finanças
Negócios & Empresas
Já ouviu falar em CEO Fraud? Veja como pode proteger a sua empresa
6 minutos de leitura
Atualizado a 4 Dezembro 2025
Há fraudes que se percebem de imediato, e depois há outras que parecem mensagens normais, mas escondem intenções muito perigosas. A CEO Fraud é um desses casos. Discreta, convincente e altamente personalizada, já levou várias empresas e instituições públicas a perder milhões de euros.
Em Portugal, um dos exemplos mais recentes envolveu o Ministério da Educação, que acabou por transferir 2,5 milhões de euros para um IBAN errado após receber instruções que pareciam totalmente legítimas. Graças à rápida atuação do IGeFE, o valor foi recuperado, mas nem sempre há um final feliz.
Neste artigo, explicamos porque é que este tipo de fraude é tão difícil de detetar e como pode proteger a sua empresa antes que algo aconteça.
O que é CEO Fraud?
A fraude CEO acontece quando um atacante se faz passar por alguém com autoridade dentro da empresa (muitas vezes o próprio CEO, CFO ou diretor financeiro) para convencer um colaborador a fazer algo que, noutra circunstância, levantaria suspeitas. Pode ser uma transferência urgente, a alteração de um IBAN, o envio de dados de colaboradores ou o acesso a plataformas internas.
É um tipo de fraude empresarial que vive da manipulação psicológica. Não depende apenas de tecnologia, mas da capacidade de criar pressão, urgência e confiança. Por isso, enquadra-se dentro dos chamados ataques de spear phishing, whaling e outras variantes de engenharia social (social engineering).
O criminoso estuda a empresa, aprende a forma como comunica, identifica vulnerabilidades humanas e escolhe o momento certo para agir. E faz tudo isto com um nível de personalização que torna difícil acreditar que a mensagem não seja legítima.
Como identificar uma CEO Fraud?
Mesmo quando parecem totalmente legítimos, os ataques de CEO Fraud deixam quase sempre pequenas pistas. E são esses detalhes que podem evitar uma transferência incorreta ou a divulgação acidental de informação sensível.
Indicadores de e-mails suspeitos
O primeiro sinal está, quase sempre, na caixa de entrada. Um e-mail que parece legítimo pode, com atenção, revelar incoerências: domínios que se confundem com os reais, pequenas alterações no nome do remetente ou construções de frases que não correspondem ao estilo habitual da pessoa.
Muitas vezes, o próprio conteúdo denuncia o ataque. O tom pode ser mais urgente, menos cuidadoso ou demasiado direto para a posição do remetente. Há pedidos que não fazem sentido, instruções fora do procedimento habitual ou anexos inesperados que pedem acesso imediato.
Pedidos urgentes e confidenciais
A urgência é a arma favorita dos atacantes BEC. Quanto menos tempo o colaborador tiver para pensar, maior a probabilidade de cumprir a instrução sem levantar suspeitas.
Mensagens como “preciso disto agora”, “não posso falar, trata já” ou “o assunto é sensível, não envolvas mais ninguém” são sinais claros de alerta. Uma organização saudável raramente funciona assim e é precisamente por isso que este tipo de abordagem deve fazer soar alarmes internos.
Alterações de IBAN e dados bancários
Muitos ataques BEC - Business E-mail Compromise (um tipo de fraude que compromete o e-mail empresarial para pedidos falsos de dinheiro ou informação) começam com um pretexto muito simples: a mudança de conta bancária de um fornecedor. Parece legítimo, mas basta um detalhe falso para transformar uma rotina administrativa numa perda de milhares de euros.
Sempre que existe um pedido deste género, especialmente sem aviso prévio, a verificação por outro canal é obrigatória. Um telefonema rápido, uma videoconferência ou até uma validação interna podem evitar fraude com impacto real.
Tipos de ataques BEC mais comuns
Segundo o FBI, os ataques BEC são hoje uma das formas de fraude empresarial mais lucrativas e sofisticadas. E, embora cada caso tenha as suas particularidades, há padrões que se repetem e que ajudam a perceber como estes esquemas ganham forma.
Invoice fraud (fraude de faturas)
É uma das formas mais frequentes. O atacante imita um fornecedor real e envia uma fatura falsa ou pede a alteração do IBAN antes de um pagamento. Foi precisamente esta técnica que esteve na origem do ataque ao Ministério da Educação.
Attorney impersonation (falsificação de advogados)
Neste tipo de ataque, o criminoso finge ser um representante legal ou advogado da empresa e cria pressão com argumentos jurídicos, pedidos urgentes ou ameaças de prazos processuais.
Account compromise (compromisso de contas)
Aqui, o problema começa com a violação de um e-mail real dentro da empresa. A partir daí, o atacante envia mensagens totalmente legítimas (porque vêm de uma conta verdadeira) para pedir pagamentos, alterar dados ou aceder a sistemas internos.
Data theft (roubo de dados)
Nem sempre o objetivo é dinheiro imediato. Muitos ataques BEC procuram listas de contactos, ficheiros de colaboradores, dados financeiros ou informações técnicas que podem ser usadas para futuras fraudes ou vendidas a terceiros.
O que fazer e quem contactar?
Quando há suspeita de fraude, mesmo antes de existir prejuízo real, o mais importante é agir sem hesitar. Nestes casos, cada minuto conta.
1. Confirmar e contactar o banco de imediato. O primeiro movimento é sempre financeiro: avisar o banco o mais depressa possível para tentar bloquear a transferência, congelar a conta de destino ou travar qualquer movimentação associada ao ataque. Muitas fraudes foram evitadas simplesmente porque alguém fez esta chamada a tempo
2. Reportar oficialmente à Polícia Judiciária (UNC3T - Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica). Depois de alertar o banco, o passo seguinte é comunicar o incidente à Polícia Judiciária, em particular à UNC3T. Quanto mais cedo o caso for reportado, maior a probabilidade de recuperar fundos ou rastrear os autores
3. Ativar o plano interno de resposta a incidentes. Dentro da empresa, é essencial agir com método: guardar todos os e-mails, registar detalhes, impedir que alguém apague mensagens ou evidências e informar as equipas relevantes. Uma comunicação interna clara evita que o ataque evolua, se repita ou afete outras áreas da organização.
Como prevenir casos de CEO Fraud?
Não existe uma solução única, e por isso proteger a empresa exige cultura, tecnologia e processos robustos. Quando estas três peças se juntam, o risco desce de forma significativa.
Filtros de e-mail e soluções de segurança
Um bom sistema de filtragem ajuda a bloquear tentativas óbvias de phishing e reduz o volume de mensagens suspeitas que chegam ao utilizador. Soluções de segurança do e-mail empresarial com proteção avançada, análise de comportamento e verificação de remetentes, tornam o ambiente muito mais seguro.
A autenticidade das comunicações também ganha com práticas como SPF, DKIM e DMARC, que ajudam a impedir o envio de e-mails falsificados em nome da empresa.
Sistemas de deteção de anomalias
Ferramentas capazes de reconhecer padrões e de os comparar com comportamentos habituais são cada vez mais importantes. Se alguém que nunca faz pagamentos tenta enviar uma transferência elevada, ou se surge uma instrução fora do fluxo habitual, um alerta automático pode impedir a ação antes que o atacante avance.
São tecnologias particularmente úteis em empresas onde o volume diário de e-mails e pedidos financeiros torna difícil verificar tudo manualmente.
Plataformas de comunicação seguras
Uma parte significativa da prevenção passa por garantir que conversas sensíveis não acontecem em canais vulneráveis. Plataformas de comunicação cifrada, com controlo de acessos e autenticação robusta, reduzem drasticamente a possibilidade de um atacante entrar no fluxo e manipular mensagens.
A autenticação multifator (MFA), por exemplo, continua a ser uma das defesas mais eficazes contra o compromisso de contas.
Como reforçar a proteção financeira da sua empresa
A prevenção tecnológica e a formação das equipas são fundamentais, mas muitas empresas vão um passo além e reforçam a sua defesa com soluções financeiras que funcionam como uma rede de segurança adicional. Quando um ataque BEC consegue ultrapassar todas as barreiras, estas ferramentas ajudam a mitigar o impacto e a acelerar a recuperação.
Algumas organizações optam por seguros específicos que cobrem incidentes de cibersegurança, fraudes empresariais ou perdas resultantes de transferências indevidas. Outras recorrem a mecanismos de gestão de risco que permitem detetar operações invulgares, bloquear transações suspeitas ou apoiar os processos de investigação e recuperação de fundos. Há ainda soluções que protegem os fluxos financeiros diários, garantindo que operações críticas mantêm um nível adicional de verificação.
Estas camadas extras de proteção não substituem os controlos internos, mas complementam-nos. Funcionam como um último nível de defesa caso algo escape ao olhar humano ou às ferramentas tecnológicas, ajudando a empresa a enfrentar o impacto financeiro de forma mais controlada e estruturada.
O Santander tem uma área do site totalmente dedicada à Cibersegurança. Pode consultá-la para conhecer tipos de burlas e fraudes online e recolher dicas para uma vida digital mais segura.
Os conteúdos apresentados não dispensam a consulta das entidades públicas ou privadas especialistas em cada matéria.
Este artigo foi útil para si?
Obrigado por partilhar a sua opinião!
A sua opinião ajuda-nos a melhorar continuamente os conteúdos dos nossos artigos.
Gostaria de deixar uma sugestão específica?
Pode fazê-lo no campo de comentário abaixo.
O seu comentário já foi enviado para nós!
Agradecemos a sua partilha e sugestão. Vamos continuar a melhorar o conteúdo dos nossos artigos.
Poderá ter interesse nestes artigos
-
Negócios & Empresas
A importância da gestão de riscos e como preparar a sua empresa para o imprevisto
-
Finanças
Smishing: o que é e como detetar SMS fraudulentos
-
Finanças
Fraudes com cartões de crédito: como detetar e evitar
Informação de tratamento de dados
O Banco Santander Totta, S.A. é o responsável pelo tratamento dos dados pessoais recolhidos.
O Banco pode ser contactado na Rua da Mesquita, 6, Centro Totta, 1070-238 Lisboa.
O Encarregado de Proteção de Dados do Banco poderá ser contactado na referida morada e através do seguinte endereço de correio eletrónico: privacidade@santander.pt.
Os dados pessoais recolhidos neste fluxo destinam-se a ser tratados para a finalidade envio de comunicações comerciais e/ou informativas pelo Santander.
O fundamento jurídico deste tratamento assenta no consentimento.
Os dados pessoais serão conservados durante 5 anos, ou por prazo mais alargado, se tal for exigido por lei ou regulamento ou se a conservação for necessária para acautelar o exercício de direitos, designadamente em sede de eventuais processos judiciais, sendo posteriormente eliminados.
Assiste, ao titular dos dados pessoais, os direitos previstos no Regulamento Geral de Proteção de Dados, nomeadamente o direito de solicitar ao Banco o acesso aos dados pessoais transmitidos e que lhe digam respeito, à sua retificação e, nos casos em que a lei o permita, o direito de se opor ao tratamento, à limitação do tratamento e ao seu apagamento, direitos estes que podem ser exercidos junto do responsável pelo tratamento para os contactos indicados em cima. O titular dos dados goza ainda do direito de retirar o consentimento prestado, sem que tal comprometa a licitude dos tratamentos efetuados até então.
Ao titular dos dados assiste ainda o direito de apresentar reclamações relacionadas com o incumprimento destas obrigações à Comissão Nacional da Proteção de Dados, por correio postal, para a morada Av. D. Carlos I, 134 - 1.º, 1200-651 Lisboa, ou, por correio eletrónico, para geral@cnpd.pt (mais informações em https://www.cnpd.pt/).
Para mais informação pode consultar a nossa política de privacidade (https://www.santander.pt/politica-privacidade).