A transferência 'urgente' que não era verdade

Esta semana, alguém que conhecemos bem ligou sobre um golpe em andamento na empresa dele. Não houve servidor invadido nem senha roubada. Um funcionário estava trocando mensagens no Microsoft Teams com um "executivo da empresa" que primeiro perguntou sobre o saldo de algumas contas bancárias e depois pediu que ele fizesse uma transferência urgente para uma nova conta de terceiros. Cada mensagem reforçava o mesmo ponto: isto é urgente, faça agora.

O executivo era um estranho.

Este é um dos golpes mais caros do mundo dos negócios, e tem nome: fraude do tipo "comprometimento de e-mail corporativo" (BEC, na sigla em inglês), às vezes chamada de "fraude do CEO". Este golpe não invade nada, ele pede para entrar. E funciona com frequência suficiente para que, só nos EUA, o FBI contabilizasse cerca de US$ 2,8 bilhões em perdas reportadas apenas em 2024, e quase US$ 8,5 bilhões em três anos — e esses são apenas os casos que alguém reportou.

Como funciona

O golpista usa o nome de alguém que o funcionário não vai querer questionar: o CEO, o dono, o CFO — ou às vezes um fornecedor conhecido ou o advogado da empresa. A mensagem chega carregando autoridade e urgência, muitas vezes com um toque de sigilo: "Estou entrando em uma reunião, não posso falar, por favor resolva isso com discrição." Acontece que o Teams costuma permitir que contatos externos enviem mensagens à sua equipe, a menos que um administrador restrinja isso, e os atacantes usam o nome de exibição de algum executivo encontrado em registros públicos. No caso que ajudamos a resolver, o golpista colocou um "." antes do nome do CEO e ocultou os detalhes de contato, para que o Teams não exibisse o domínio dele.

O pedido costuma seguir um padrão. Primeiro um pouco de reconhecimento — qual é o nosso saldo, qual conta usamos para isso? — e então o pedido em si: transferir um pagamento para uma nova conta, ou mudar os dados bancários de um fornecedor que você já paga. A pressão é incessante e com prazo curto, porque a urgência é a técnica. Ela é feita para empurrar uma pessoa prestativa para além do momento em que normalmente verificaria as informações.

Tradicionalmente isso chegava por e-mail. Cada vez mais vem por chat — a Microsoft documentou recentemente ataques de impersonação migrando para o Teams, que foi exatamente onde o incidente desta semana aconteceu. O canal muda; a tentativa de manipulação, não.

Por que as suas outras defesas não impediram isso

Já escrevemos sobre autenticação multifator (MFA), gerenciadores de senha e como proteger as configurações do seu e-mail e do seu site. Cada uma vale a pena — e nenhuma delas impede isto.

Repare no que esse golpe nunca precisa: nenhuma senha, nenhum malware, nada para instalar, nenhum aviso de segurança para ignorar. Não há nada para um controle técnico detectar, porque nada está tecnicamente quebrado. Até a autenticação de e-mail — a configuração de SPF, DKIM e DMARC sobre a qual escrevemos recentemente — só impede que alguém forje o seu domínio exato. Ela não faz nada contra uma mensagem de um endereço parecido, de uma conta de e-mail gratuita ou de um chat do Teams vindo de fora da sua empresa. Esse golpe vive exatamente nessa brecha.

A camada sob ataque é uma pessoa que quer ser prestativa com o chefe. Isso não se corrige com um patch. Mas dá para defender com um processo.

O que realmente funciona

A solução aqui não é uma ferramenta de segurança. É um hábito de pagamento que a urgência não consegue atropelar.

Verifique toda mudança de pagamento por um canal separado. Qualquer novo beneficiário, qualquer alteração de dados bancários, qualquer transferência urgente inesperada é confirmada por uma ligação — para a pessoa, em um número que você já tem, nunca o contato que está na mensagem. Faça disso uma regra fixa, não uma decisão de momento, para que nenhum funcionário precise criar coragem para duvidar do "CEO" na hora do ataque.

Exija duas pessoas para pagamentos de valores altos. A dupla aprovação significa que uma pessoa pressionada não consegue mover dinheiro sozinha. A urgência deixa de ser uma arma quando a resposta é sempre: "duas pessoas precisam aprovar, esse é o processo".

Diga os sinais de alerta claramente para a equipe. Urgência, sigilo e uma mudança em para onde o dinheiro vai são a assinatura desse golpe. A liderança deve dizer com todas as letras: Eu nunca vou pedir uma transferência urgente e sigilosa por chat ou e-mail. Se uma mensagem minha pedir isso, não sou eu.

Mantenha o rótulo "Externo" ativado no Teams e ensine as pessoas a checar a identidade real por trás de um nome de exibição, que qualquer pessoa pode definir com o nome do seu CEO.

Se acontecer, aja rápido. Ligue imediatamente para o seu banco para tentar bloquear a transferência. No caso de Pix, acione o MED (Mecanismo Especial de Devolução), o mecanismo do Banco Central para tentar reaver valores em golpes, e registre um boletim de ocorrência. A velocidade é decisiva: o dinheiro só pode ser bloqueado enquanto ainda está na conta de destino, por isso a equipe precisa saber que é seguro dar o alarme no instante em que algo parecer errado, mesmo que o dinheiro já tenha sido enviado.

Treine e ensaie. Não dá para escrever uma política que seja lembrada em situações urgentes. As pessoas mantêm a calma diante dessa pressão só se já enfrentaram uma versão segura dela antes. É para isso que serve a simulação de phishing. O objetivo não é pegar ninguém no erro; é tornar a comunicação falsa familiar para que o ataque real seja rapidamente percebido.

As camadas completas

Ao longo destes artigos, levantamos as barreiras técnicas: autenticação, senhas, configurações que impedem que o seu nome e o seu site sejam abusados. Esse golpe é o lembrete de que todo muro tem um portão, e o portão é guardado por pessoas. Defenda as pessoas — um hábito de verificação, a regra das duas aprovações, sinais de alerta claros, treinos e ensaios — e a sua equipe se torna a camada que deixa a mensagem "urgente" esperar os cinco minutos que ela leva para ser desmascarada.

---

A sua equipe pausaria diante do pedido "urgente" do chefe? A Confidanti oferece um teste de phishing gratuito para empresas em crescimento — um ensaio seguro exatamente desse tipo de pressão, sem plataforma para instalar e sem compromisso.