Burlões com novas técnicas para enganar e extorquir dinheiro e dados

Há cada vez mais pessoas com medo de abrirem emails, SMS e até ligações em redes sociais. A PSP, a PJ e um especialista em cibercrime deixam conselhos para que se sinta mais seguro.

As burlas têm vindo cada vez mais a serem otimizadas por aqueles que ganham dinheiro a enganar os outros. Principalmente, desde o início da pandemia de covid-19. No entanto, nos últimos tempos, são cada vez mais as pessoas que não se sentem seguras quando acedem às redes sociais, ao email ou simplesmente consultam as SMS.

É o caso de Joana (nome fictício), de 42 anos, cuja fotografia do WhatsApp foi roubada por alguém, cuja identidade é desconhecida, que com outro número de telemóvel, contactou a sua irmã. “Tentou burlá-la, não deu, a seguir troca a foto de perfil e continua a enganar outra pessoa”, desabafa, em declarações ao i. “Mas esse número tem de estar associado a uma conta de MBWay porque eles pedem dinheiro e a conta tem de ser de alguém”, continua, lembrando que as mensagens enviadas à sua irmã foram posteriormente apagadas pelo burlão. 

Outras formas de obter dinheiro e dados passam por enviar mensagens semelhantes àquelas que um banco poderia enviar. A título de exemplo: “Montepio: Cartão de Débito e PIN foram bloqueados. Para desbloquear aceda a” seguido de um link “e confirme os seus dados”, assim como emails em que o destinatário é incentivado à ação. Imaginemos: “Ana, tentámos entregar a sua encomenda dos CTT Expresso na morada indicada” com emojis e texto – habitualmente, repleto de erros ortográficos – que, claramente, jamais seriam enviados pelos verdadeiros correios de Portugal.

No entanto, os burlões não ficaram por aqui – nem pelo célebre “Olá, mãe! Olá, pai!” – e, por isso, decidiram fazer-se passar pelas autoridades. “Olá. Nossos agentes detetaram uma violação do seu dispositivo, esta ação é uma ofensa passível de ação legal. Por favor, leia o anexo com atenção e responda assim que recebê-lo, caso contrário uma intimação oficial será enviada a você dentro de 72 horas”, lê-se no início de uma missiva em que a “Diretora Geral da Gendarmaria Nacional” assina, juntamente com o “Sr. Botelho Miguel” eleito para o cargo de “Comandante-Geral da GNR, Comissário Divisional , Chefe da Brigada para a Proteção de Menores (CPCJ)” um texto acusando aquela que poderá ser uma vítima de crimes como abuso sexual de menores, posse de pornografia infantil, exibicionismo, tráfico sexual, entre outros. Incluindo, para este efeito, de melindrar o destinatário, mais o nome, do “Sr. José Manuel dos Santos Pais, Procurador-Geral do Tribunal de Recurso de Paris e especializado em cibercrime”.

Contactada pelo i, a Polícia de Segurança Pública (PSP) declara que “tem conhecimento da circulação do e-mail fraudulento em apreço tendo, inclusive, feito um alerta nas redes sociais no passado dia 18 de outubro”, acrescentando que ajuda diretamente quem lhe faz chegar denúncias. “Sempre que temos conhecimento deste tipo de situações, além do alerta que fazemos através das N/ redes sociais, ainda enviamos um e-mail de resposta a todas as  pessoas que nos fazem chegar este tipo de denúncias, com conselhos e medidas de segurança que podem ser levadas a cabo por parte dos lesados”, conclui a PSP.

"A Guarda Nacional Republicana (GNR) já teve conhecimento, através de denúncias que nos chegam internamente e externamente, sobre o conteúdo do email em causa, que consiste em tentar ludibriar as pessoas, levando-as a partilhar informações confidenciais, como palavras-passe ou números de cartões de crédito", explica a GNR em declarações ao i

"O modus operandi mais comum, consiste em receber um email mensagem de texto (SMS), de um amigo, de organização governamental ou de instituição bancária, que inspire confiança perante a vítima. Por sua vez, ao abrir o email ou o texto, a vítima encontra uma mensagem comprometedora", continua, explicitando que "a mensagem intima a vítima a consultar um website e a executar medidas imediatas para pôr termo à situação, sendo-lhe fornecido um link e posteriormente pedido que inicie a sessão com as suas credenciais de acesso".

"Consequentemente, essa informação de registo é transferida de forma automática para o suspeito, usando-a para roubar a identidade da vítima, com o intuito de subtrair valores à suas contas bancárias ou vender informações pessoais". "Perante o mencionado, a Guarda aconselha a observar atentamente se os endereços de e-mail, contém erros ou não condizem com os adotados pela instituição", sendo que "deverá analisar/ler bem o texto que lhe é endereçado, que pode apresenta erros ortográficos, levantando suspeitas".

A GNR também sugere que "observe: uma incoerência constante ao longo do texto, bem como uma tradução de forma literal obtida através de ferramentas disponibilizadas em ambiente on-line; as insígnias e outros aspetos de relevo associados à instituição “imitada”, por vezes são confundidos/alterados ou não correspondem à realidade e o nome do representante/comandante da instituição, na maioria das situações não se encontra correto".

Por último, "em caso de dúvida não clicar nos links ou anexos de e-mail estranhos, e contactar previamente, por telefone, a empresa ou instituição cujo nome está a ser utilizado", "não responda a este tipo de mensagens e apague-as imediatamente" e "não execute os comandos que a mensagem propõe, e bloqueie imediatamente o remetente".

Já a Polícia Judiciária (PJ) informa, também em declarações ao i, “que se trata de uma tentativa de burla e que, através da UNC3T, tem alertado para este tipo de situações”, sendo que “disponibiliza várias informações e conselhos preventivos que se encontram na página oficial da PJ, através dos seus ‘Alertas ao Cidadão’ e nas suas redes sociais (Facebook, Instagram, Twitter e YouTube), bem como algumas informações e campanhas de prevenção de parceiros internacionais com quem a PJ colabora, igualmente noticiadas e disponíveis através dos mesmos canais”.

O enquadramento penal “O que está em causa, para além de quaisquer outros ilícitos, é acima de tudo um crime de burla. Só que, neste caso, é um crime de burla por meio informático. O agente faz-se passar por um terceiro, neste caso conhecido do ofendido, para ludibriá-lo e, aproveitando-se do erro em que o induziu, convencê-lo a fazer uma disposição patrimonial em dinheiro”, começa por afirmar David Silva Ramalho, advogado e associado coordenador na equipa de Contencioso Criminal, Risco e Compliance da Morais Leitão.

“Este crime surgirá tipicamente associado à prática de um crime de falsidade informática, e, possivelmente, à prática de um crime de fotografias ilícitas, contanto que a fotografia utilizada para o engodo seja utilizada – como será – contra a vontade presumida do seu titular”, adianta. “Quando para a obtenção dos valores, o agente do crime ameaçar o ofendido com o que a lei designa de “mal importante”, como sucederá quando o ameace com a responsabilização penal por factos que não cometeu, poderá estar também em causa um crime de extorsão”.

“Contudo, é frequente as contas bancárias indicadas pelo agente do crime para a transferência dos valores em causa não pertencerem ao próprio agente, mas sim a um terceiro. Esse terceiro será frequentemente uma ‘mula’, ou seja, alguém que, a troco de determinada quantia, aceita que a sua conta bancária seja utilizada como ponto de passagem dos valores com origem criminosa”, observa o  assistente convidado na Faculdade de Direito da Universidade de Lisboa.

“Poderá, porém, esse terceiro ser alguém que desconhece a origem ilícita dos fundos, a quem é feita uma transferência bancária por parte do agente do crime, mas que é convencida de que essa transferência terá uma justificação atendível, designadamente por se dever a erro, o que leva a que o titular da conta acabe por transferir o valor para outra conta indicada pelo agente. Em qualquer um destes casos poderemos ter um crime de branqueamento, sendo que no primeiro caso o crime será igualmente cometido pela ‘mula’”, clarifica o investigador no Centro de Investigação em Direito Penal e Ciências Criminais (CIPDCC) e associado do Instituto de Direito Penal e Ciências Criminais (IDPCC).

“Estando em causa um crime de burla, a pena poderá variar entre uma multa e oito anos de prisão por cada crime, dependendo da modalidade praticada pelo agente. Assim, se estiver em causa uma burla simples, a pena será de até três anos de prisão ou de multa. No entanto, quando o valor subtraído for igual ou superior a 5.100€, a pena passará a ser até cinco anos de prisão ou pena de multa até 600 dias. Já quando estiver em causa uma burla de um valor igual ou superior a 20.400€, quando o agente fizer da burla modo de vida, quando o agente se aproveitar de situação de especial vulnerabilidade da vítima, em razão de idade, deficiência ou doença; ou quando a pessoa prejudicada ficar em difícil situação económica, a pena será de 2 a 8 anos de prisão”, esclarece Silva Ramalho.

“Já o crime de falsidade informática é punido com pena de prisão até 5 anos ou multa de 120 a 600 dias, ao passo que o crime de fotografias ilícitas é punível com pena de prisão até 1 ano ou com pena de multa até 240 dias”, adiciona, avisando que “o crime de extorsão será punível com pena de prisão até 5 anos, sendo que, quando o agente o faça com usurpação de título, como sucederá quando se faça passar por órgão de polícia criminal, a pena será de 3 a 15 anos”. “A pena do branqueamento poderá ascender a 12 anos de prisão”, indica.

“Juridicamente as diferenças não são relevantes. São diferentes meios de praticar os mesmos crimes. O crime principal será sempre de burla, embora possa haver outros crimes-satélite que serão praticados em função do concreto modo de execução, mais do que do concreto meio de comunicação. As variações estarão, por exemplo, na circunstância de o agente se fazer passar por um terceiro, de aceder a contas bancárias, de fazer uso de credenciais para fazer as transferências, de pedir as transferências, de utilizar contas de permeio, etc.”, elucida. “Por exemplo, nas burlas por MBWay, que atingiram o seu pico há uns tempos, mas que continuam a ser comuns, e que tipicamente ocorrem através do OLX ou por telefone (SMS, WhatsApp ou mesmo telefonemas), as configurações jurídicas podem incluir ainda crimes de acesso ilegítimo e de burla informática, mas dependerá sempre do concreto ardil e do esquema montados pelo agente”.

E as pessoas “caem nestas armadilhas”? Infelizmente, “sim”. “E a circunstância de o modo de execução das burlas ir mudando, leva a que os alertas acabem por se desatualizar depressa. A massificação do uso de tecnologias de informação, incluindo por camadas da população com menos literacia informática, e a tendência para se partilhar muita informação pessoal em redes sociais sem quaisquer restrições de acesso, torna-nos alvos fáceis deste tipo de tentativas. Como para praticar estes crimes basta ter um telemóvel, um cartão pré-pago ou acesso à Internet, o risco para o agente é percebido como sendo relativamente diminuto. A partir daí basta ao agente do crime iniciar uma campanha de tentativas, muitas vezes adaptada ao seu interlocutor com base em informação recolhida em fontes abertas, e alguém há-de cair”.

“A primeira camada de proteção é prévia aos crimes. As pessoas têm de perceber que não podem partilhar tanta informação nas redes sociais sem qualquer restrição. A tentação de ter cada vez mais seguidores, de adicionar desconhecidos como amigos para trocar prendas em jogos online, de publicar fotografias da família, de celebrar aniversários nos murais, de marcar pessoas como familiares, expõe-nos a variadíssimos riscos, dos quais o phishing é apenas um”, aconselha.

“Uma segunda camada de proteção é partir sempre de um pressuposto de desconfiança quando alguém nos pede dados pessoais ou dinheiro. Se uma pessoa com quem temos intimidade suficiente para emprestar dinheiro muda de número e nos pede dinheiro por essa via, vale a pena telefonar-lhe ou confirmar que é de facto essa pessoa por qualquer outra via. Se o Banco nos envia um link por SMS e nos pede para introduzirmos as credenciais, vale a pena ver se o link é mesmo do Banco e se aquela é a página certa. O melhor é fechar a página e ir à do Banco. Se alguém nos pede credenciais bancárias por via remota, telefone ou internet, devemos evitar fazê-lo, e se quisermos fazê-lo, devemos confirmar antes se aquela pessoa é mesmo quem diz ser”, recomenda o advogado e professor.

"Uma terceira camada de proteção é ter cuidado ao navegar na Internet. Ter cuidado com os sites que visitamos, ter cuidado ao instalar add-ons e aplicações, escolher palavras-passe diferentes para diferentes websites, não partilhar dados de pagamento (desejavelmente utilizar cartões descartáveis com plafonds máximos) e preocuparmo-nos com a nossa privacidade. Há uma tendência generalizada para se dizer que não temos nada a esconder, não temos de nos preocupar com privacidade. Mas por algum motivo temos persianas nas janelas de casa. E por algum motivo trancamos a porta quando saímos”.

Artigo atualizado às 9h323 do dia 9 de novembro de 2022