Como hackers tiveram acesso a conversas privadas de Sergio Moro?

O ministro da Justiça, Sergio Moro, poderia ter evitado a interceptação de suas conversas privadas no celular se tivesse tomado alguns cuidados básicos de segurança. Esse é o entendimento é de especialistas ouvidos pelo UOL Tecnologia, que analisaram o caso das conversas vazadas de Moro com o procurador da República e coordenador da Operação Lava Jato Deltan Dallagnol, publicadas neste domingo (9) em reportagens no site The Intercept.

A reportagem não deu muitos detalhes de como o conteúdo privado do ministro foi obtido. Informou apenas que conseguiu "mensagens privadas, gravações em áudio, vídeos, fotos, documentos judiciais e outros itens enviados por uma fonte anônima", que contatou o Intercept semanas atrás, "bem antes da notícia da invasão do celular do ministro Moro" na semana passada.

Além disso, as conversas não foram retiradas do WhatsApp, como seria de se esperar. Moro, Dallagnol e outras pessoas trocavam mensagens pelo app Telegram. A empresa, aliás, negou que seu app tenha sido vítima de "hacking" neste caso.

Vamos descartar, por enquanto, a tese de que algum dos integrantes do grupo tenha vazado as conversas. Diante dos indícios apresentados, os especialistas ouvidos acreditam que Moro, Dallagnol ou outros integrantes dos grupos de Telegram citados na reportagem do Intercept podem ter sido vítimas de um ataque hacker. O autor da invasão interceptou as conversas e as entregou ao veículo.

Outra coisa que podemos descartar é uma suposta fragilidade da segurança do Telegram. O app usa criptografia (assim como o popular WhatsApp), um recurso que embaralha o texto das mensagens, impedindo que elas sejam lidas durante o "trajeto" do emissor para o destinatário.

No formato "de ponta a ponta", apenas as pessoas nas "pontas" da conversa têm as "chaves digitais" capazes de desembaralhá-las --elas inclusive já chegam codificadas aos servidores. No Telegram, há duas opções de criptografia: a cliente-cliente, isto é, entre usuários (apenas na opção "chat secreto"), ou cliente-servidor, entre o usuário e o servidor do app (nos chats comuns).

Como o conteúdo vazou?

Teoria 1: SIM Swap

Existem outras formas de interceptar conversas tanto no Telegram quanto no WhatsApp. Um dos golpes mais conhecidos é o "SIM Swap" --e, se for para apostar em como o celular do Moro foi invadido, colocaríamos as fichas aqui.

Neste golpe, os hackers clonam temporariamente o cartão de operadora (SIM) da vítima. Isso pode ser feito com algum criminoso infiltrado na empresa telefônica ---como fez esta quadrilha em 2017.

Também pode ser feito por meio das chamadas táticas de engenharia social. Por exemplo: o criminoso sabe o número de telefone da vítima e alguns de seus dados pessoais (isso, muitas vezes, está disponível em bancos de dados vendidos na dark web). Então, o hacker liga para o call center se passando por você e convence a atendente a reabilitar a linha em um cartão SIM novo.

O passo a seguir é sequestrar as contas da vítima no WhatsApp e Telegram. Ambos usam o número de telefone para logar, e a senha é enviada via mensagem SMS. Por isso, como a vítima teve o chip clonado, o original já foi desabilitado a essa altura. Quem receberá a senha por SMS é o hacker, que consegue assim o acesso aos apps mensageiros.

Enquanto o invasor vai desbravando a conta invadida, o WhatsApp ou Telegram da vítima fica "zumbi", já que o chip não está mais habilitado.

"Mesmo se você for um usuário atento, há como invadir sem ser notado. O ataque pode ser de madrugada, por exemplo. E até você atentar ao SIM Swap, falar com a operadora e desfazer o problema, já se foram duas ou três horas", diz Alexandre Vasconcelos, diretor de operações da Sikur, empresa de soluções de cibersegurança.

A coisa fica ainda pior se a vítima faz backups das conversas em apps na nuvem. No WhatsApp, isso é feito via Google Drive (Android) ou iCloud (iOS). Nestes casos, seria preciso também que o invasor consiga descobrir como hackear as contas do Google e iCloud de alguma forma, além de usar um celular com o mesmo sistema operacional da vítima.

É importante frisar que as conversas do WhatsApp salvas na nuvem não estão criptografadas, porque a criptografia já foi desfeita quando a mensagem foi lida.

No Telegram, as conversas comuns são guardadas na nuvem da empresa dona do mensageiro. Em caso de invasão do celular, o hacker também consegue livre acesso a todos os backups que foram feitos automaticamente --ou seja, pode ler todo o seu histórico de mensagens de longa data. Só os chats secretos escapam disso, pois ficam armazenados apenas na memória dos celulares dos membros da conversa.

A justificativa do Telegram para isso é comodidade para os usuários. "Backups confiáveis são um recurso essencial para qualquer mensageiro de mercado de massa", diz.

Ainda fica a dúvida se a invasão ao celular de Moro, na semana passada, está relacionada com a suposta invasão que revelou as conversas ao Intercept, apesar de o site negar esse elo. De acordo com o Ministério da Justiça, na segunda invasão, os aplicativos de mensagens de Moro foram usados por seis horas. O ministro recebeu uma ligação do seu próprio número e atendeu, mas não havia ninguém do outro lado da linha. Depois foi informado de mensagens que estavam sendo trocadas em seu nome pelo Telegram. Essa sequência de fatos bate bastante com o SIM Swap.

Como poderia ser evitado? Tanto Telegram quanto WhatsApp já mantêm há algum tempo o recurso de verificação em duas etapas, ou em dois fatores. Use sempre o recurso, que pede uma senha, criada por você, toda vez que você precisar logar novamente no app. O hacker precisará saber a sua senha para acessar suas conversas, o que torna a invasão muito mais difícil.

• No Telegram vá em Configurações > Privacidade e Segurança > Verificação em Duas Etapas e sega os passos do app.
• No WhatsApp, vá em Configurações > Conta > Verificação em duas etapas (ou Confirmação em duas etapas) > Ativar, crie a senha e confirme.

Outra dica adiantamos acima: o Telegram tem um chat secreto, em que a criptografia é de ponta a ponta e as mensagens se autodeletam em um prazo determinado. Para usar, basta ir ao menu principal do Telegram e depois em "novo chat secreto".

"Isso dificulta bastante o acesso por hackers, que nesse caso encontrariam só os chats convencionais, ou por uma perícia, mesmo com as ferramentas de análise de memória que temos disponíveis", diz José Milagre, perito em crimes cibernéticos.

Teoria 2: invasão no computador

Uma particularidade do Telegram que o difere do WhatsApp é que sua versão web pode ser usada em mais de um aparelho ao mesmo tempo. No WhatsApp, você só consegue usar a versão Web sincronizada com o celular em um lugar.

Bastaria que o sistema operacional do computador ou tablet de uma só das pessoas do grupo de conversas de Moro e Dallagnol fosse invadido para que se abrisse uma janela para ver as conversas de todos os integrantes do grupo. Geralmente os sistemas Windows (PC) e Android (celulares e tablets) são os mais sensíveis a isso.

"Se você pegar o celular na loja e não instalar nenhum programa malicioso, incluindo o Telegram, a chance de 'hacking' é quase zero. O problema é quando o usuário instala coisas sem parar, não só no celular, mas também no computador", diz Álvaro Machado Dias, neurocientista, blogueiro do UOL e sócio do grupo de tecnologia Wemind.

Dias não vê o espelhamento em vários dispositivos como uma falha de segurança do Telegram, mas uma característica louvável do Telegram, que é baseado em software livre. "É diferente do WhatsApp, que não disponibiliza esse recurso pois depende da linha telefônica. O erro neste caso seria humano. É como discutir se a culpa de quem morreu no Everest foi dos equipamentos de segurança, quando na verdade foi da tomada de decisões do pessoal na rota", diz.

Como poderia ser evitado? Neste caso é o usuário que deve rever sua postura. Recomenda-se com frequência não clicar em links ou fornecer dados pessoais em sites ou emails suspeitos, pois estes podem ser uma tática de "phishing" para roubar credenciais ou dados da vítima. E só instalar programas e apps em fontes confiáveis, como Google Play, App Store ou sites oficiais das desenvolvedoras de software.

Outras possibilidades

Não podemos descartar outras teorias, ainda que com menores chances. Por exemplo, recentemente o WhatsApp foi alvo de uma vulnerabilidade inédita. O app permitia a instalação de um código espião por meio da função de chamada de voz. Ao ligar para o celular da vítima usando o aplicativo, mesmo que a ligação não fosse atendida, o código malicioso era instalado no aparelho.

Uma vez lá dentro, o sistema de espionagem passava a ter acesso a tudo o que a vítima fazia no celular. De mensagens, áudios e fotos compartilhadas no WhatsApp às câmeras. Se algo assim ocorresse, poderia dar, em teoria, acesso ao conteúdo do Telegram também.

Além disso, outra chance remota seria a criação de um chat fake do Telegram por parte do hacker, que passaria a coletar as informações remotamente ou com o aparelho em mãos. Mas as primeiras evidências não sugerem que tenha sido isso.

Também pouco provável, embora não impossível, é que um hacker muito habilidoso possa ter invadido os servidores do Telegram, direcionando o ataque ao acesso às conversas comuns das vítimas. Mas também é algo bem difícil, pois a empresa diz usar uma "infraestrutura distribuída" para guardar as conversas. Além disso, as chaves de decodificação capazes de dar acesso ao conteúdo "são divididas em partes e nunca são mantidas no mesmo lugar que os dados que elas protegem".

* Colaborou Marcelle Souza