O Sistema Integrado de Administração Financeira do Governo Federal (Siafi) poderia estar mais protegido de acessos fraudulentos, como os ocorridos em abril, se fossem adotadas pelo governo mais práticas recomendadas pelos especialistas de segurança de informação.
O programa, que serve para pagar servidores públicos, fornecedores e efetuar transferências oficiais para Estados e municípios, por exemplo, não tinha verificação em duas etapas. Isso funciona quando um acesso é feito por meio de senha e depois confirmado por token recebido em telefone móvel ou por meio de confirmação em outro aplicativo.
Sem esse tipo de proteção teria bastado aos fraudadores aplicar a técnica conhecida como “phishing” (pescaria, em inglês). Ao enviar mensagens por SMS para os telefones de servidores públicos com o acesso ao sistema, eles conseguiram obter as suas senhas de acesso. Em abril, funcionários do governo receberam texto com o seu nome, o número de CPF e um link para atualização de dados. Quem clicou no link, caiu no golpe.
Alguns desses servidores eram gestores e ordenadores de despesas, com permissão de realizar e alterar pagamentos na plataforma. A única proteção, além da senha, era a necessidade de o acesso ser feito mediante certificado digital. Agora, depois da falha de segurança, esse certificado precisa necessariamente ser emitido pelo Serpro, a empresa de tecnologia da informação do governo federal, e não pode ser fornecido por outras empresas privadas que também emitem a assinatura digital, o que antes era admitido, e a qual era facilmente obtida pelos fraudadores.
“Em tempos passados, o uso de usuário e senha era considerado suficiente. Porém, com o advento dos certificados digitais, mesmo com a assinatura de termos de intransferibilidade, a negligência, o descaso ou a falta de conscientização resultaram em compartilhamento inadvertido entre profissionais desses certificados digitais”, afirma o vice-presidente de serviços da empresa de cibersegurança Blockbit, Guilherme Fontes.
“Quando um caso como esse ocorre, podemos dizer que é resultado de uma sequência de ações indevidas. É imprescindível, por exemplo, investir na conscientização dos usuários dos serviços digitais. Não basta apenas investir em produtos de segurança.”
Segundo uma pesquisa anual da empresa de segurança de informação Trend Micro, as detecções de casos de phishing e de envio de links maliciosos para coletar dados dos usuários caíram 27% pelo mundo, em 2023. Esse dado contrasta com o crescimento geral, no ano passado, de outras técnicas de crimes cibernéticos, como investidas via arquivos contaminados, com expansão de 35%, e de software maliciosos mandados por e-mail (350%).
Isso não significa que a prática de phishing, provavelmente utilizada para ganhar acesso ao Siafi, esteja fora de moda por parte dos criminosos. Segundo os especialistas, os fraudadores têm atuado de forma mais focada. “Eles adotam a estratégia de atingir menos alvos, mas com maior potencial de ganho financeiro”, diz Cesar Candido, diretor geral da Trend Micro no Brasil. “Eles têm escolhido melhor as vítimas. Estudam bastante os alvos e sabem exatamente quem querem atacar e por que querem atacar.”
Para o consultor de segurança Rogério Sachett, líder técnico de gestão de acessos da empresa Qriar Technologies, “é importante partir de um pressuposto que nenhum sistema é inviolável ou 100% seguro”. “É fundamental mitigar os riscos, aumentar o nível de defesa de informações prioritárias e ações críticas. Um dos elos mais fracos na cadeia de segurança de um sistema é o ser humano. Ele deve ser instruído e educado para evitar cair em ataques de engenharia social”, diz.
Leia também
Uma vez que as técnicas dos fraudadores estão cada vez mais sofisticadas, a melhor forma de evitar problemas como esses, segundo o especialista, seria adotar diversas estratégias. Algumas delas seriam a varredura constante de identidades privilegiadas com acesso, revisões de acesso mais frequentes, análise de risco em todas as fases de autenticação e de autorização para todos os usuários, e conceder o mínimo de autorização a cada acesso.
“A segregação de funções também evita que, por exemplo, a pessoa que aprova o pagamento, não seja a mesma que efetua o pagamento”, afirma Sachett. “Quanto ao uso do PIX para fazer os pagamentos, o que pode ser feito é melhorar os mecanismos de validação das chaves PIX, durante o seu cadastro. Por exemplo, usando mais de uma verificação, como e-mail e telefone. Mas lembrando que esses mecanismos sempre estarão suscetíveis ao usuário.”
