Invasores do sistema de pagamentos da administração federal, o Siafi, desviaram R$ 6,7 milhões do TSE (Tribunal Superior Eleitoral) em oito operações diferentes realizadas em um minuto.
As transações, efetuadas em 16 de abril, usaram as credenciais de acesso furtadas de dois funcionários do órgão para autorizar os pagamentos via Pix.
Um dos servidores estava habilitado como ordenador das despesas. O segundo era um gestor financeiro do tribunal.
O aval de funcionários destas funções é necessário para concluir as transferências. Os horários em que as senhas foram usadas estão registrados nas ordens bancárias do Siafi.
Nessas oito operações, o procedimento foi idêntico. Os criminosos usavam o CPF do ordenador para assinar a ordem bancária às 18h23. No minuto seguinte, às 18h24, eles se valiam da senha do gestor financeiro para dar sinal verde ao pagamento.
Ao todo, os registros mostram pelo menos 16 investidas bem-sucedidas num intervalo de uma hora e 12 minutos.
Os autores da ação conseguiram subtrair R$ 11,39 milhões do TSE por meio dessas operações, concentradas em intervalos de um minuto. Eles ainda tentaram desviar outros R$ 2,22 milhões em seis operações adicionais, que foram canceladas após rejeição do Banco Central.
A invasão ao Siafi foi revelada pela Folha. Dados extraídos do sistema mostram que os criminosos desviaram ao menos R$ 15,19 milhões, sendo R$ 3,8 milhões do MGI (Ministério da Gestão e da Inovação em Serviços Públicos), e os demais valores do TSE. Até agora, sabe-se que R$ 2 bilhões foram recuperados.
O Executivo não confirma oficialmente os montantes desviados, sob a justificativa de que o inquérito da Polícia Federal corre sob sigilo.
Na semana passada, a PF colheu o depoimento de servidores que tiveram suas credenciais roubadas pelos criminosos. O procedimento é considerado uma formalidade, dado que a principal hipótese é de que eles foram vítimas do esquema.
Os dados do Siafi mostram que as operações envolvendo recursos do TSE se concentraram em seis horários diferentes, entre 17h49 e 19h01, no dia 16 de abril.
Para os primeiros desvios do tribunal, que somaram R$ 2,5 milhões, os criminosos usaram no mesmo minuto as duas senhas roubadas, primeiro às 17h49, depois às 17h59.
Mais tarde foram autorizadas as transferências de R$ 6,7 milhões, entre 18h23 e 18h24.
Novas transações totalizando R$ 2,19 milhões foram feitas entre 18h39 e 18h40, entre 18h54 e 18h55 e, de forma derradeira, às 19h01. A sequência foi sempre a mesma: primeiro, a assinatura do ordenador, seguida do aval do gestor financeiro no minuto seguinte.
Os valores desviados estavam empenhados para o Serpro (Serviço Federal de Processamento de Dados), empresa pública federal do ramo de tecnologia, e para a G4F, companhia que presta serviços de tecnologia da informação.
Os invasores alteraram o destino final dos recursos para beneficiar contas de empresas e pessoas físicas que não têm contratos com o governo. Os donos de duas destas empresas disseram à Folha que foram vítimas do esquema e tiveram dados usados indevidamente pelos criminosos.
Os dados do Siafi ainda mostram desvios de verba do MGI para três empresas no dia 28 de março, véspera de feriado (Sexta-feira Santa). Técnicos do ministério notaram a invasão no dia 1º de abril.
Uma das operações, de R$ 1 milhão, foi feita às 21h22, com as duas assinaturas no mesmo minuto. Transação maior, de R$ 2 milhões, foi autorizada às 21h42. A ação derradeira se deu às 22h08, com a transferência de mais R$ 768 mil.
Ao todo, R$ 3,8 milhões foram desviados da pasta.
Após o ataque ao Siafi, o governo federal endureceu o acesso aos sistemas da União e montou uma força-tarefa para emitir certificados digitais pelo Serpro, necessários para servidores que precisam autorizar pagamentos.
A medida é exigência de segurança do Tesouro Nacional após a invasão que usou credenciais válidas de funcionários do governo na plataforma gov.br para desviar milhões em recursos federais.
O secretário do Tesouro Nacional, Rogério Ceron, reconheceu nesta segunda-feira (29) que o maior rigor nos procedimentos tem causado “transtorno operacional” em alguns órgãos, mas disse que ele é “plenamente justificável” diante do episódio.
Ceron não quis confirmar os valores desviados, sob o argumento de que a Polícia Federal solicitou sigilo sobre o tema.
A suspeita é que os invasores coletaram os dados sem autorização via sistema de pesca de senhas (com uso de links maliciosos, por exemplo).
Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema. As informações são da Folha.
