Um guia para identificar golpes de falsificação de identidade de altos executivos antes que o falso CEO receba uma transferência bancária verdadeira.
Você recebe um e-mail ou uma ligação. O nome na tela é do seu CEO ou CFO. O tom é sério. Há um negócio confidencial em andamento, uma aquisição, uma questão regulatória, algo importante. E eles precisam que você aja rápido, discretamente e sem contar a ninguém.
Parece urgente. Parece real. E esse é exatamente o objetivo.
Golpes de falsificação de identidade de executivos seniores são uma das formas mais comuns de fraude financeira contra empresas atualmente. Os golpistas dedicam tempo pesquisando sua empresa, aprendendo nomes, organogramas e estilos de comunicação antes mesmo de entrarem em contato. Quando finalmente o fazem, soam como alguém que você conhece e confia. Mas não são. Trata-se de um impostor.
A boa notícia é que, uma vez que você saiba o que procurar, esses golpes são surpreendentemente fáceis de identificar.
Os golpistas seguem um padrão previsível. Conhecê-lo coloca você em vantagem sobre eles.
Começam com a imitação.Os atacantes pesquisam detalhadamente sua equipe de liderança e se fazem passar por CEOs, CFOs ou diretores seniores. Eles entram em contato com você por meio de ligações telefônicas, aplicativos de mensagens ou contas de e-mail muito semelhantes às legítimas. Em alguns casos, eles chegam a usar identidades roubadas de executivos reais ou a citar consultores jurídicos externos para dar credibilidade à solicitação.
Em seguida, vem a história. Quase sempre, ela é apresentada como um projeto altamente confidencial.Fusões, aquisições, investimentos ou reestruturações urgentes são temas comuns. Você ouve frases como "isso está sob acordo de confidencialidade", "o departamento jurídico está envolvido" ou "só você pode saber". Esses não são sinais legítimos de um executivo de verdade. São estratégias para isolá-lo e impedi-lo de verificar a solicitação.
Eles também vão te expulsar dos canais oficiais.Em vez de usar o e-mail da empresa ou sistemas aprovados, eles transferem a conversa para contas de e-mail privadas, aplicativos de mensagens ou ligações telefônicas. Isso os ajuda a contornar os controles de segurança e não deixa nenhum rastro de auditoria.
Espere pressãoPalavras como "urgente", "preciso disso hoje" ou "isso precisa ser concluído antes do fim do dia" são usadas para forçar uma ação rápida. Executivos de verdade não pedem que você ignore processos sob pressão. Golpistas contam com a sua reação rápida para impedir que você use o bom senso.
Em ataques mais sofisticados, os golpistas chegam a organizar reuniões inteiras.Eles criam chamadas de vídeo falsas com participantes que aparentam ser executivos, advogados ou funcionários da área financeira reais. Alguns chegam a usar... deepfake A tecnologia ou as fotos de perfil retiradas do LinkedIn podem ser usadas para dar autenticidade à interação. Se algo parecer um pouco estranho, confie na sua intuição e verifique outros canais de comunicação.
Por fim, eles costumam fornecer documentação para comprovar a solicitação.Isso pode incluir contratos falsos, aprovações de diretoria, cartas de oferta ou autorização. Esses documentos parecem convincentes à primeira vista, mas frequentemente contêm erros sutis, formatação inconsistente, detalhes suspeitos do remetente ou simplesmente circunstâncias incomuns.
Quando algo parecer errado, faça uma pausa (P) antes de agir, avalie (A) a situação e relate (R) quaisquer problemas ao seu gerente, à liderança ou à equipe de TI. PAR é um acrônimo simples e útil para qualquer pessoa lembrar, a qualquer momento.
Ao avaliar a situação, ligue diretamente para a pessoa usando um número que você já tenha cadastrado. Não utilize nenhuma informação de contato da mensagem suspeita. Uma ligação rápida para um número verificado leva apenas dois minutos e pode economizar milhares de reais para sua empresa.
Relate suas preocupações a um colega ou à sua equipe de TI. Os golpistas contam com o fato de você se sentir sozinho no momento. Incluir outra pessoa na conversa muda imediatamente a dinâmica. Executivos de verdade não se opõem a uma segunda opinião sobre uma solicitação incomum. Boas culturas empresariais valorizam essas verificações, em vez de questioná-las ou envergonhar a pessoa que as fez.
Se uma solicitação pede que você ignore seu processo de aprovação normal, esse é o sinal mais claro de todos. Transferências bancárias, novos pagamentos a fornecedores e alterações de conta têm controles por um motivo. Os invasores frequentemente alegam que haverá consequências graves se você diminuir o ritmo ou relatar o problema. Eles querem que você acredite que a urgência é real e que as consequências são pessoais. Nenhuma emergência genuína justifica ignorar seu processo de aprovação, e nenhum executivo sério pedirá que você oculte uma transação financeira da sua própria equipe.
A melhor hora para conversar sobre isso com sua equipe é antes que aconteça. Evite criar um documento complexo de 30 páginas que ninguém lê. Vocês precisam de um entendimento simples e compartilhado de que solicitações financeiras incomuns sempre exigem uma verificação por telefone, independentemente de quem esteja solicitando.
Treine sua equipe para reconhecer os sinais de alerta: endereços de e-mail pessoais ou contas externas usadas para solicitações urgentes, exigências de sigilo e pressão para agir imediatamente.
Os golpistas contam com rapidez e discrição. Você os vence com uma ligação de dois minutos e uma cultura em que a verificação é sempre bem-vinda, incentivada e até mesmo obrigatória.
Compartilhe este artigo com as pessoas da sua equipe que lidam com pagamentos, transferências ou solicitações de fornecedores. Tenha uma conversa de cinco minutos sobre o que fazer caso alguém receba uma mensagem como as descritas acima. Definam juntos uma regra simples: qualquer solicitação financeira urgente de um executivo deve ser verificada por voz antes de qualquer ação ser tomada. Documente isso em uma política ou documento de processo financeiro simples, mas mantenha a simplicidade.
Este hábito simples é uma medida eficaz que sua organização pode adotar hoje mesmo, e o melhor de tudo é que não exige orçamento adicional!
Descubra e compartilhe as últimas tendências, dicas e melhores práticas de segurança cibernética, além de novas ameaças às quais você deve ficar atento.
Os tokens OAuth não expiram quando os funcionários saem da empresa, as senhas mudam ou os aplicativos se tornam maliciosos. Seu programa de segurança precisa...
Ler mais
A maioria das violações de segurança não começa com um hacker de capuz decifrando códigos às 3 da manhã. Elas começam com seu nome de usuário e um...
Ler mais
Atualizações do artigo: A partir de 6 de maio de 2026, todos os principais laboratórios de IA dos EUA, incluindo Google DeepMind, Microsoft, xAI,...
Ler maisTenha uma visão mais aguçada dos riscos humanos com uma abordagem positiva que supera os testes de phishing tradicionais.
