Governo emite alerta urgente sobre invasão em sistema de pagamento

A Polícia Federal e a Agência Brasileira de Inteligência (Abin) estão conduzindo uma investigação sobre uma violação feita por crackers ao Siafi, o sistema de pagamentos do governo federal.

Há suspeitas de que os criminosos tenham operado pela internet para desviar fundos para contas pessoais, usando ordens de pagamento para transferir os valores para contas não autorizadas.

Após a invasão ocorrida neste mês, o Tesouro Nacional, responsável pela gestão do sistema, implementou medidas adicionais de segurança para criar camadas de proteção.

Como aconteceu a violação ao Siafi?

As investigações iniciais sugerem que os invasores usaram certificados dos administradores do sistema para emitir comandos não autorizados.

Os hackers conseguiram acesso às contas do gov.br dos administradores do Siafi, incluindo suas senhas, e usaram essas informações para acessar os serviços e autorizar pagamentos.

As credenciais teriam sido obtidas por meio de ataques de phishing, nos quais os criminosos enviam iscas, como links de páginas falsas, para obter os dados de suas vítimas.

Uma das possibilidades é que páginas falsas, que imitavam a aparência dos sites oficiais do governo, tenham sido utilizadas para enganar os servidores públicos. Os dados teriam sido coletados ao longo de meses, de forma discreta, até que fossem obtidas credenciais suficientes para um ataque em grande escala.

Pix

Em uma das tentativas, os crackers teriam feito uma transferência via Pix, que é instantânea. No entanto, o sistema detectou que o CPF usado como chave Pix para o pagamento era o mesmo do destinatário, o que é proibido pelas regras do governo. Como resultado, o Tesouro Nacional começou a exigir o uso de certificado digital.

Mesmo com essa medida, foram identificadas tentativas de invasão usando certificados digitais emitidos por empresas privadas. Por isso, a regra foi atualizada para exigir o uso de certificados emitidos pelo Serviço Nacional de Processamento de Dados (Serpro).