Os suspeitos de hackear celulares do ministro da Justiça e Segurança Pública, Sergio Moro, e de outras autoridades capturaram o código de acesso enviado pelo aplicativo de mensagens Telegram aos seus usuários para sincronização com o serviço Telegram Web — usado no computador. Dessa forma, conseguiram abrir os dados das vítimas nas suas próprias máquinas.
Segundo investigação da Polícia Federal, para aplicar o golpe os criminosos se aproveitaram de uma fragilidade comum a todas as operadoras telefônicas. Quando uma pessoa liga para ela própria, não se exige senha para ouvir recados na caixa postal. Foi esse o canal para se chegar às informações.
O Telegram permite que seus usuários solicitem o código de acesso ao serviço na web por meio de uma ligação telefônica. Na sequência, faz uma chamada de voz e informa o número ao cliente.
A estratégia dos hackers foi a de, primeiro, telefonar várias vezes para os celulares-alvo, fazendo com que as linhas ficassem ocupadas. Dessa maneira, as ligações do Telegram foram destinadas às caixas postais.
A partir daí, eles clonaram, com o uso de tecnologia, os números de Moro e das demais autoridades. Assim, simularam telefonemas das vítimas para elas próprias, acessando o recado deixado pelo aplicativo.
Para realizar múltiplas ligações a Moro e demais vítimas, os suspeitos usaram serviço de voz sobre IP, o chamado VOIP. Essa tecnologia permite editar o número de origem de um telefonema quando o sistema de identificação de chamadas está ativo. Foi o caso de Moro e das demais autoridades. Os investigadores seguiram os rastros dos telefonemas que foram feitos para o celular de Moro.
Assim, descobriram primeiro que a operadora Datora Telecomunicações transportou as chamadas destinadas ao celular do ministro após recebê-las por meio da tecnologia VOIP, serviço que, por sua vez, é prestado pela microempresa BRVoz.
Os arquivos da companhia, obtidos por meio de ordem judicial, mostraram que todas as chamadas para o ministro e para as demais autoridades partiram de um único usuário registrado. Ao todo, foram 5.616 em que o número de origem era igual ao de destino.
Pelos endereços de protocolo da internet (IPs) atribuídos aos aparelhos que se conectaram ao sistema da BRVoz para fazer as ligações, foram identificados os locais de residência de Danilo Cristiano Marques, Suelen Priscila de Oliveira, Walter Delgatti Neto e Gustavo Henrique Elias Santos, presos na terça (23).
Para demonstrar os vínculos entre eles, a PF apresentou ainda um histórico de possíveis crimes que teriam praticado anteriormente.
As informações sobre o suposto esquema de hackeamento das contas constam da decisão do juiz Vallisney de Souza Oliveira, da 10ª Vara Federal do Distrito Federal, que autorizou as prisões, e de parecer do Ministério Público Federal.
Além das prisões temporárias (de até cinco dias), o magistrado deferiu as quebras dos sigilos telemático (de comunicações eletrônicas) e bancário dos suspeitos. A PF ainda vai aprofundar investigações sobre eventuais motivações políticas e sobre possíveis contratantes das invasões.
"Faz-se necessário realizar o rastreamento de recursos recebidos ou movimentados pelos investigados e de averiguar eventuais patrocinadores das invasões ilegais dos dispositivos informáticos (smartphones)", justificou Oliveira em sua decisão.
A investigação começou após pedido de Moro, que reportou à PF as tentativas de invasão de seu celular, o que culminou com a inabilitação do aplicativo Telegram no aparelho por ele usado.
Segundo investigadores, a apuração mostrou que o celular do procurador Deltan Dallagnol, coordenador da força-tarefa da Lava-Jato em Curitiba, também foi alvo do grupo. O caso dessas autoridades está sendo tratado em inquérito aberto pela Polícia Federal no Paraná.
De acordo com especialistas ouvidos pela reportagem, o uso de autenticação em dois fatores impossibilitaria o acesso às mensagens por parte dos hackers usando esse método.
Com o recurso, além do token enviado por mensagem, o Telegram passa a exigir uma senha pré-determinada pelo usuário. Por isso, mesmo em posse do código que os suspeitos teriam roubado da caixa de voz, não teriam acesso direto ao app.
— É o que sempre falo, ative a autenticação em dois fatores antes de qualquer coisa — diz Igor Rincon, especialista em cibersegurança da Cipher.
Segundo Fabio Assolini, pesquisador de segurança da Kaspersky Lab, apps como WhatsApp e Telegram são vulneráveis a ataques porque usam o número de telefone como forma de unir uma pessoa a sua conta.
— Esses programas de comunicação têm uma falha de design. Enquanto não tratarmos de forma correta, vão continuar existindo casos assim. Números de telefone não foram criados para te dar acesso a uma plataforma — alerta.