Começou assim: o FBI alertou a Polícia Judiciária (PJ) para as atividades em Portugal, de Sergey Gusev, um cidadão português de origem russa, nascido na “URSS”, administrador do “Verified Forum”, “uma plataforma digital de venda de dados de cartões de crédito furtados, software malicioso para ataques cibernéticos, intrusão em sistemas informáticos e furto de bases de dados de ordem civil e bancária”, lê-se no despacho de acusação emitido pelo Juízo de Instrução Criminal do Porto e a que o Expresso acedeu.
Uma equipa de inspetores norte-americanos viajou por isso a Portugal para colaborar na investigação da PJ, participando na busca domiciliar ao apartamento em Vila Nova de Gaia, onde o visado alugava um quarto. “A atividade do arguido era monitorizada há bastante tempo pelas autoridades norte-americanas”, justifica o documento sobre a intervenção do FBI que conseguiu situar o endereço IP do hacker e partilhou a localização com as autoridades portuguesas.
Foi detido em flagrante delito a 17 de maio de 2023 e interrogado dois dias depois. O Tribunal de Instrução Criminal do Porto decretou a prisão preventiva.
O processo
Há quatro anos que Gusev utilizava a conta “vbkrez” e “maybelater” para publicar mensagens no fórum, anunciando prestações de serviços, transações financeiras e transferências de criptomoedas. A acusação do Ministério Público descortina que Gusev era administrador de um mercado virtual russo, com existência na clear web, a camada superficial da Internet e acessível por todos, mas também, e sobretudo, na dark web, cujo acesso é limitado a quem conheça o endereço a consultar.
O luso-russo dedicava-se, em exclusivo, “à comercialização de conteúdos ilícitos de malware, de bases de dados de informação pessoal – “leaks” – e de meios de pagamento, designadamente de contas bancárias e de credenciais de cartões de crédito”. Segundo o despacho de acusação do Ministério Público, a plataforma tinha “como única finalidade servir o mercado negro de compra e venda de bens, artigos e dados obtidos ilicitamente, sendo as transações efetuadas em criptomoeda”.
A Polícia Judiciária confirmou a existência de, pelo menos, 207 publicações alusivas à comercialização de dados extraídos em Portugal, “suspeita referenciada pelas autoridades norte-americanas”. O hacker terá vendido dados de cartões de crédito de mil pessoas, sendo a maioria das vítimas portuguesas. “Assume especial relevância a gravidade dos ilícitos em causa, com sofisticação de meios empregues e com a referenciação de um número indeterminado de vítimas, na ordem do milhar, cidadãos portugueses e eventualmente de outras nacionalidades, cujos dados de identificação terão sido partilhados e disseminados na plataforma gerida pelo arguido”, indica o documento.
O prejuízo patrimonial das vítimas ainda não foi apurado.
O fórum de cibercrime é operacionalizado pela rede “Tor” que permite navegação anónima e cujo pirata utilizava, com o “desiderato de disseminar bens, artigos e dados informáticos de origem ilícita e obter elevada vantagem económica”. Apesar de Gusev ter obtido nacionalidade portuguesa, encontrava-se desempregado e isolado de grupos sociais ou familiares.
O famoso fórum
O Verified Forum, administrado através da sua residência em Vila Nova de Gaia, é um dos fóruns russos de cibercrime mais reputados entre essa comunidade digital. A plataforma tem “assumido uma posição de destaque na prestação de serviços delituosos para hackers, disponibilizando não apenas bens (ficheiros), como ainda serviços criminosos de ofuscação, nomeadamente de crypting - que manipulam e encriptam códigos maliciosos para os tornar invisíveis aos programas de antivírus e de VPN e de branqueamento, através de drops, serviço de reenvio de mercadorias adquiridas ilicitamente com credenciais de cartões de crédito capturadas”, lê-se no inquérito.
Sergey Gusev seria “o responsável pela administração e moderação da plataforma, controlando os detalhes financeiros da atividade ali desenvolvida, nomeadamente as percentagens e os valores cobrados pela intermediação”, adianta o despacho. Desde 2019, o “arguido assume a administração da infraestrutura técnica, controlando a égide da definição das regras que enformam a atividade dos utilizadores”.
A referida conta VBKREZ, gerida e utilizada pelo arguido, possuí privilégios de administração normalmente reservados a administradores e moderadores do site. Através dessa mesma conta surgem publicações que indiciam que o Verified Fórum cobra 5% pela garantia do serviço prestado.
O fórum opera como um garante entre o vendedor e o comprador dos bens ou dos serviços, e constitui um ponto de encontro e troca de experiências através de conversas interligadas entre piratas informáticos. As publicações e a publicidade da venda de cartões e de software malicioso, identificadas no equipamento apreendido pela PJ, “implicam o pagamento de taxas aos respetivos administradores do fórum em criptomoedas”.
Aquando da operação de busca dos inspetores, o suspeito encontrava-se a utilizar computador, com a App Telegram ligada e a conversação a decorrer em russo. Segundo o inquérito, a análise do computador “confirmou, de forma inequívoca, todas as suspeitas que deram origem à investigação”.
Apesar de o fórum funcionar através de servidores de fachada e sistemas operativos localizados fora de Portugal, apurou-se que era administrado remotamente pelo arguido “através de equipamentos eletrónicos acedidos em Portugal, designadamente em Vila Nova de Gaia”.
Milhares de euros em moeda e em criptomoeda
A Polícia Judiciária apreendeu um telemóvel da marca Samsung, uma pen USB da marca SanDisk com 128GB de capacidade, um computador fixo sem marca e os respetivos cabos. Os inspetores efetuaram “capturas de ecrã” relativas a “milhares de dados pessoais de diversos cidadãos portugueses”.
O valor pecuniário apreendido ao arguido (em numerário e criptoativos) permite também antecipar que o mesmo retira proventos elevados e periódicos dos ilícitos. Durante a apreensão dos bens do pirata informático, a carteira de criptomoeda “Electrum” possuía o equivalente a cerca de 17 mil euros, além de cerca de 2 mil escondidos na habitação e diversos criptoactivos Ethereum e Bitcoins que totalizavam cerca de 23 mil euros em moeda fiduciária.
