Operação Spoofing: o caminho da PF até os suspeitos

A investigação da Polícia Federal para descobrir os responsáveis pela invasão dos celulares do ministro Sergio Moro e de outras autoridades mostrou como os quatro suspeitos presos nesta terça-feira agiram para acessar as mensagens trocadas por seus alvos por meio do Telegram. Aproveitando-se de uma vulnerabilidade no sistema das empresas de telefonia, os invasores tiveram acesso ao código enviado para acesso às mensagens a partir de uma versão do aplicativo para computadores.

Para acessar essa versão desktop do Telegram, o usuário precisa solicitar o tal código, que é enviado por meio de uma ligação telefônica. Era essa, segundo a polícia, a primeira de uma sequência de etapas seguidas pelos hackers até finalmente terem acesso ao teor das mensagens.

De partida, os invasores solicitavam o acesso à versão desktop do Telegram em nome dos alvos. Faltava, a partir daí, ter o código para concluir a operação. Aí começava a segunda etapa da estratégia. Para evitar que as vítimas atendessem à chamada, primeiro eles faziam seguidas ligações para elas. Com o telefone ocupado, a chamada do Telegram com um áudio contendo o código ia parar diretamente na caixa postal do aparelho.

O passo seguinte consistia em ter acesso à caixa postal dos alvos para ouvir o áudio com o código. Eles se valiam, nessa etapa, de uma fragilidade das operadoras de telefonia conhecida por poucos. Usando um sistema de ligações por VOIP, em que as chamadas são realizadas por meio da internet, eles conseguiam mimetizar o número dos alvos e, assim, disparar uma ligação para os aparelhos que queriam invadir: era como se o telefonema estivesse partindo de um número igual ao da vítima.

Quando a ligação é proveniente de um número idêntico, o sistema das empresas telefônicas direciona a ligação para a caixa postal do telefone. É como se o próprio dono da linha estivesse a ouvir as mensagens de áudio deixadas na secretária eletrônica do aparelho. Assim, do outro lado da linha, os hackers conseguiam ouvir o código enviado pelo Telegram -- e que havia ido parar na caixa postal. Com o código em mãos, eles podiam finalmente completar o acesso ao Telegram dos alvos na versão para desktop e, assim, podiam ler as mensagens guardadas.

Para saber quem acessou esses códigos, a PF mapeou todas conexões das ligações recebidas por Sergio Moro, que no início do mês passado havia percebido uma tentativa de invasão de seu telefone celular. A partir desse rastreamento, os investigadores chegaram a uma companhia que "transportou" as chamadas, a Datora Telecomunicações, e, depois, à empresa Megavoip, onde o grupo contratou o serviço VOIP.

Para chegar à identidade dos invasores, a PF pediu à Megavoip os dados dos responsáveis pelas ligações efetuadas para o celular de Moro no dia da tentativa de invasão. Em um primeiro momento, o registro apontou para uma pessoa de nome Anderson José da Silva. Mas a PF seguiu investigando e buscou os IPs, uma espécie de identidade eletrônica, dos computadores usados para efetuar os telefonemas. Com isso, foi possível chegar ao endereço físico dos suspeitos e, assim, identificá-los. Agora os policiais apuram se há outros envolvidos na trama e se houve pagamentos ao grupo pelo serviço.

Para o juiz Vallisney de Souza Oliveira, há "fortes indícios de que os investigados integram organização criminosa para a prática de crimes e se uniram para violar o sigilo telefônico de diversas autoridades públicas brasileiras via invasão do aplicativo Telegram".