Treze arguidos no caso de phishing foram condenados pelo Tribunal de Braga pelas burlas online realizadas em 2013 e 2014 e que afetaram um grande número de clientes do Banif e Montepio. Embora dois dos arguidos tivessem sido considerados os principais responsáveis, só um teve pena de prisão efetiva, enquanto outro foi condenado a cinco anos de prisão, com pena suspensa.

O tribunal imputou aos dois, ambos residentes em Braga, os crimes de associação criminosa, branqueamento e burla informática qualificada. Outros 11 arguidos foram condenados por branqueamento, em penas de prisão suspensas na sua execução.

Segundo o tribunal, os dois principais arguidos e um terceiro não identificado agruparam-se entre si e a outras pessoas supostamente residentes no Brasil, com vista a obter de modo fraudulento dados bancários de utilizadores de plataformas homebanking do Banif e do Montepio e a retirar das contas a que acedessem com tais dados o dinheiro que conseguissem., um esquema conhecido como phishing.

Pedidos de faturas e comprovativos de pagamento: não morda o “isco” destes esquemas de phishing
Pedidos de faturas e comprovativos de pagamento: não morda o “isco” destes esquemas de phishing
Ver artigo

Para o efeito, em 2013 e 2014, aqueles supostos brasileiros enviaram mensagens de correio eletrónico a um grande número de clientes das instituições bancárias, como se de emails dos próprios bancos se tratassem.

Esses emails continham links que, uma vez acionados, instalavam software malicioso no computador do cliente, o qual passava a registar e a transmitir-lhes os dados necessários para o acesso à conta bancária.

Nesta fase, através do mesmo software, e simulando a apresentação gráfica do portal bancário, era ainda apresentada ao utilizador uma janela pedindo a atualização de dados, pedido que, se satisfeito pelo utilizador enganado, levava a que fornecesse outros dados necessários à movimentação da conta.

Em causa, entre outros, elementos de acesso à conta bancária, telefones móveis associados ao serviço, códigos de segurança e introdução dos elementos do cartão matriz.

Do LinkedIn à Apple: Quais são as marcas mais imitadas em ataques de phishing?
Do LinkedIn à Apple: Quais são as marcas mais imitadas em ataques de phishing?
Ver artigo

Obtidos deste modo fraudulento os dados que lhes permitiam movimentar as contas como se seus titulares fossem, os supostos brasileiros entravam em contacto com os dois principais arguidos, aos quais cabia “providenciar indivíduos que estivessem dispostos, a troco de compensação monetária, a titular 'contas-mula' naquelas duas instituições bancárias, para onde foram transferidas as quantias monetárias sacadas com os dados usurpados".

Nalguns casos, os arguidos angariavam comerciantes, com terminal multibanco, que estivessem dispostos, mediante contrapartida económica, a disponibilizar tal terminal para fazer pagamentos com cartões de débito das ditas “contas-mula”, devolvendo em numerário o valor pago. A transação era, assim, “meramente simulada e servia apenas para encobrir ou baralhar a pista do dinheiro”.

Por este desempenho, estavam acusados quinze arguidos, uns enquanto titulares de “contas-mula”, outros por terem prestado o seu contributo enquanto comerciantes. No entanto, o tribunal apenas deu como provada a participação de onze.

Entre agosto de 2013 e maio de 2014, através deste método, foram sacados de contas bancárias 123.339 euros. Para o Brasil, terão sido enviados 77.864 euros, tendo o restante sido distribuído pelos arguidos. Os arguidos foram ainda condenados a indemnizar as vítimas.

O phishing tem sido um dos esquemas de malware mais utilizado nos últimos anos e circulam muitos exemplos de emails forjados para enganar os utilizadores e levá-los a clicar em links que os  reencaminham para sites falsos ou instalam vírus e trojans nos computadores. Conheça algumas das recomendações para navegar na web em segurança.

O SAPO TEK tem recolhido uma série de exemplos deste tipo de emails que pode ver na galeria. Clique nas imagens para mais detalhes.