Falha de segurança permitiu que criminosos usassem credenciais para acessar o Siafi, plataforma de pagamentos do governo federal; veja como a fraude foi possível
.jpg)
Cibercriminosos estão por trás de ataque ao Siaf — Foto: Pixabay
Um dos vetores mais comuns de ataques cibernéticos, o phishing foi a porta de entrada usada pelos criminosos que conseguiram invadir o Sistema Integrado de Administração Financeira (Siafi) e causar prejuízos de R$ 15 milhões. O método foi bem-sucedido a partir de uma ação de engenharia social, que garantiu o acesso a várias etapas da plataforma responsável pelo controle e a execução financeira do governo federal.
Especialistas ouvidos pelo GLOBO dizem que o "fator humano" foi fundamental para que o ataque acontecesse, o que foi a porta de entrada para os criminosos ao sistema. Eles ressaltam, no entanto, que mais camadas de proteção poderiam garantir uma proteção maior aos acessos do Siafi, de modo a evitar novas fraudes.
.jpg)
Polícia Federal deflagrou nesta quarta-feira operação contra suspeitos de fraude no Siafi — Foto: Divulgação/PF
O phishing (termo que remete à "pescaria" em inglês) é o nome para o método em que criminosos se passam por entidades confiáveis (como empresas ou governos) para obter informações pessoais dos usuários, como senhas e dados bancários. Um exemplo comum é o envio de e-mails ou SMS falsos se passando por bancos, com o pedido para que o cliente atualize dados em sites fraudulentos.
No caso do ataque contra o Siafi, os alvos foram escolhidos com precisão e a comunicação fraudulenta foi feita de forma personalizada para enganá-los, técnica chamada de engenharia social, que manipula a vítima.
Isso pode ser feito a partir da criação de sites falsos que reproduziam credenciais do governo, por exemplo. De acordo com a Polícia Federal (PF), a quadrilha usou o phishing para conseguir emitir certificados digitais, obter acesso a contas do Siafi e, então, autorizar os pagamentos indevidos.
Augusto Barros, diretor de Inteligência do Instituto de Defesa Cibernética (IDCiber), diz que o golpe "foi bem preparado" a ponto dos criminosos planejarem a invasão de diferentes credenciais para burlar a segregação de funções que existe no Siafi.
O mecanismo, que tem o intuito justamente de inibir fraudes, divide as responsabilidades de pagamentos entre diferentes usuários, o que torna mais difícil que uma única pessoa consiga manipular todo o processo de despesa.
— Os criminosos sabiam muito bem como realizar cada ação na plataforma e tinham alvos específicos. Eles conseguiram identificar quem eram os ordenadores e acumularam informações sobre eles, de maneira a construir formas de abordagem que eles não identificassem que era uma fraude. Vai além do phishing, é algo que a gente chama de spear phishing, que é personalizado — diz Barros.
.jpg)
Sede da Polícia Federal (PF) em Brasília — Foto: Brenno Carvalho/Agência O Globo
O especialista diz que o caso mostra uma falta de maturidade na cultura de cibersegurança, que envolve a padronização de práticas por todos em uma organização, para evitar a exposição de informações. Ele também avalia que os criminosos tinham conhecimento do funcionamento do Siafi para fazer com que os furtos fossem ocultados.
— Quem fez o ataque teve um grau de planejamento relevante para que ele funcionasse — diz Fabio Assolini, diretor da Kaspersky para a América Latina, que acrescenta que esse tipo de ataque não é exclusividade do governo brasileiro. — Na América Latina, inclusive no Brasil, o setor que é mais alvo de ataques cibernéticos é o governamental.
De acordo com a Polícia Federal, o grupo criminoso, para receber os valores desviados, também criou contas de "laranjas” que eram ocultadas por meio de instituições de pagamento e exchanges de criptomoedas para onde os valores desviados eram enviados. A prática tornou mais difícil a detecção da movimentação financeira ilegal.
Para Lucas Galvão, especialista em cibersegurança e CEO da Open Cybersecurity, o caso mostra que as credenciais para acesso ao sistema deveria contar com camadas adicionais de segurança e dupla validação, como fator biométrico, localização de GPS ou reconhecimento por voz:
— É preciso haver também ferramentas de segurança para o controle de acesso a links maliciosos, além de um trabalho de conscientização para os funcionários — acrescenta ele.
Um dos métodos para realização de ataques cibernéticos mais comuns, o phishing, além de usuários financeiros, tem como principais alvos setores públicos e financeiros, segundo a Kaspersky. Em 2023, em um intervalo de 12 meses, a empresa de cibersegurança registrou 286 milhões de bloqueios de phishing no país.
Fonte: O GLOBO
%2013.24.52_98d86c76.jpg)
.jpg)
.jpg)
.jpg)
