É um dos esquemas digitais que mais tem crescido nos últimos anos. Não depende de vírus nem de vulnerabilidades técnicas complexas — apoia-se, sobretudo, num fator profundamente humano: a confiança.
Este ataque de engenharia social ocorre quando um cibercriminoso se faz passar por um dirigente de topo para pressionar colaboradores a realizar pagamentos urgentes, partilhar informação sensível ou alterar dados financeiros. O objetivo é sempre o mesmo: levar a vítima a agir rapidamente e sem questionar.
Os contactos podem surgir por e-mail, telefone ou até videochamada. Com o avanço das tecnologias de inteligência artificial, torna-se ainda mais difícil distinguir o real do falso: já existem fraudes em que voz e imagem são recriadas artificialmente com grande proximidade às originais.
Como acontece?
Apesar das variações, o processo costuma seguir um padrão. Um colaborador recebe um contacto inesperado — muitas vezes fora do horário habitual ou durante um período de maior pressão. Do outro lado, alguém que diz ser o CEO ou diretor solicita uma transferência “urgente”, um pagamento “que não pode falhar” ou informação “absolutamente confidencial”.
A urgência é o principal gatilho: leva muitas vítimas a agir sem confirmar o pedido, acreditando estar a responder corretamente às necessidades da organização.
Como identificar?
Mesmo com o realismo crescente, há sinais de alerta que não devem ser ignorados:
- Pedidos que contrariam procedimentos internos;
- Transferências ou montantes invulgares;
- Insistência, pressão emocional ou sensação de urgência;
- Pequenas alterações no endereço de e-mail ou contactos provenientes de números desconhecidos;
- Qualquer instrução que incentive a agir depressa e em segredo.
Como prevenir?
A melhor defesa continua a ser a cultura interna: falar, verificar, confirmar. A prevenção começa na rotina:
- Quando houver dúvida, parar. A urgência é quase sempre artificial.
- Falar com colegas. Dois minutos de conversa interna valem mais do que qualquer “pedido urgente”.
- Confirmar por um canal diferente. Se o “CEO” enviou um e-mail, confirmar por telefone ou presencialmente.
- Não atuar sozinho. Sempre que possível, seguir procedimentos de dupla verificação para pagamentos ou alterações críticas.
- A tecnologia ajuda, mas é a comunicação dentro da organização que impede que o ataque funcione.
O que fazer em caso de suspeita?
Se um pedido parecer estranho, mesmo que venha “do topo”, a regra é simples: não agir, mas sim reportar.
Quanto mais cedo se detetar a tentativa, menor o risco de perdas financeiras ou de exposição de dados.
