Três pessoas foram detidas pela Polícia Judiciária (PJ) na sequência de uma operação a nível nacional que pretendia "desmantelar um grupo organizado que se dedicava a atividades no contexto do cibercrime". Entre estas estava o acesso ilegítimo a plataformas do Serviços Partilhados do Ministério da Saúde (SPMS), bem como à Segurança Social Direta, com recurso a credenciais de funcionários. Disseminavam, além disso, campanhas de spam referentes a alegadas dívidas à EDP Comercial, CTT, Endesa, Galp e outros.

Os acessos às plataformas foram obtidos com recurso a credenciais de médicos "subtraídas por ação de Infostealers (malware desenhado para extrair passwords e informação sensível em computadores infetados) e, posteriormente, vendidas em sites junto da Deepweb, onde são disponibilizados data leaks e informação recolhida em sistemas comprometidos", adiantou a PJ, em comunicado enviado às redações.

Os suspeitos conseguiram, assim, aceder "aos dados pessoais de médicos e de um número alargado de pacientes", bem como emitir de certificados de óbito "para alvos escolhidos pelo grupo" e "mais de 350 prescrições médicas respeitantes a ansiolíticos, antidepressivos e opioides".

"As receitas seriam distribuídas entre membros do grupo que se encarregavam de proceder à sua dispensa em farmácias e utilizá-las na preparação de uma droga recreativa conhecida como Lean ou Purple Drank (um preparado à base de codeína e refrigerantes). Esta substância de elevada toxicidade, causa dependência e é suscetível de conduzir a overdoses e à morte do consumidor", complementou a nota.

Em causa estavam o Sistema Nacional de Vigilância Epidemiológica (SINAVE), dedicado à vigilância em saúde pública, o Portal de Requisição de Vinhetas e Receitas (PRVR), responsável por centralizar o processo de aquisição de vinhetas médicas e blocos de receitas disponibilizado aos prescritores, a Prescrição Eletrónica de Medicamentos (PEM), sistema de prescrição e dispensa médica, e o Sistema de Informação dos Certificados de Óbito (SICO), responsável pela emissão e transmissão eletrónica dos certificados de óbito para efeitos de elaboração dos assentos de óbito.

O grupo também tinha acesso à Segurança Social Direta através de credenciais usurpadas de funcionários, o que lhe permitia "ganhar acesso a informação de pessoas individuais e coletivas relativas a prestações sociais, pensões, emprego e doença", dados que, depois, eram "partilhados em fonte aberta ou vendidos a terceiros".

Mas não é tudo: desde abril de 2023 que os suspeitos se dedicavam à disseminação massiva de campanhas de spam através de SMS, graças a "bases de dados constantes de leaks". Nas mensagens, alertaram para a existência de dívidas pendentes em nome de empresas como EDP, CTT, Endesa, GALP, entre outras.

"No corpo das mensagens apelavam à liquidação dos valores com recurso ao sistema de pagamento de serviços, com entidade e referência geradas pelo grupo, lesando um número indeterminado de vítimas em dezenas de milhares de euros", complementou a nota.

A PJ detalhou ainda que os créditos obtidos "eram branqueados com recurso à realização de apostas online, aquisição de criptoativos, artigos de luxo e material eletrónico", além de "telecomunicações para uso dos arguidos e revenda".

Os suspeitos também foram associados "à realização de chamadas para as vítimas e mesmo para as autoridades públicas ou serviços de emergência com recurso a técnicas de spoofing (mecanismos que alteram o identificador do número chamador, permitindo que o visor do telefone da vítima apresente o número pretendido pelo cibercriminoso, incluindo o 112)", bem como ou contatos de forças de segurança, para ativar serviços de socorro.

Durante a operação, foram realizadas 21 buscas domiciliárias e a apreendido material informático.

Os detidos serão presentes às autoridades judiciárias para primeiro interrogatório judicial e aplicação das medidas de coação.

[Notícia atualizada às 11h18]

Leia Também: Turistas denunciam burla com "táxi especial do aeroporto" (a 700 euros)