MP alerta para rede criminosa que utiliza forma "muito complexa" para roubar dinheiro das contas bancárias

O Ministério Público alertou esta segunda-feira, 15 de junho, para uma campanha de "phishing" e "engenharia social" que visa enganar clientes de instituições bancárias portuguesas para terem acesso às suas contas.

De acordo com aquela instituição, trata-se de "uma iniciativa criminosa muito complexa", que dão origem a transferências monetárias muito avultadas.

Este método começa com a expedição, para "muitíssimos destinatários, de forma indiscriminada, de mensagens eletrónicas fraudulentas – no caso destas campanhas criminosas, foram identificados casos de mensagens telefónicas (SMS), mas também de mensagens de correio eletrónico (email)".

Nessas mensagens, é mencionada a alegada instituição bancária que está na sua origem e os destinatários são alertados para "uma recente transferência ou outro pagamento bancário que terá sido efetuado a partir da sua conta". Ou seja, é criada a ideia de que "poderá ter havido um acesso ilegítimo à conta".

No entanto, é oferecida uma solução para o problema, que passa pelo acesso a um link ao qual o destinatário deve aceder imediatamente. Se a vítima clicar no link agregado à mensagem que recebe, acede a uma página fraudulenta, que imita a página oficial da instituição bancária, mas não corresponde à autêntica página web daquela entidade.

Nela, é solicitado à vítima que introduza diversos dados pessoais, nomeadamente os dados de identificação e de acesso à sua conta bancária. É ainda solicitado o número de telefone da vítima, que é "um elemento crucial neste processo", uma vez que permite aos criminosos avançar para a segunda parte do plano.

É que, com os dados de acesso, os criminosos "conseguem aceder à conta bancária da vítima, verificar os respetivos movimentos e ficar a saber qual é o montante em saldo".

Porém, em geral, apenas com esses dados não é possível aos agentes criminosos proceder a movimentos ou a transferências para outras contas, mas para contornarem o segundo fator de autenticação de conta, os criminosos fazem chamadas telefónicas às vítimas, identificando-se como funcionários da área da cibersegurança da instituição bancária.

Nessa conversa, demonstram conhecer detalhes sobre a vítima e a sua conta, depois de os obterem no acesso ilegítimo à conta. Informam depois a vítima de que foi identificado um movimento suspeito, de grande valor, a partir da conta bancária em causa.

Como a vítima nega ter feito tal movimento bancário, "o agente criminoso oferece-se então para reverter tal movimento, desde que a vítima o confirme".

"Esta confirmação terá que ser feita por via do segundo fator de autenticação. Isto é, para supostamente anular o movimento suspeito, a vítima tem que acionar o seu segundo fator de autenticação (que, consoante as instituições bancárias, pode por exemplo ser um código recebido por SMS ou uma confirmação numa aplicação telefónica)", explica o comunicado do MP.

Na prática, assim que é facultado aos criminosos o código do segundo fator de autenticação, é-lhe permitido que aprovem a transferência no sistema bancário e assim apoderam-se da quantia em causa.

O gabinete de Cibercrime do MP refere que este tipo de mensagens "devem ser ignoradas e apagadas, sem resposta", bem como as "chamadas telefónicas desta natureza". "Caso a vítima acabe por facultar aos agentes criminosos dados pessoais ou da sua conta bancária, importará, como primeira diligência a empreender, contactar o banco por via dos canais institucionais habituais", refere o comunicado, na qual reforça a ideia de que que "as mensagens não foram remetidas pelas instituições bancárias nem a partir de servidores daquelas entidades ou por elas geridos".