criminosos também exploram dados públicos sobre organizações: funções, hierarquias, contactos e domínios. Com credenciais roubadas ou acesso a e-mails reais, conseguem simular authority com grande eficácia. O CNCS alerta ainda para o uso crescente de deepfakes, capazes de imitar voz e imagem de gestores superiores.
Para combater esta ameaça, o CNCS recomenda boas práticas claras. Limitar a visibility de organogramas e contactos internos é essencial. Sensibilizar colaboradores sobre o que partilham online também faz parte da prevention . A autenticação de dois fatores em todas as contas continua a ser uma critical contra acessos não autorizados.
Outras medidas incluem filtrar e-mails de domínios recentes ou com variações tipográficas e garantir que alterações de dados de fornecedores só possam ser feitas por esses mesmos fornecedores. O guia completo está disponível no site do CNCS, oferecendo às empresas uma solution estruturada para um problema em rapid growth .
Já vimos isso na nossa empresa. Um e-mail do 'diretor financeiro' a pedir transferência urgente. Por sorte, o colaborador desconfiou do tom. Urgência é sempre um sinal vermelho.
E o pior é que os deepfakes estão cada vez mais realistas. Já não basta ouvir a voz, pode ser totalmente falsa. A trust confiança nas comunicações internas está em risco.
O CNCS devia obrigar todas as empresas a seguir esse guideline guia de boas práticas. Não pode ser só recomendação. A risk exposição ao risco é enorme.
Temos de parar de partilhar tudo no LinkedIn. Cargo, função, projetos… estamos a dar free information informação grátis aos criminosos. Visibilidade profissional tem limite.
Autenticação de dois fatores? Sim, mas muitos ainda usam SMS. Isso já não é safe seguro. Precisamos de apps de autenticação ou chaves físicas.
E se o atacante já tem acesso ao e-mail do CEO? Aí o spoofing nem é preciso. O que vale é a policy política interna de verificação em duas etapas para pagamentos.