Anúncios de emprego recrutam cúmplices para redes de phishing
As money mules recebem dinheiro nas contas bancárias, ficam com uma parte e encaminham o resto para o estrangeiro. O número deste tipo de fraudes tem vindo a aumentar em Portugal.
Quem responde a estes anúncios de emprego acaba por receber um contacto a dizer que receberá uma transferência de dinheiro e que tem de encaminhar os fundos como parte das funções do novo emprego. Deve usar sistemas de transferência de dinheiro, como o Western Union, e reter uma parte a título de pagamento. O destino é normalmente o Brasil ou a Rússia, onde estes esquemas fraudulentos têm tipicamente origem.
Em muitos casos, é neste ponto que as chamadas money mules (designação também usado noutros esquemas fraudulentos, como o branqueamento de capitais) se apercebem de que estão prestes a participar numa fraude. Há quem decida fazer uma denúncia às autoridades. Mas, para quem está à procura de emprego, a tentação de ganhar rapidamente algumas centenas de euros pode ser demasiado grande. "É a exploração da fragilidade humana", diz o coordenador da investigação de criminalidade informática da Polícia Judiciária, Carlos Cabreiro.
Nem todas as money mules são recrutadas através de anúncios de emprego. Algumas são simplesmente pessoas conhecidas de alguém que faz parte da rede (àqueles cuja tarefa é encontrar mulas a polícia chama angariadores). O requisito das mulas é terem uma conta bancária no mesmo banco das vítimas - assim, a transferência do dinheiro é imediata (algo que não aconteceria se os bancos fossem diferentes) e o processo de enviar o dinheiro para fora do país pode ser feito em dois dias, às vezes até em apenas num, se a operação tiver começado de manhã.
Casos aumentam
O fenómeno de captura de dados para aceder a contas bancárias tem estado a crescer entre 15% e 20% ao ano em Portugal desde que "houve um boomentre 2009 e 2011", explica Carlos Cabreiro. Recentemente, a PJ anunciou a detenção de sete pessoas em Portugal por phishing. "Mulas, angariadores e alguém um pouco mais acima", refere o responsável, sem adiantar pormenores. Em Portugal, houve, ao longo de 2012, 1300 inquéritos nesta área. Destes, cerca de 800 foram na região de Lisboa, onde são mais fortes as comunidades de emigrantes da Rússia e do Brasil. Ao todo, estas fraudes terão rendido aproximadamente 1,4 milhões de euros. A PJ fez propostas de acusação em 60% dos casos. Sem ter números concretos, Carlos Cabreiro diz que o historial de condenações nesta área "não é famoso".
Há várias formas de obter os dados das vítimas de phishing. Há abordagens sobretudo técnicas, em que é instalado software malicioso no computador das pessoas, e outras que são aquilo a que se chama engenharia social: de forma simples, as pessoas são enganadas. Por exemplo, recebem um email, formatado para parecer de um banco, onde lhes é pedido para aceder a umsite, também desenhado para parecer o de um banco. Este site pede para que introduzam dados como a palavra-passe e os números do cartão matriz. E nem só aqueles que têm menos literacia informática caem na artimanha. "Há pessoas que não tinham razão nenhuma para terem caído, há quem actue com muito descuido", assegura Carlos Cabreiro.
Uma vez na posse dos dados e com as mulas seleccionadas para receber o dinheiro, é preciso contornar uma outra linha de defesa: a confirmação por SMS (o chamado SMS token) que os bancos pedem para transferências de valores mais elevados. Tipicamente, os criminosos fazem transferências nos limites máximos permitidos, o que requer que quem ordena a transferência receba no telemóvel um código de segurança, cujo prazo de validade é muito limitado e que deverá ser introduzido no site do banco.
Para ultrapassar este obstáculo, os criminosos pedem uma segunda via do cartão de telemóvel da vítima (o número pode já ter sido obtido por via dos emails fraudulentos). Em alguns casos, simplesmente enganam o funcionário na loja do operador de comunicações e convencem-no de que são o legítimo proprietário. Noutros casos, há um cúmplice nestas lojas, que emite a segunda via.
Depois disto, é preciso enganar novamente a vítima. Para a segunda via do cartão ficar a funcionar, é preciso que o cartão original não esteja ligado à rede. A técnica pode então passar por enviar uma mensagem à vítima como sendo do operador de comunicações, informando que esta deve desligar e voltar a ligar o aparelho com um pretexto inventado - uma actualização de software, por exemplo (outra possibilidade é infectar o telemóvel com software que o desligue). No momento em que o telemóvel da vítima é desligado, os criminosos podem simplesmente ligar um telemóvel com a segunda via do cartão e, assim, activá-lo para depois receber o SMS de confirmação do banco. As transferências para as contas das mulas são concluídas.
Mesmo com a cooperação das autoridades dos países envolvidos, chegar ao topo da pirâmide criminosa é uma tarefa complicada, admite Carlos Cabreiro. As investigações esbarram frequentemente na falta de dados para identificar quem levanta o dinheiro no país para onde as mulas o enviaram. Nesta última etapa, o dinheiro é simplesmente recebido mediante a apresentação de um número de controlo por alguém que se pode apresentar com uma identidade falsa.