Shelnick coordenou a investigação internacional, juntamente com a Polícia Judiciária, que levou ao desmantelamento de um grupo da máfia de leste, o QQAAZZ, especializado em lavar dinheiro de grupos cibercriminosos. A agente deu uma entrevista exclusiva à CNN Portugal
Quando se cruzou com o nome de Portugal numa investigação a um grupo de cibercriminosos, Samantha Shelnick nunca imaginou que iria coordenar, juntamente com a Polícia Judiciária, uma investigação internacional e que iam conseguir desmantelar o grupo QQAAZZ, ligado às máfias de leste. Um grupo que se dedicava ao branqueamento de capitais usando empresas e contas bancárias em terras lusas. A operação foi denominada “2BaGoldMule".
Como é que souberam da existência do Grupo QQAAZZ?
Aqui no departamento do FBI, em Pittsburgh, e com o conhecimento do nosso Ministério Público da Pensilvânia, tínhamos uma investigação relativamente a uma outra organização cibercriminosa, que usava "ghost malware". Olhando para os indícios e provas recebidas, as recolhidas através através de mandados, e doutras formas, percebemos que o QQAAZZ estava a fornecer serviços de lavagem de dinheiro para essa organização. O grupo cibercriminoso usava "ghost malware" para atacar empresas e indivíduos americanos.
Sabíamos que existiam. Podíamos ver através das provas que o QQAAZZ estava a fornecer um serviço àquele grupo especifico. Esse grupo era cliente deles e foi por isso que demos início a uma investigação.
Sabiam que Portugal era usado no esquema de branqueamento de capitais?
Não sabíamos que usavam Portugal. Soubemos do grupo através da outra investigação e depois acabámos por encontrar o grupo a publicitar os seus serviços de lavagem de dinheiro, usando 'mulas', em fóruns de cibercrime maioritariamento falados em russo. No entanto, vimos nos anúncios que Portugal era um dos países onde eles ofereciam os serviços. O que nos pareceu algo raro, porque na nossa experiência profissional, ligada a grupos cibercriminosos, nunca tínhamos visto o uso de contas ou meios em Portugal.
Mas eles também anunciavam outros países como o Reino Unido, Espanha, Alemanha. Aquele que nos pareceu diferente do que habitualmente esperaríamos ver foi Portugal.
Nem todos os elementos foram apanhados. Considera que mesmo assim a operação foi bem sucedida?
Esta operação foi um sucesso porque o grupo foi desmantelado. Alguns esconderam-se, mas isso significa que neste momento não estão a ajudar este grupo de cibercriminosos em particular. Por isso, podemos dizer com certeza absoluta que foi um sucesso.
Mas não só. Não posso falar por todo o FBI porque não conheço todas as investigações, mas falando com a policia portuguesa, com quem não trabalhamos frequentemente especialmente nestes casos de branqueamento de capitais, agora que estabelecemos esta relação, ela correu tão bem. Isso também é obviamente um sucesso e pode ajudar-nos no futuro neste tipo de investigações.
Essa ligação é muito importante?
É importante porque os cibercriminosos não agem dentro de fronteiras. Na verdade, há as fronteiras dos países, com as quais temos de lidar e ultrapassar. E nações soberanas com as quais temos de trabalhar. Nesta investigação, trabalhámos com outros países além de Portugal. Temos a Europol. Também trabalhámos muito bem com eles neste caso, mas noutros também. Acho que esse ponto de encontro serve para isso mesmo, para juntar países que mesmo não sendo membros da Europol, mas que sejam apenas visitantes, se juntem todos num sítio. Que façam reuniões produtivas. Com a covid foi mais difícil, mas antes tivemos muitas reuniões, devido a outras investigações de organizações cibercriminosas e é uma ajuda muito, muito grande.
Sente que as investigações, entre diferentes polícias, são feitas de formas diferentes?
Acho que é um pouco de ambos. Acho que as técnicas de investigação, o trabalho básico da policia é muito similar. Todos com quem trabalhei de Portugal tinham mais experiência do que eu e aprendi muito com esta experiência e com esse conhecimento. Ou seja, é semelhante em termos do bom trabalho de investigação. Quanto ao resto há diferenças. Aqui as leis são diferentes.
Uma das coisas que ajudou a nossa investigação foi que este grupo em particular usava empresas que tinham base aqui e que nos permitia iniciar um processo legal e o mesmo em Portugal, só que aí foi no caso dos bancos usados.
A habilidade da policia portuguesa em conseguir a documentação, fazer a análise que foi feita ao nível financeiro, foi fantástica... considerando que eram quase 300 contas bancárias abertas. É surpreendente o quão fantástico e o quão útil essa análise se revelou para o sucesso da investigação.
Nós provavelmente demoraríamos um pouco mais de tempo e teríamos mais trabalho a conseguir a documentação dos bancos porque as leis são diferentes. Mas todos trazem algo para cima da mesa. É um pouco dar e receber e trabalhar em conjunto, lidando com as diferentes leis, métodos investigativos, burocracias.
Ficou surpreendida com a informação que a Policia Judiciária tinha?
Depois de trabalhar com eles, não posso ficar surpreendida, porque esse é o tipo de trabalho, com qualidade, que eles fazem. Por isso, não é uma surpresa essa capacidade. Mas, inicialmente, devido às dificuldades que nós teríamos em reunir todos aqueles documentos, de forma rápida, isso foi um pouco surpreendente, mas fantástico. Foi tipo «já têm isto, já analisaram isto, já perceberam a rede das mulas de dinheiro» em Portugal. Foram fantásticos em alcançar esses objetivos.
Quantas vítimas identificaram nos Estados Unidos?
Nos Estados Unidos, e estou a ser conservadora, identificámos 20 vítimas. A maioria eram empresas. O grupo QQAAZZ preferia usar contas corporativas, porque era mais fácil realizar transferências de uma conta empresarial nos Estados Unidos para uma conta empresarial em Portugal.
Conseguiram chegar a mais elementos do grupo nos Estados Unidos?
Sobre o resultado da investigação nos Estados Unidos não posso falar muito, porque essa parte, o lado judicial, é competência do Ministério Público.
As vítimas recuperaram o dinheiro?
Quanto às vitimas, apesar de ter sido traumatizante para as empresas terem perdido aquele dinheiro, devido às nossas leis e politicas bancárias, foi possível para a maioria recuperar quase tudo.
O que destaca desta investigação?
É um bom exemplo de mais uma área do mundo subterrâneo do cibercrime onde podemos nos infiltrar. Estamos sempre à procura de formas para chegarmos ao mais importante como, por exemplo, o ransomware. Isto foi uma nova forma de destruir uma parte do que precisam. É certo que podem haver mais grupos a fazer o mesmo serviço, mas o QQAAZZ era um grupo muito significantivo. Alguns dos maiores e mais produtivos grupos cibercriminosos que vimos na ultima década usavam os serviços do QQAAZZ.
O mundo do cibercrime é um ecossistema. Há um grupo que fornece o branqueamento do dinheiro, há um grupo que fornece o spaming, há um grupo que fornece a encriptação do malware, há grupos que gerem as botnets. É um todo. E depois há os responsáveis, aqueles a quem queremos sempre chegar.
Um dos elementos do QQAAZZ foi extraditado para o Estados Unidos. Foi útil?
Ajudou a provar que estamos dispostos a ir atrás destes alvos, estejam eles onde estiverem. Isso mostra a outras mulas, ou responsáveis, que independentemente do nível em que estejam na organização, ou independentemente da organização da qual fazem ou fizeram parte, os Estados Unidos vão agir. E extraditar alguém da Europa de Leste não seria expectável. Faremos o que for necessário para parar estes grupos.
