escrito por Assessoria Igor
Os criminosos que invadiram o sistema de administração financeira do governo federal, o Siafi, usaram os alertas emitidos pelo próprio Tesouro Nacional para adaptar suas estratégias de ação e seguir fraudando acessos e pagamentos da União.
Documentos obtidos pela Folha mostram sucessivas tentativas do órgão, que é o gestor do sistema, para coibir uma escalada de ataques dos invasores aos mecanismos de autenticação do Siafi.
Em 8 de abril, às 11h42, a coordenação-geral de Sistemas de Informática do Tesouro Nacional disparou um comunicado aos gestores financeiros e ordenadores de despesas para informá-los sobre a exigência de certificado digital para acessar o Siafi por meio do gov.br, “por motivo de segurança”.
A medida era uma tentativa de coibir a ação dos fraudadores, que se valeram de credenciais válidas de servidores no gov.br para acessar o Siafi e tentar movimentar ilegalmente recursos da União.
No dia seguinte, 9 de abril, às 9h03, a área disparou um novo comunicado, com o título “Informe de Segurança no Siafi – Urgente”.
O texto era um alerta de que criminosos estavam se valendo do comunicado anterior para disparar mensagens de texto (SMS) a usuários do Siafi com um link malicioso e, assim, capturar novas senhas de acesso.
“Desde ontem à noite foram identificadas inúmeras mensagens de texto (SMS) direcionadas a usuários do Siafi, com os seguintes dizeres: ‘Informamos que a partir de 08/04, o uso do certificado digital será obrigatório, acesse (…)’. Esta mensagem é uma tentativa de roubo das credenciais dos usuários (phishing). Pedimos que não clique nesse link e em hipótese alguma utilize sua senha do Siafi em qualquer site ou serviço fora do Siafi”, diz o documento.
O Tesouro também orientou que servidores que tivessem caído no golpe trocassem sua senha imediatamente e reportassem o ocorrido no site de atendimento da plataforma, em uma categoria específica chamada “Reportar tentativa de roubo de senha Siafi (phishing)”.
O governo ainda precisou fazer um esforço de emissão de certificados digitais para servidores que ainda não tinham a ferramenta e eram responsáveis pelo pagamento de despesas obrigatórias, que não poderiam ser adiadas.
Em 8 de abril, o setor de contabilidade do Ministério da Educação definiu como prioritária a emissão de certificados para esses ordenadores de despesa e gestores financeiros. “No pedido de emissão de certificado por meio do canal acima disponibilizado, deverão ser informados os dados do pagamento que não pode ser adiado, inclusive amparo legal da despesa obrigatória e valores”, afirma o comunicado.
Os documentos obtidos pela reportagem mostram ainda que, em 17 de abril, às 12h09, o Tesouro Nacional adotou novas medidas de segurança, o que mostra um intervalo de quase 10 dias entre as ações.
Além do uso do certificado digital, o governo informou que as assinaturas de ordem de pagamento só seriam autorizadas quando o acesso for feito também com habilitação de verificação em duas etapas, na qual o acesso gera um código de segurança no aplicativo do gov.br, que deve ser informado pelo usuário para concluir o processo de autenticação.
Dois dias depois, em 19 de abril, às 20h05, a coordenação-geral de Contabilidade do Tesouro Nacional comunicou a exclusão de gestores que ainda não tinham habilitado o duplo fator de autenticação.
“Verificou-se que muitos gestores (ordenadores de despesa e gestores financeiros, titulares e substitutos) ainda não efetuaram a ativação do 2FA [duplo fator de autenticação], o que se apresenta como uma vulnerabilidade para tais contas, de maneira que esta STN decidiu excluir hoje o acesso ao Siafi de todos esses gestores”, diz o comunicado.
Como mostrou a Folha, a exigência de certificado digital também foi burlada pelos criminosos, que conseguiram se valer dos dados de servidores para falsificar certificados de empresas privadas em nome deles.
Por isso, desde a última segunda-feira (22), o governo exige o acesso por meio de certificado digital emitido pelo Serpro, empresa pública federal do ramo de tecnologia.
O governo também criou novos perfis de acesso para transações envolvendo ordens bancárias por meio do Pix (OB Pix), instrumento preferencial utilizado pelos invasores para desviar os recursos.
Os usuários que antes podiam autorizar a emissão da OB Pix perderam esse privilégio e precisaram passar por um processo de atualização do cadastro.
“Alertamos, ainda, que os novos perfis deverão ser liberados de maneira mais restrita, ou seja, não deverão ser incluídos no perfil de usuários que não desenvolvam atividades relacionadas às mencionadas transações”, diz o comunicado.
A invasão ao Siafi foi relevada pela Folha. Em nota, o Tesouro Nacional, confirmou a “utilização indevida de credenciais obtidas de modo irregular” e disse que “as tentativas de realizar operações na plataforma foram identificadas”. O Tesouro afirmou ainda que as ações “não causaram prejuízos à integridade do sistema”.
ENTENDA O CASO
O que é o Siafi?
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.
É por meio dele que o governo realiza o empenho de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das dotações orçamentárias via emissão de ordens bancárias.
Quem usa o Siafi?
Gestores de órgãos administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mista que estiverem contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.
O que está sob investigação?
Invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos.
Fonte: Folha de S. Paulo
www.contec.org.br