A Lusa Verifica detetou uma rede com quase 2.200 páginas enganosas que visam Portugal e mais de 90 países, sobretudo africanos, fazendo-se passar por governos, empresas e entidades como a OMS e a UNICEF.

No total, foram encontrados e analisados 2.197 endereços, dos quais 790 já estavam inativos, cerca de 430 por apresentarem algum tipo de erro técnico e mais de 360 por já terem sido removidos.

Os 'sites' enganosos foram criados por pelo menos 68 perfis no Blogger, plataforma da Google usada para criar e publicar 'blogues' e páginas na Internet, e por cinco contas no GitHub, uma plataforma de alojamento de código-fonte que pertence à Microsoft, mas cujas páginas falsas incluem código-fonte relacionado com o Blogger.

Dos 68 perfis identificados no Blogger, 55 estavam ativos e públicos, alguns desde 2016, cinco estavam ativos mas privados e oito terão sido eliminados pela plataforma, mas foi possível encontrar registos arquivados.

Segundo os dados recolhidos e também arquivados pela Lusa Verifica ao longo de várias semanas, a rede recorre sobretudo a falsas ofertas de emprego, com cerca de 480 páginas, ofertas de dados móveis, com mais de 300, e alegados subsídios ou outros apoios financeiros, com cerca de 140 páginas.

Foram identificadas também páginas falsas sobre outros temas como bolsas de estudo, respostas de testes escolares, pedidos de visto, oferta de computadores e telemóveis e conteúdo adulto, geralmente partilhadas através do Facebook e de redes fechadas como o WhatsApp.

Entre os conteúdos identificados há ainda falsas petições atribuídas à Change.org, plataforma online de petições públicas, sobretudo sobre política nigeriana, mas também sobre o conflito na Palestina.

Algumas dessas páginas afirmavam que Bola Tinubu, Presidente da Nigéria e vencedor das eleições de 2023, "seria detido quando a petição atingisse 500.000 assinaturas" permitindo que Peter Obi, candidato que ficou em terceiro lugar, se tornasse Presidente.

Outra, dirigida ao Quénia, apelava ao fim da "má governação" e à mobilização dos jovens.

Um dos 'sites' analisados fez-se passar por um portal de correção de dados da Comissão Nacional de Gestão de Identidade (NIMC), entidade responsável pelo sistema de identificação nacional da Nigéria, com a promessa de corrigir dados como nome, morada, número de telefone, género e data de nascimento.

Depois do preenchimento desses dados pessoais, a página dizia que o pedido tinha sido recebido e que, para ser aprovado, o utilizador teria de partilhar a ligação com "cinco grupos ou 15 amigos no WhatsApp", a aplicação de mensagens instantâneas da Meta.

No final dos processos de registo, que a Lusa Verifica testou em dezenas de páginas, praticamente todas remetiam para lojas 'online', 'sites' alegadamente de instalação de um navegador de internet, a subscrição de serviços pagos em operadores de telecomunicações ou outros destinos suspeitos potencialmente maliciosos, alguns impedidos pelos antivírus.

A maioria das páginas falsas detetadas visava países africanos, sendo a Nigéria o país com mais registos, com cerca de 170, seguindo-se a África do Sul, com perto de 70, mas também há casos na Ásia, na América do Sul e na Europa.

Entre os países lusófonos, Angola surge com cerca de 20 registos, Moçambique com 14, Guiné-Bissau com seis e Portugal com três.

As páginas fazem-se passar por entidades públicas, organizações internacionais, empresas e figuras públicas, incluindo Institutos Nacionais de Estatística, Coca-Cola, Amazon, Samsung, Nestlé, MTN, Banco Mundial, Organização Mundial da Saúde (OMS), Fundo das Nações Unidas para a Infância (UNICEF) e Organização das Nações Unidas (ONU).

A rede também usou nomes de figuras conhecidas, como o cantor nigeriano 'Davido' e o empresário Obi Cubana, além de referências a comissões eleitorais de 27 países, incluindo a Comissão Nacional de Eleições (CNE) de Portugal, tema analisado numa verificação de factos da Lusa Verifica.

Nem todos os conteúdos com referências portuguesas tinham Portugal como destino. A investigação encontrou páginas que usavam nomes de empresas portuguesas, como a Ferpinta e a Mota-Engil, em esquemas de falsos recrutamentos dirigidos a Angola.

A análise da rede e de dezenas de páginas aponta para um aparente esquema de 'phishing' - recolha ou roubo de dados pessoais através de páginas falsas -, ou outro esquema fraudulento para gerar receitas através de publicidade.

A pedido da Lusa, o Centro Nacional de Cibersegurança (CNCS) analisou um levantamento preliminar efetuado pela Lusa Verifica e concluiu que as páginas apresentam "padrões técnicos transversais" que apontam para uma infraestrutura partilhada entre vários 'sites' fraudulentos.

Apesar do perigo de 'phishing', potenciado pelo uso de links de redirecionamento que podem ter várias utilizações fraudulentas, a análise do CNCS concluiu que os dados pessoais introduzidos nos formulários disponíveis nas páginas não aparentam ser enviados aos burlões.

Segundo o relatório enviado, que se focou nas páginas das CNE, o esquema recorre à recolha de dados pessoais sem transmissão real ao operador, à partilha viral por WhatsApp e ao redirecionamento para páginas de publicidade, tudo com a utilização da imagem de entidades oficiais para reforço de credibilidade.

De acordo com o CNCS, os elementos recolhidos apontam para uma operação orientada sobretudo para "propagação viral", "geração de tráfego" e "potencial monetização publicitária", gerada através de uma "campanha de engenharia social com propagação assistida pela vítima".

O relatório refere ainda a reutilização de blocos de código em várias páginas, semelhanças na estrutura e na ofuscação, elementos que apontam para uma base técnica comum. Para o CNCS, o caso é compatível com uma campanha "coordenada ou semiestruturada".

A Lusa encontrou contactos associados a alguns dos perfis analisados, um deles com a identificação real de um jovem nigeriano, aos quais enviou pedidos de esclarecimento por email e WhatsApp, mas ainda não obteve respostas.

Também foi pedida uma reação à Google, dona do Blogger, empresa à qual foi enviada a lista integral de perfis identificados, incluindo os que estão em modo privado mas com informação acessível através de serviços de arquivo como o Wayback Machine, mas ainda não foram obtidas respostas nem os perfis foram eliminados.

Esta investigação da Lusa Verifica, divulgada hoje em parceria com o programa O segredo do Algoritmo, da RTP, resultou numa base de dados que será disponibilizada a organizações internacionais de verificação de factos para permitir novas investigações.