Operação Bitphish

Esta quarta-feira, 28 de abril, a Polícia Judiciária (PJ), através da sua Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), em articulação com o DCIAP, levou a efeito 6 detenções no âmbito do combate ao cibercrime.

Policia Judiciaria - Bitphish

Esta operação, denominada «BITPHISH», provida de mais de 30 Mandados de Busca, realizou-se na zona da grande Lisboa e culminou na constituição de 16 arguidos. Em causa, está um grupo criminoso organizado, fortemente indiciado da prática dos crimes de falsidade informática, burla informática, acesso ilegítimo, branqueamento de capitais e associação criminosa.

Por meio de SMS – via telemóvel ou smartphone – e ligações telefónicas em nome de uma Instituição Bancária, as vítimas eram encaminhadas até à boca do chamado Phishing; crime em plena expansão. Neste caso, basicamente, trata-se de uma prática criminosa que recorre a websites de fachada, cujo arcabouço não tem outra finalidade senão a de capturar os dados de acesso (login), como o nome de utilizador (username) e a palavra-chave do cartão bancário (password), ou ainda os dígitos relativos ao chamado ‘cartão matriz’, nº da Conta Bancária e dos cartões de crédito, entre outros elementos confidenciais digitados por um cliente ludibriado. Os e-mails de phishing aparentam ser válidos e de remetentes confiáveis.

No caso em apreço, os burlões (hackers) enviaram, num período não inferior a ano e meio, cerca de 500 mil SMS. À data desta publicação, foram já identificadas cerca de 150 vítimas concretizadas de acesso ao serviço Homebanking com transferência de fundos.

Ter acesso ao banco através da Internet (homebanking) é uma das formas mais cómodas de aceder a informações sobre produtos e serviços do banco, realizar operações bancárias e fazer pagamentos, entre outros. Conforme salientado no website pessoal e sobejamente iterado nas redes sociais, designadamente através das redes Twitter, Facebook e LinkedIn, a pandemia e o teletrabalho vieram incentivar esta comodidade, e por consequência estimular (e aguçar) a prática dos crimes relacionados, com destaque para o Smishing¹ e Vishing². O phishing (com o pharming) aparece como o principal pulso das transferências bancárias ilícitas.

Os piratas informáticos detidos vão esta quinta-feira ser sujeitos a interrogatório do juiz (Ivo Rosa) do Tribunal Central de Instrução Criminal e ser-lhes-ão aplicadas as medidas de coação tidas por adequadas.

Nesta megaoperação participam mais de 100 inspetores da Polícia Judiciária.

(1) Smishing – baseia-se no envio de uma mensagem de texto via telemóvel (SMS ou MMS), confirmando o vínculo a uma empresa conhecida e credível que irá cobrar multas ou uma quantia pelo uso de um determinado serviço, caso o utilizador não anule o vínculo através do website da empresa. A mensagem contém um link e ao clicar no mesmo é reencaminhado para uma página onde é solicitado o preenchimento de dados pessoais, como cartão de crédito ou outros. Conforme já explanado acima, a tentativa de phishing ocorre no próprio website, sendo este o meio de obter os dados do utilizador.

(2) Vishing – trata-se de um e-mail que aparenta ser de uma instituição totalmente legítima, convidando o utilizador a contactar a entidade por telefone. No momento da chamada, o utilizador não é atendido por uma pessoa, mas sim por um atendedor automático, que solicita vários dados pessoais alegando uma suposta verificação de segurança.