Entraram em plataforma do Ministério da Saúde para emitir receitas e passar certidões de óbito - Café da Praça Central

Últimas

Café da Praça Central

Ecos da Actualidade...

10 julho, 2024

Entraram em plataforma do Ministério da Saúde para emitir receitas e passar certidões de óbito

Entraram em plataforma do Ministério da Saúde para emitir receitas e passar certidões de óbito
Cibercriminosos usavam credenciais de médicos para emitir receitas e certidões de óbito
Foto: António Pedro Santos /Lusa

A Polícia Judiciária desmantelou um grupo organizado que se dedicava ao cibercrime. Com credenciais de médicos, acediam a plataformas online de utilização exclusiva por profissionais de saúde, emitindo receitas respeitantes a ansiolíticos, antidepressivos e opioides e certidões de óbito.


Segundo revela a PJ esta quarta-feira em causa estão a prática de crimes suscetíveis de configurar acesso ilegítimo agravado, falsidade informática agravada, acesso indevido agravado, dano relativo a programas ou outros dados informáticos, falsificação de documento e burla qualificada.

As práticas do grupo incluiam acessos ilegítimos a plataformas online de utilização exclusiva por profissionais de saúde (disponibilizadas pelos Serviços Partilhados do Ministério da Saúde -SPMS -, bem como ao canal da Segurança Social Direta (com recurso a credenciais de funcionários) e, ainda, disseminação de campanhas de Spam sob pretexto de dívidas à EDP Comercial, CTT, Endesa, Galp e outros.

No quadro dos acessos realizados às plataformas disponibilizadas pela SPMS, incluem-se o Sistema Nacional de Vigilância Epidemiológica [SINAVE], dedicado à vigilância em saúde pública (com divulgação de dados relativos a doenças transmissíveis); o Portal de Requisição de Vinhetas e Receitas [PRVR], responsável por centralizar o processo de aquisição de vinhetas médicas e blocos de receitas disponibilizado aos prescritores, a Prescrição Eletrónica de Medicamentos [PEM], sistema de prescrição e dispensa médica e, ainda, o Sistema de Informação dos Certificados de Óbito [SICO],responsável pela emissão e transmissão eletrónica dos certificados de óbito para efeitos de elaboração dos assentos de óbito.

"Os acessos realizados a todas estas plataformas foram conseguidos com recurso a credenciais de médicos, subtraídas por ação de Infostealers (malware desenhado para extrair passwords e informação sensível em computadores infetados) e, posteriormente, vendidas em sites junto da Deepweb, onde são disponibilizados data leaks e informação recolhida em sistemas comprometidos", realçou a PJ

Esta atividade permitiu o acesso aos dados pessoais de médicos e de um número alargado de pacientes, à emissão de certificados de óbito para alvos escolhidos pelo grupo e ainda à emissão de mais de 350 prescrições médicas respeitantes a ansiolíticos, antidepressivos e opioides.

Purple Drank
As receitas, segundo a Judiciária, "seriam distribuídas entre membros do grupo que se encarregavam de proceder à sua dispensa em farmácias e utilizá-las na preparação de uma droga recreativa conhecida como Lean ou Purple Drank (um preparado à base de codeína e refrigerantes).

Esta substância causa dependência e é suscetível de conduzir a overdoses e à morte do consumidor.

O grupo explorava ainda acessos ao canal eletrónico da Segurança Social Direta, com recurso a credenciais usurpadas de funcionários, permitindo-lhes ganhar acesso a informação de pessoas individuais e coletivas relativas a prestações sociais, pensões, emprego e doença. Estes dados eram depois partilhados em fonte aberta ou vendidos a terceiros.

Cobravam alegadas dívidas
Pelo menos, desde abril de 2023, o grupo passou também a dedicar-se à disseminação massiva de campanhas de Spam, expedindo milhares de sms para destinatários indiscriminados, utilizando para o efeito bases de dados constantes de leaks, advertindo para a existência de pretensas dívidas em nome de empresas como EDP, CTT, Endesa, GALP, entre outras. 

No corpo das mensagens apelavam à liquidação dos valores com recurso ao sistema de pagamento de serviços, com entidade e referência geradas pelo grupo, lesando um número indeterminado de vítimas em dezenas de milhares de euros.

Aos arguidos é ainda associada à realização de chamadas para as vítimas (pessoas individuais ou coletivas) e mesmo para as autoridades públicas ou serviços de emergência com recurso a técnicas de spoofing (mecanismos que alteram o identificador do número chamador, permitindo que o visor do telefone da vítima apresente o número pretendido pelo cibercriminoso, incluindo o 112) ou contactos de forças de segurança, muitas vezes para ativar serviços de socorro.

Os créditos da atividade criminosa eram branqueados com recurso à realização de apostas online, aquisição de criptoativos, artigos de luxo e material eletrónico e de telecomunicações para uso dos arguidos e revenda.

Foram detidos três suspeitos e realizadas 21 buscas domiciliárias, tendo sido apreendido material informático.