A Polícia Judiciária (PJ) desmantelou um grupo que se dedicava a aceder de forma ilegítima a plataformas dos Serviços Partilhados do Ministério da Saúde (SPMS) e da Segurança Social Directa, tendo detido três cibercriminosos.

“Esta actividade permitiu o acesso aos dados pessoais de médicos e de um número alargado de pacientes, à emissão de certificados de óbito para alvos escolhidos pelo grupo e ainda à emissão de mais de 350 prescrições médicas respeitantes a ansiolíticos, antidepressivos e opióides”, descreve esta polícia num comunicado em que explica ainda que os membros do grupo usavam estas receitas para prepararem uma droga recreativa conhecida como lean ou purple drank (um preparado à base de codeína e refrigerantes). “Esta substância de elevada toxicidade, causa dependência e é susceptível de conduzir a overdoses e à morte do consumidor”, explica a Judiciária.

Pelo menos desde Abril de 2023, o grupo passou também a dedicar-se à disseminação massiva de campanhas de spam, expedindo milhares de mensagens escritas para destinatários indiscriminados, que eram informados da existência de pretensas dívidas suas para com fornecedores de serviços como a EDP, os CTT, a Endesa e a Galp.

“No corpo das mensagens apelavam à liquidação dos valores com recurso ao sistema de pagamento de serviços, com entidade e referência geradas pelo grupo, lesando um número indeterminado de vítimas em dezenas de milhares de euros”, prossegue a mesma nota de imprensa, adiantando que os créditos da actividade criminosa eram branqueados com recurso à realização de apostas online, aquisição de criptoactivos, artigos de luxo e material electrónico e de telecomunicações para uso dos arguidos e também para revenda.

“Aos arguidos é ainda associada à realização de chamadas para as vítimas e mesmo para as autoridades públicas ou serviços de emergência com recurso a técnicas de spoofing (mecanismos que alteram o identificador do número chamador, permitindo que o visor do telefone da vítima apresente o número pretendido pelo cibercriminoso, incluindo o 112) ou contactos de forças de segurança, muitas vezes para activar serviços de socorro”, descreve ainda a Judiciária.

Entre as plataformas electrónicas atacadas incluem-se o Sistema Nacional de Vigilância Epidemiológica, dedicado à vigilância em saúde, o Portal de Requisição de Vinhetas e Receitas, responsável por centralizar o processo de aquisição de vinhetas médicas e blocos de receitas disponibilizado aos prescritores, a Prescrição Electrónica de Medicamentos e ainda o Sistema de Informação dos Certificados de Óbito.

Os acessos a todas estas plataformas foram conseguidos com recurso a credenciais de médicos igualmente obtidas de forma fraudulenta.

O grupo acedeu ainda ao canal electrónico da Segurança Social Directa com recurso a credenciais usurpadas de funcionários, tendo acedido a informação de pessoas individuais e colectivas relacionadas com prestações sociais, pensões, emprego e doença. Estes dados eram depois partilhados em fonte aberta ou vendidos a terceiros.

A operação #PINKSp@m foi coordenada pela Unidade Nacional ​de Combate ao Cibercrime.