Ministério Público lança alerta sobre “campanha criminosa complexa” para acesso a contas bancárias

O Ministério Público (MP) lançou esta semana um alerta sobre a existência de várias campanhas “levadas a cabo por diferentes grupos criminosos, através das quais, por meio de técnicas combinadas de phishing e de engenharia social, os agentes criminosos procuram obter, de forma ilícita, dados de acesso a contas bancárias, para depois acederem às mesmas e, a partir delas, transferirem valores para outras contas por si controladas”.

O Gabinete de Cibercrime da Procuradoria alerta para o facto de não se tratarem de meras campanhas de phishing “com o propósito de obtenção de dados bancários”, mas antes de uma iniciativa criminosa muito mais complexa, que provoca de imediato prejuízos patrimoniais muito elevados às vítimas. “Estas campanhas têm visado clientes de diversos bancos.”

A atividade criminosa começa pelo envio de milhões de mensagens eletrónicas fraudulentas. No caso destas campanhas criminosas, foram identificados casos de mensagens telefónicas (SMS), mas também de mensagens de correio eletrónico (email). Nessas mensagens é referido que as mesmas são provenientes de instituições bancárias, alertando o destinatário para uma recente transferência ou outro pagamento bancário que terá sido efetuado a partir da sua conta.

A mensagem fraudulenta apresenta uma solução que passa pelo acesso a um link ao qual o destinatário deve aceder. A mensagem incentiva ainda o acesso “imediato”, criando um sentido de urgência e levando a vítima a agir sem reflexão.

“O teor destas mensagens é enganoso e fraudulento. As mensagens não foram remetidas pelas instituições bancárias, nem a partir de servidores dessas entidades ou por elas geridos. Com elas, os agentes criminosos pretendem incutir nos destinatários a convicção de que as mensagens são legítimas e autênticas, tendo sido emitidas pelas instituições bancárias pelas quais pretendem fazer-se passar”, refere o Ministério Público (MP) em comunicado.

Se a vítima clicar no link associado à mensagem recebida, acede a uma página fraudulenta que imita a página oficial da sua instituição bancária, mas que não corresponde à verdadeira página daquela entidade. Nessa página, é solicitado à vítima que introduza diversos dados pessoais, nomeadamente os dados de identificação e de acesso à sua conta bancária.

Depois destes pedidos, os criminosos evoluem na sua estratégia ao solicitar o número de telefone da vítima.

• Europol publica guia para cooperação contra crimes financeiros

“O número de telefone é um elemento crucial neste processo, já que vai permitir aos agentes criminosos desenvolver uma segunda fase do mesmo. Com efeito, munidos dos dados de acesso, os agentes criminosos conseguem efetivamente aceder à conta bancária da vítima, consultar os respetivos movimentos e ficar a saber qual é o montante disponível. Porém, em geral, apenas com esses dados não é possível aos agentes criminosos procederem a movimentos ou transferências para outras contas, porque a generalidade dos bancos portugueses já adotou um procedimento designado por segundo fator de autenticação”, explica o MP.

Para ultrapassar este mecanismo de segurança, “os agentes criminosos procedem a chamadas telefónicas para as vítimas. Identificam-se como sendo funcionários da área da cibersegurança da instituição bancária. Durante a conversa, e para dar credibilidade à abordagem, demonstram conhecer detalhes sobre a vítima e a sua conta (obtidos através do acesso que efetuaram à conta). Depois, informam a vítima de que foi identificado um movimento suspeito, de elevado valor, a partir da conta bancária em causa”.

Perguntam-lhe se foi a própria vítima quem autorizou a operação. Como se trata de um movimento “inventado” pelo agente criminoso, a vítima nega, naturalmente, ter sido responsável pelo mesmo — uma abordagem que provoca receio de perder o valor em causa.

O agente criminoso oferece-se então para reverter esse movimento, desde que a vítima o confirme. Essa confirmação terá de ser feita através do segundo fator de autenticação. Ou seja, para supostamente “anular” o movimento suspeito, a vítima terá de acionar o seu segundo fator de autenticação (que, consoante a instituição bancária, pode ser, por exemplo, um código recebido por SMS ou uma confirmação numa aplicação móvel).

O MP alerta que “todo este procedimento dos agentes criminosos é uma encenação fraudulenta: os mesmos não desempenham qualquer função nas instituições bancárias e o alegado movimento ‘suspeito’ não existe. Na realidade, o seu único objetivo é convencer a vítima a facultar-lhes o segundo fator de autenticação, para assim conseguirem transferir valores da conta bancária da vítima para outra conta por eles controlada”.

Para esse efeito, enquanto falam com a vítima, os criminosos dão início a uma ordem de transferência. Como o sistema bancário exige o segundo fator de autenticação, este é automaticamente acionado pelo sistema — por exemplo, através do envio de um código por SMS para a vítima (titular da conta).

Nesse momento, os agentes criminosos informam a vítima de que irão proceder à “anulação” do alegado movimento suspeito, mas que, para confirmar a operação, a vítima irá receber um código que deverá fornecer-lhes.

Se a vítima proceder dessa forma e facultar o código aos agentes criminosos, permite-lhes autenticar a transferência no sistema bancário e, consequentemente, apropriarem-se da quantia em causa.

A Procuradoria refere que “mensagens como as acima descritas devem ser ignoradas e apagadas, sem qualquer resposta. Chamadas telefónicas desta natureza devem igualmente ser ignoradas. Caso a vítima acabe por facultar aos agentes criminosos dados pessoais ou informações da sua conta bancária, deverá, como primeira diligência, contactar o banco através dos canais institucionais habituais”.