O sistema de administra\u00e7\u00e3o financeira do governo federal, o Siafi, usado na execu\u00e7\u00e3o de pagamentos, foi alvo de uma invas\u00e3o no m\u00eas de abril. H\u00e1 suspeita de que os autores do ataque conseguiram emitir ordens banc\u00e1rias e desviar recursos da Uni\u00e3o.<\/p>\n
A Pol\u00edcia Federal investiga o caso e atua no rastreio dos suspeitos com apoio da Abin (Ag\u00eancia Brasileira de Intelig\u00eancia).<\/p>\n
O Tesouro Nacional, \u00f3rg\u00e3o gestor do Siafi, implementou medidas adicionais de seguran\u00e7a para autenticar os usu\u00e1rios habilitados a operar o sistema e autorizar pagamentos.<\/p>\n
Segundo interlocutores que auxiliam nas investiga\u00e7\u00f5es, o sistema de autentica\u00e7\u00e3o de usu\u00e1rios sofreu um ataque, e gestores habilitados para fazer movimenta\u00e7\u00f5es financeiras tiveram seus acessos utilizados por terceiros sem autoriza\u00e7\u00e3o.<\/p>\n
As apura\u00e7\u00f5es indicam que os invasores conseguiram acessar o Siafi utilizando o CPF e a senha do gov.br usada pelos gestores e ordenadores de despesas para utilizar a plataforma de pagamentos.<\/p>\n
A suspeita \u00e9 que os invasores coletaram os dados sem autoriza\u00e7\u00e3o via sistema de pesca de senhas (com uso de links maliciosos, por exemplo). Uma das hip\u00f3teses \u00e9 que essa coleta se estendeu por meses at\u00e9 os suspeitos reunirem um volume consider\u00e1vel de senhas para levar a cabo o ataque.<\/p>\n
Outros artif\u00edcios tamb\u00e9m podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usu\u00e1rio, o que pode ter viabilizado o uso indevido do sistema.<\/p>\n
De acordo com as apura\u00e7\u00f5es preliminares, uma das tentativas de invas\u00e3o se deu no in\u00edcio de abril por meio do uso n\u00e3o autorizado de acessos pertencentes a gestores da C\u00e2mara dos Deputados.<\/p>\n
A fraude foi detectada porque o CPF do gestor utilizado para tentar emitir uma ordem banc\u00e1ria por meio do Pix (OB Pix) era o mesmo de quem fez a liquida\u00e7\u00e3o da despesa. Nas regras de administra\u00e7\u00e3o financeira federal, a liquida\u00e7\u00e3o e o pagamento precisam ser autorizados por gestores distintos.<\/p>\n
Al\u00e9m disso, apesar da possibilidade, a C\u00e2mara n\u00e3o adota como procedimento a execu\u00e7\u00e3o de pagamentos via Pix.<\/p>\n
Na ocasi\u00e3o, outro fator que dificultou a a\u00e7\u00e3o dos invasores foi o fato de que a OB Pix j\u00e1 estava desabilitada. Segundo os relatos, outra unidade gestora j\u00e1 havia sido alvo do mesmo tipo de ataque.<\/p>\n
Ap\u00f3s os epis\u00f3dios, o Tesouro Nacional comunicou aos gestores e ordenadores de despesa que o acesso ao Siafi passaria a ser feito apenas por meio do certificado digital.<\/p>\n
Mesmo assim, o governo detectou novas tentativas de invas\u00e3o com a utiliza\u00e7\u00e3o de certificados digitais emitidos por empresas privadas. O gestor do Siafi passou a exigir acesso com certificado digital emitido pelo Serpro, empresa p\u00fablica federal do ramo de tecnologia.<\/p>\n
O Siafi j\u00e1 havia sido alvo de uma tentativa de invas\u00e3o em 2021. Na \u00e9poca, o ent\u00e3o Minist\u00e9rio da Economia informou que medidas de conten\u00e7\u00e3o foram imediatamente aplicadas pela Pol\u00edcia Federal e que n\u00e3o houve danos ao sistema.<\/p>\n
A invas\u00e3o na ocasi\u00e3o foi do tipo \u201cransomware\u201d. Nessa modalidade de a\u00e7\u00e3o, dados da institui\u00e7\u00e3o atacada s\u00e3o coletados e pode haver bloqueio do sistema. Em seguida, os criminosos fazem cobran\u00e7a de uma esp\u00e9cie de resgate, com pedido de pagamento que pode ser em moedas digitais.<\/p>\n","protected":false},"excerpt":{"rendered":"
Foto: Reprodu\u00e7\u00e3o<\/p>\n","protected":false},"author":1,"featured_media":5476,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"fifu_image_url":"","fifu_image_alt":"","footnotes":""},"categories":[593],"tags":[4715,4716,1745],"class_list":{"0":"post-5474","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-policia","8":"tag-desvio-de-recursos","9":"tag-invasao-no-sistema","10":"tag-policia-federal"},"_links":{"self":[{"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5474"}],"version-history":[{"count":1,"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5474\/revisions"}],"predecessor-version":[{"id":5475,"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5474\/revisions\/5475"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=\/wp\/v2\/media\/5476"}],"wp:attachment":[{"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5474"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5474"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/balancotocantins.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}