Uma rede criminosa que operava com iPhones e carteiras digitais Apple Pay desviou mais de 362 mil euros em apenas três meses até serem detidos, através de um esquema que combinava phishing, associação fraudulenta de cartões bancários a wallets digitais, compras em lojas físicas e posterior dissimulação da origem dos bens e valores obtidos. O caso acabou com condenações por associação criminosa, falsidade informática, burla informática e branqueamento.
A investigação Tugaleaks:
Era burla informática mas tinha hierarquia como uma empresa
Segundo o acórdão de primeira instância, ao qual o Tugaleaks teve acesso em exclusivo, não estava em causa um grupo improvisado ou uma fraude ocasional. O tribunal descreve antes uma estrutura “estável, coesa e organizada”, ativa entre 5 de setembro e 18 de dezembro de 2022, com liderança, divisão de tarefas e capacidade de adaptação quando um código deixava de funcionar ou uma operação falhava. Durante esse período, foram realizadas compras no valor de 307.809,10 euros e registadas transações tentadas no valor de 54.639,85 euros. No total, quase 362,5 mil euros.
No topo do esquema surgia um suspeito identificado como “Marroquino” (que não foi acusado neste processo, nem foi possível apurar se ainda opera), apontado pelo tribunal como o responsável pelo phishing dos dados bancários. Logo abaixo aparecia uma outra pessoa, que recebia os iPhones já com wallets associadas a cartões de terceiros ou coordenava o envio remoto dos elementos bancários para associação a novas wallets. A partir daí, os aparelhos ou os dados eram distribuídos pelos restantes arguidos, que tinham como função usá-los em compras. O tribunal refere ainda que a pessoa que recebia os iPhones orientava os “recursos humanos” do grupo e transmitia quais os artigos cuja aquisição era mais importante.
Como funcionava a burla informática com o Apple Pay
O método desta burla informática era simples na aparência, mas sofisticado na execução. As vítimas recebiam SMS falsas, com aparência de comunicações legítimas, nomeadamente em nome da Via Verde, informando sobre uma suposta dívida de pequeno valor e remetendo para um link. Ao seguir esse link, eram conduzidas para páginas com layout semelhante ao da entidade imitada, onde lhes eram pedidos os dados do cartão bancário, validade, CVV e ainda os códigos SMS de autenticação enviados pelo banco. Depois, era-lhes também pedido o código token necessário para associar o cartão a uma wallet Apple Pay. Isto é engenharia social clássica, que tem baixa resistência, mas um enorme potencial de fraude.
Com esses elementos, o cartão da vítima ficava associado a uma wallet instalada num iPhone controlado pelo grupo. A partir desse momento, o telemóvel passava a funcionar como instrumento de pagamento contactless, permitindo fazer compras em lojas físicas sem necessidade do cartão físico verdadeiro. É aqui que a história ganha densidade cibercriminal: o iPhone não era o alvo do crime, era a ferramenta de execução da fraude.
Compras rápidas, repetidas e centradas em bens de revenda
O grupo não usava os iPhones para pequenas despesas dispersas. O padrão indica compras de bens com valor e potencial de revenda ou aproveitamento direto. Num dos episódios, duas das pessoas que recebiam os iPhones fizeram cinco pagamentos em poucos minutos no estabelecimento Be On Time no Colombo, totalizando 4.455 euros. Noutra sequência, elementos do grupo deslocaram-se ao Algarve e a Sintra, realizando compras em vários estabelecimentos, incluindo a iStore Algarve e a Suits Inc. O esquema não se limitou aos valores efetivamente desviados. Houve ainda mais de 54 mil euros em transações tentadas que não chegaram a ser concluídas.
Isto revela que o volume real de ataque foi bastante superior ao dano final. Mostra uma lógica de tentativa massiva, onde o sucesso é apenas uma parte de uma operação muito mais ampla.
O tribunal é claro em relação a esta burla informática num ponto essencial: os arguidos obtinham “elevada compensação monetária” com a venda dos bens adquiridos e também com o uso direto de artigos e objetos de luxo. Isto significa que o esquema não se limitava a gastar dinheiro alheio. Havia também uma lógica de conversão dos pagamentos fraudulentos em bens facilmente escoáveis, reforçando a componente de branqueamento.
Desempregados, irmãos e arguidos com antecedentes de violação de menores: quem integrava a rede?
O processo envolveu 10 arguidos de várias origens. O acórdão identifica naturalidades da Guiné-Bissau, de Cabo Verde, de Portugal e do Brasil. Entre eles havia desempregados, um motorista TVDE, um repositor e um operador de máquinas e pessoas cujo primeiro emprego, aos 26 anos, foi na construção civil. Alguns tinham completado apenas o 6º ano e existiam arguidos neste processo de burla informática que eram irmãos, fazendo disto um negócio de família.
Existiam ainda arguidos que já tinham sido sinalizados e condenados por outros processos de abuso sexual de criança na forma agravada e crimes de atos sexuais com adolescentes agravados, condução sem carta de condução e detenção de arma proibida.
Ou seja, o grupo que conduziu esta burla informática não corresponde ao estereótipo de “hacker”. O que o processo mostra é antes uma rede de executantes relativamente jovens, com acesso a tecnologia e instruções operacionais, inseridos numa estrutura já montada.
Esse dado é relevante porque desmonta uma leitura ingénua. A história maior aqui não é a dos executantes que entravam nas lojas. É a da cadeia invisível que captava as credenciais bancárias, validava tokens, preparava os iPhones e colocava os aparelhos a circular. A rua era apenas a última etapa.
Como foram apanhados
O acórdão fixa 18 de dezembro de 2022 como o dia das detenções, pondo fim à atividade da organização naquele período. Além disso, ao longo dos factos provados, surgem referências a autos, imagens de videovigilância, identificação de arguidos presentes nos estabelecimentos e cruzamento entre pagamentos, tokens, aparelhos e presença física nos locais. Em vários episódios, o tribunal conseguiu ligar transações concretas aos arguidos através dessa combinação de prova documental e visual.
O que também pesou foi a repetição. O grupo atuava em subgrupos, substituía elementos nos locais visados e trocava rapidamente de código quando um deixava de ser aceite. Isso, longe de os proteger, acabou por reforçar a imagem de estrutura criminosa organizada, não de atuações isoladas.
O ângulo que não deve ser desperdiçado
O caso não é apenas uma notícia de fraude bancária. É um retrato de como a burla informática com iPhones pode transformar um telemóvel comum numa extensão operacional de um ataque digital. O phishing servia para abrir a porta. O Apple Pay servia para materializar o roubo. E as compras em cadeia serviam para converter fraude digital em lucro real, visível e transportável. É precisamente essa ponte entre cibercrime, fraude financeira e economia de bens de revenda que torna este processo mais relevante do que uma simples burla de cartão.
Vários arguidos recorreram para a relação, mas sem sucesso.
Este é também um processo da cadeia incompleta. O processo apanha executantes, coordenadores locais e parte do branqueamento, mas a infraestrutura a montante, phishing, páginas falsas, fornecedor de credenciais, não aparece verdadeiramente sentada no banco dos réus.
Isto não é uma história sobre hackers. É uma história sobre como qualquer pessoa, com um iPhone e instruções, pode executar fraude sofisticada.