A Polícia Judiciária, através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), levou a cabo uma operação a nível nacional com o objetivo de desmantelar um grupo organizado que se dedicava a atividades no contexto do cibercrime, que culminou com a detenção de três suspeitos, a realização de 21 buscas domiciliárias e a apreensão de material informático.
Em causa estão a prática de crimes suscetíveis de configurar acesso ilegítimo agravado, falsidade informática agravada, acesso indevido agravado, dano relativo a programas ou outros dados informáticos, falsificação de documento e burla qualificada.
As práticas imputáveis ao grupo possuíam uma natureza multifacetada, contemplando acessos ilegítimos a plataformas online de utilização exclusiva por profissionais de saúde (disponibilizadas pelos Serviços Partilhados do Ministério da Saúde – SPMS, bem como ao canal da Segurança Social Direta (com recurso a credenciais de funcionários) e, ainda, disseminação de campanhas de SPAM sob pretexto de dívidas à EDP Comercial, CTT, Endesa, Galp e outros.
No quadro dos acessos realizados às plataformas disponibilizadas pela SPMS, incluem-se o Sistema Nacional de Vigilância Epidemiológica [SINAVE], dedicado à vigilância em saúde pública (com divulgação de dados relativos a doenças transmissíveis); o Portal de Requisição de Vinhetas e Receitas [PRVR], responsável por centralizar o processo de aquisição de vinhetas médicas e blocos de receitas disponibilizado aos prescritores; a Prescrição Eletrónica de Medicamentos [PEM], sistema de prescrição e dispensa médica; e ainda o Sistema de Informação dos Certificados de Óbito [SICO],responsável pela emissão e transmissão eletrónica dos certificados de óbito para efeitos de elaboração dos assentos de óbito.
Os acessos realizados a todas estas plataformas foram conseguidos com recurso a credenciais de médicos, subtraídas por ação de Infostealers (malware desenhado para extrair passwords e informação sensível em computadores infetados) e, posteriormente, vendidas em sites junto da Deepweb, onde são disponibilizados data leaks e informação recolhida em sistemas comprometidos.
Esta atividade permitiu o acesso aos dados pessoais de médicos e de um número alargado de pacientes, à emissão de certificados de óbito para alvos escolhidos pelo grupo e ainda à emissão de mais de 350 prescrições médicas respeitantes a ansiolíticos, antidepressivos e opioides.
As receitas seriam distribuídas entre membros do grupo que se encarregavam de proceder à sua dispensa em farmácias e utilizá-las na preparação de uma droga recreativa conhecida como Lean ou Purple Drank (um preparado à base de codeína e refrigerantes). Esta substância de elevada toxicidade, causa dependência e é suscetível de conduzir a overdoses e à morte do consumidor.
O grupo explorava ainda acessos ao canal eletrónico da Segurança Social Direta, com recurso a credenciais usurpadas de funcionários, permitindo-lhes ganhar acesso a informação de pessoas individuais e coletivas relativas a prestações sociais, pensões, emprego e doença. Estes dados eram depois partilhados em fonte aberta ou vendidos a terceiros.
Pelo menos, desde abril de 2023, o grupo passou também a dedicar-se à disseminação massiva de campanhas de SPAM, expedindo milhares de sms para destinatários indiscriminados, utilizando para o efeito bases de dados constantes de leaks, advertindo para a existência de pretensas dívidas em nome de empresas como EDP, CTT, Endesa, GALP, entre outras.
No corpo das mensagens apelavam à liquidação dos valores com recurso ao sistema de pagamento de serviços, com entidade e referência geradas pelo grupo, lesando um número indeterminado de vítimas em dezenas de milhares de euros.
Os créditos da atividade criminosa eram branqueados com recurso à realização de apostas online, aquisição de criptoativos, artigos de luxo e material eletrónico e de telecomunicações para uso dos arguidos e revenda.
Aos arguidos é ainda associada à realização de chamadas para as vítimas (pessoas individuais ou coletivas) e mesmo para as autoridades públicas ou serviços de emergência com recurso a técnicas de spoofing (mecanismos que alteram o identificador do número chamador, permitindo que o visor do telefone da vítima apresente o número pretendido pelo cibercriminoso, incluindo o 112) ou contactos de forças de segurança, muitas vezes para ativar serviços de socorro.
Os detidos serão presentes à autoridade judiciária competente para primeiro interrogatório judicial e aplicação das medidas de coação.
