- Setembro 20, 2025
Resumo executivo
- A actividade com componente digital em Cabo Verde, em Agosto de 2025, concentrou-se sobretudo em fraude financeira e branqueamento de capitais (incluindo BEC — Business Email Compromise — e esquemas de IVA), com menor visibilidade pública de casos de ransomware de grande escala.
- Observou-se uso intensivo de engenharia social e spear-phishing, abuso de contas corporativas e movimentação transfronteiriça de fundos por redes organizadas.
- Em paralelo, operações regionais de cooperação policial reforçaram a pressão sobre redes transnacionais que usam infra-estruturas distribuídas por vários países africanos e europeus.
1) Acesso inicial
- Spear-phishing / BEC com mensagens em português, anexos PDF/LNK e páginas de “single sign-on” falsas para captura de credenciais.
- Comprometimento de contas através de credenciais reutilizadas (credential stuffing) e MFA mal configurado.
- Abuso de portais cloud e correio electrónico (regras de encaminhamento e apps OAuth mal auditadas).
2) Execução
- Automação de transferências e scripts para operações financeiras (ex.: criação de facturas falsas, reconciliação automática, tentativa de burlas a fornecedores).
- Ferramentas legítimas (planilhas, RPA, clientes bancários, apps de e-mail) exploradas para parecer actividade normal.
- Eventual uso de infostealers para recolher cookies/tokens e manter sessões autenticadas.
3) Persistência
- Regras de e-mail (auto-forward, ocultação de respostas), apps OAuth com permissões excessivas e tokens de sessão prolongados.
- Contas sombra criadas em ERPs ou portais financeiros para repetir ciclos de fraude.
4) Movimento lateral
- Escalada de privilégios via restabelecimento de palavras-passe, abuso de contas administrativas de M365/Google Workspace.
- Acesso a partilhas financeiras (pastas de contabilidade, tesouraria) e reutilização de credenciais entre serviços.
5) Exfiltração e ocultação
- Exfiltração de documentos financeiros (IBANs, NIFs, facturas) via e-mail/cloud storage.
- Camuflagem em fluxos legítimos: envios fracionados, ficheiros zipados, nomenclatura “normal” para evitar alertas.
6) Impacto
- Fraude e perdas financeiras, desvios temporários de pagamentos e riscos reputacionais; interrupções operacionais pontuais em equipas de finanças/fornecedores.
TTPs por fase (estilo MITRE)
Tendências operacionais
- Predominância de crime económico digital face a campanhas destrutivas.
- Uso de múltiplas jurisdições para confundir rastreio de fundos e retardar bloqueios.
- Profissionalização: documentos e mensagens em português bem redigidos, horários de envio alinhados com o expediente local, e exploração de workflows reais.
Recomendações (prioridade para entidades em Cabo Verde)
Governança e pessoas
- Formação anti-phishing/BEC dirigida a finanças, compras e direção.
- Dupla validação de pagamentos (regra dos quatro olhos) e call-back independente para alterações de IBAN/condições.
Identidades e acesso
3. MFA forte (aplicativo/segundo fator físico) em e-mail, ERPs e portais bancários.
4. Política de palavras-passe com bloqueio de reutilização e deteção de credenciais expostas.
5. Revisão de apps OAuth e remoção de permissões desnecessárias.
E-mail e cloud
6. Bloqueio/alertas para auto-forward externo, regras suspeitas e logins de países incomuns.
7. DMARC, DKIM, SPF corretamente configurados; monitorização de domínios de lookalike.
Deteção e resposta
8. EDR/SIEM com deteção de: criação de regras de e-mail, anomalias OAuth, download massivo de ficheiros, múltiplos resets de password.
9. Runbooks para BEC/fraude: congelar transacções, contacto imediato com bancos, preservação forense, comunicação a parceiros.
Financeiro e fornecedores
10. Verificação periódica de IBANs e listas de fornecedores; reconciliações diárias com alertas de desvios.
11. Due diligence reforçada para novos clientes/fornecedores com operações transfronteiriças.
Indicadores práticos para hunting
- E-mail: criação de regras “forward to external”, logins sucessivos de países distintos em minutos, consentimento OAuth recente para apps pouco usadas.
- Cloud/ERP: downloads anómalos, criação de contas fora da janela normal, alteração de IBAN/condições de pagamento sem ticket associado.
- Financeiro: novas instruções de pagamento recebidas fora do fluxo habitual, mudanças de contacto de fornecedor solicitadas com urgência.
