BRASÍLIA – A mensagem SMS usada para tentar roubar dados de funcionários do governo com acesso ao sistema de pagamentos da União veio do mesmo número que já aplica uma série de golpes parecidos relacionados ao Pix, ao programa Bolsa Família e a empréstimos bancários.
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) foi alvo de ataque. O Estadão identificou mais de R$ 15 milhões em dinheiro público desviados para contas abertas em nome de empresas e pessoas físicas, incluindo beneficiários de programas sociais. A suspeita é que houve roubo de senhas, CPFs, CNPJs e chaves Pix para efetuar os desvios.
Leia mais
Conforme a reportagem revelou, usuários do Siafi, incluindo funcionários do governo e do Congresso Nacional, receberam uma mensagem SMS no dia 8 de abril com um link fraudulento em seus celulares. A mensagem trazia o nome do servidor, o CPF e uma suposta mudança de acesso ao sistema.
O SMS foi identificado como uma tentativa de roubo de dados e pode ter sido a origem dos desvios praticados. No dia seguinte, todos foram orientados a alterar suas senhas e reportar o ocorrido.
O número que enviou a mensagem é o mesmo recebido por vários servidores – e é o mesmo que já tentou aplicar outros golpes na praça, como o golpe do Pix, do Bolsa Família e de empréstimos bancários.
Nesse tipo de ataque, criminosos enviam links para o celular das pessoas falando que elas precisam atualizar os dados para não perder acesso à conta ou ao benefício do programa social do governo. Há dezenas de reclamações registradas na internet e em órgãos de defesa do consumidor.
O Estadão identificou desvios que somam R$ 15,2 milhões entre março e abril. O dinheiro foi desviado do Tribunal Superior Eleitoral (TSE) e do Ministério da Gestão e da Inovação em Serviços Públicos. O recurso serviria para pagar duas empresas de tecnologia, incluindo o Serpro (Serviço Federal de Processamento de Dados), que pertence ao governo a presta serviços para esses órgãos. O Serpro também é responsável pela gestão da tecnologia do Siafi.
Mais de R$ 10 milhões foram desviados depois que o governo já sabia do ataque e da tentativa de roubo de acesso ao Siafi. A Secretaria do Tesouro Nacional afirma que houve roubo de acesso de usuários específicos e que a segurança do sistema ficou intacta. Depois dos desvios, o governo aumentou as exigências para acesso, como certificado digital expedido pelo Serpro e cadastro por reconhecimento facial.
O caso está sendo investigado pela Polícia Federal, pela Abin, pelo Banco Central e pelo Tribunal de Contas da União – que apuram os valores desviados, possíveis falhas no sistemas e a autoria do ataque. Até o momento, só há informação de R$ 2 milhões recuperados do total de desvios, mas a quantia pode ser maior.
Analistas ouvidos pelo Estadão dizem que o Siafi poderia estar mais protegido de acessos fraudulentos se fossem adotadas pelo governo mais práticas recomendadas por especialistas de segurança de informação.
Procurada, a Secretaria do Tesouro Nacional não se pronunciou. O Ministério da Fazenda direcionou a pergunta sobre a segurança do Siafi para o Ministério da Gestão, responsável pelos serviços de tecnologia do governo, mas o órgão também não se posicionou.
