CNCS alerta para o risco crescente de ataques de CEO Fraud e BEC

Detalhes: Atualizado em 28 abril 2026

#PRR #NextGenerationEU #construirOFuturo #resiliencia #transicaodigital #transicaoclimatica #somosprr

O CEO Fraud e o Business Email Compromise Fraud (BEC) são ataques de engenharia social que recorrem à utilização de emails ou mensagens de texto, incluindo SMS e aplicações de mensagens, com o objetivo de enganar colaboradores de organizações.

Nestes ataques, um agente malicioso faz‑se passar por uma entidade ligada à organização‑alvo (por exemplo, o/a Diretor(a) Executivo(a) ou um fornecedor) e dirige pedidos, tipicamente de natureza financeira, a colaboradores dessa organização. Estes pedidos invocam, por vezes, um caráter urgente ou reservado, podendo conduzir à realização de transferências bancárias para contas controladas pelo atacante.

Atualmente, representa 18% dos incidentes de engenharia social reportados ao CERT.PT, assumindo‑se como um vetor de risco cada vez mais relevante para organizações e cidadãos. Neste contexto, o Centro Nacional de Cibersegurança (CNCS) chama a atenção para as metodologias utilizadas pelos atacantes e para as boas práticas de prevenção, nomeadamente:

Limitar, sempre que possível, a visibilidade pública de organigramas e contactos internos da organização, bem como sensibilizar os colaboradores para os riscos associados à divulgação de informação profissional online, dificultando a recolha de dados necessários para este tipo de ataque;
Aplicar a autenticação multifator em todas as contas da organização, reduzindo o risco de comprometimento;
Implementar mecanismos que garantam a autenticação das comunicações por email, nomeadamente SPF, DKIM e DMARC;
Restringir a receção de emails provenientes de domínios registados recentemente ou com pequenas variações tipográficas em relação ao domínio da organização;
Implementar um sistema de gestão de fornecedores que assegure uma lista atualizada, com pontos de contacto verificados e pelo menos duas vias alternativas de contacto para cada fornecedor;
Adotar medidas que garantam que qualquer alteração aos dados de um fornecedor só possa ser efetuada pelo próprio.

Com vista a um maior aprofundamento da temática, o CCC-Madeira recomenda a consulta do guia publicado pelo CNCS, o qual permite compreender de forma estruturada o funcionamento deste tipo de ataque e identificar boas práticas essenciais para a sua prevenção e mitigação.

Mais informações: https://www.cncs.gov.pt/pt/contexto-atual-ceo-fraud/

Guia: https://www.cncs.gov.pt/docs/ceofraudbec.pdf

Centro de Competências em Cibersegurança | Madeira

Rua da Carreira nº 100, 1º Sala I
9000-042 Funchal
Telf: +351 291 224 469

Desenvolvido por:
DRI - Direção Regional de Informática

Política de Privacidade | Política de Cookies | Termos e Condições

Financiamento: Plano de Recuperação e Resiliência (PRR)

CNCS alerta para o risco crescente de ataques de CEO Fraud e BEC

Notícias

Centro de Competências em Cibersegurança | Madeira