A recente invasão ao celular do ministro Sérgio Moro continua — naturalmente — causando polêmica. E, em paralelo às discussões sobre a legitimidade de tal ato para fins jornalísticos, existem os debates sobre as técnicas utilizadas pelo hacker para obter acesso ao Telegram do ex-juiz da Operação Lava Jato. Várias hipóteses foram lançadas: comprometimento físico ao aparelho, exploração de alguma vulnerabilidade inédita (zero day) ou até mesmo uma complexa campanha de engenharia social.
Que nada. Ao que tudo indica, o método empregado foi muito mais simples. E, o pior de tudo: você também está suscetível a ele.
A Polícia Federal afirma o responsável pela manobra teria se apropriado dos códigos de verificação enviados pelo Telegram no momento em que o usuário tenta sincronizar a sua conta com o Telegram Web. Ao fazê-lo, o mensageiro permite que o internauta solicite o token de autenticação por ligação de voz, efetuando uma chamada de áudio gratuita ao número cadastrado. Caso você não atenda, uma gravação contendo esse código é salvo em sua caixa postal.
E é aí que está o pulo do gato — todas as operadoras brasileiras (Vivo, TIM, Claro, Nextel e Oi) permitem, por padrão, que você acesse sua caixa postal ao simplesmente ligar para o seu próprio número, sem precisar informar senha alguma. No caso, os criminosos teriam feito tal solicitação ao Telegram e, em seguida, bombardeado o telefone das vítimas com chamadas aleatórias, forçando que o token fosse gravado no voicemail.
Em seguida, bastou aplicar a técnica de spoofing para clonar a linha telefônica do ministro (usando um serviço de VoIP, que permite editar o número de origem) e efetuar uma ligação “para si mesmo”, obtendo acesso ao token. Visto que Moro não possui autenticação dupla configurada em seu Telegram, perfil foi copiado com sucesso para o computador dos invasores. Fim.
Prisão dos supostos envolvidos
Seguindo os rastros deixados pelas operadoras utilizadas ao longo dessa manobra (BRVoz e Datora Telecomunicações), a Polícia Federal, em uma operação convenientemente batizada de Spoofing, prendeu quatro suspeitos de integrar o grupo responsável pela invasão. As prisões ocorreram em São Paulo, Araraquara e Ribeirão Preto. Apontado como “líder da quadrilha”, um dos detidos foi Walter Delgatti Neto, de 30 anos, que já foi indiciado anteriormente por crimes de estelionato.
Como se proteger?
O ideal é definir uma senha inédita para acessar a sua caixa postal — cada operadora possui um procedimento próprio, logo, é bom conferir o procedimento com sua provedora. Além disso, lembre-se sempre de manter a autenticação de dois fatores ativa, caso todo o resto dê errado.
Fonte: InfoMoney, G1, Folha de S. Paulo