O Ministério Público (MP) emitiu um alerta detalhado sobre uma campanha criminosa em curso em Portugal, que combina técnicas de phishing e engenharia social avançada. O objetivo dos atacantes é obter acesso ilícito a contas bancárias de clientes de diversas instituições financeiras nacionais e proceder ao desvio imediato de fundos, provocando “prejuízos patrimoniais muito avultados”.

As autoridades sublinham que não se trata de uma campanha de phishing comum, mas sim de um esquema complexo dividido em duas fases estratégicas e altamente coordenadas.

Fase 1: A isca digital por SMS ou e-mail

O método criminoso inicia-se com o envio indiscriminado de mensagens eletrónicas fraudulentas (através de SMS ou correio eletrónico) simulando o contacto oficial de instituições bancárias.

  • O pretexto: As mensagens alertam o destinatário para um suposto movimento bancário recente, um pagamento ou uma transferência de grande valor efetuada a partir da sua conta, incutindo um sentimento de urgência.

  • O engodo: É disponibilizado um link fraudulento que a vítima é instada a aceder “imediatamente” para resolver o falso problema.

  • A recolha de dados: Ao clicar no link, o utilizador é redirecionado para uma página falsa que imita o portal do seu banco. Nela, são solicitados os dados de identificação, credenciais de acesso à conta e, de forma crucial, o número de telefone.

Fase 2: O falso telefonema de cibersegurança

Com as credenciais obtidas na primeira fase, os criminosos acedem à conta bancária da vítima para verificar saldos e movimentos. Contudo, devido aos sistemas de segurança dos bancos portugueses, os assaltantes não conseguem transferir o dinheiro sem o segundo fator de autenticação (códigos por SMS ou validações na aplicação do banco).

Para contornar esta barreira, os criminosos ativam a componente de engenharia social:

  1. Contacto direto: Ligam para a vítima fazendo-se passar por funcionários da área de cibersegurança da respetiva instituição bancária.

  2. Ganho de confiança: Para dar credibilidade à chamada, os falsos agentes revelam detalhes reais sobre o saldo e movimentos da conta (dados que visualizaram ao invadir o sistema).

  3. A encenação: Informam a vítima de que detetaram uma movimentação suspeita e oferecem-se para a reverter. Para concluir essa suposta “anulação”, pedem à vítima que faculte o código enviado pelo banco ou que valide a operação na respetiva aplicação móvel.

  4. A fraude: Na realidade, enquanto falam ao telefone, os criminosos estão a dar uma ordem de transferência real. Se a vítima fornecer o código ou validar o pedido, estará a autorizar o desvio do seu próprio dinheiro para uma conta controlada pela rede criminosa.

Como proceder em caso de suspeita

O Ministério Público reforça que as mensagens com este teor devem ser completamente ignoradas e apagadas, sem qualquer resposta ou clique em ligações associadas. Da mesma forma, chamadas telefónicas com esta natureza devem ser rejeitadas.

Caso o utilizador acabe por ceder dados pessoais ou bancários nesta armadilha, o MP dita que a primeira diligência a empreender deve ser o contacto imediato com a respetiva instituição bancária, através dos canais institucionais habituais, para bloqueio preventivo de acessos e operações.