SÃO PAULO, SP (FOLHAPRESS) - Na terça (23), quatro pessoas foram presas sob suspeita de invadir contas de autoridades no aplicativo de mensagens Telegram. A Polícia Federal (PF) estima que cerca de mil números tenham sido alvo do grupo, que, de acordo com os investigadores, atuaria em fraudes bancárias e de cartões de crédito.

Não há, até o momento, indícios de relação entre a ação dos supostos hackers e a divulgação de mensagens privadas de procuradores da Lava Jato e do ex-juiz Sergio Moro, hoje ministro da Justiça. Os diálogos foram revelados pelo site The Intercept Brasil e têm sido publicados por diversos veículos, incluindo a Folha de S.Paulo.

O Intercept afirma que recebeu o pacote de conversas de fonte anônima -não há prova de que tenha sido obtido por meio de ataque hacker. 

Abaixo, entenda a operação realizada pela Polícia Federal.

Qual o resultado da operação da PF?

Nesta terça (23), quatro pessoas foram presas sob suspeita de hackear telefones de autoridades e invadir suas contas no aplicativo Telegram. Foram cumpridas 11 ordens judiciais, das quais 7 de busca e apreensão e 4 de prisão temporária nas cidades de São Paulo, Araraquara (SP) e Ribeirão Preto (SP).

Danilo Cristiano Marques, Suelen Priscila de Oliveira, Walter Delgatti Neto e Gustavo Henrique Elias Santos foram transferidos para Brasília. Segundo estimativa da PF, mil números foram alvo da ação do grupo.

Como a investigação começou?

A investigação teve início após pedido de Moro para que a PF apurasse um ataque a seu celular, em 4 de junho. O autor da invasão ficou por cerca de seis horas utilizando aplicativo de mensagens de Moro. O ministro recebeu uma ligação por volta das 18h, do seu próprio número, o que estranhou. Ele atendeu, mas não havia ninguém do outro lado da linha.

Em seguida, foi informado de mensagens que estavam sendo trocadas pelo Telegram. O hacker usou o aplicativo até pelo menos 1h da manhã.

O inquérito também investiga ataques às contas do juiz federal Abel Gomes, relator da Lava Jato no TRF-2 (Tribunal Regional Federal da 2ª Região), do juiz federal no Rio Flávio Lucas e dos delegados da PF em São Paulo Rafael Fernandes e Flávio Reis.

Segundo investigadores, a apuração mostrou que o celular de Deltan Dallagnol, coordenador da força-tarefa da Lava Jato, e do ministro Paulo Guedes (Economia) também foram alvo do grupo.

As prisões estão relacionadas às conversas divulgadas pelo site The Intercept Brasil?

A investigação não conseguiu estabelecer se o grupo alvo da operação tem ligação com o pacote de mensagens. Também não há provas de que os diálogos foram obtidos a partir de ataque hacker. O Intercept afirma apenas que recebeu o pacote de conversas de uma fonte anônima e que pediu sigilo.

Nesta quarta (24), Moro postou, no Twitter, mensagem em que associa os presos às conversas divulgadas. Essa relação, contudo, não foi estabelecida pela Polícia Federal nem pelo Ministério Público até o momento.

Como os hackers agiram?

O Telegram permite que seus usuários solicitem o código de acesso ao serviço na web por meio de uma ligação telefônica. Na sequência, faz uma chamada de voz e informa o número ao cliente.

A estratégia dos supostos hackers foi a de, primeiro, telefonar várias vezes para os celulares-alvo, fazendo com que as linhas ficassem ocupadas. Dessa maneira, as ligações do Telegram foram destinadas às caixas postais.

A partir daí, eles clonaram, com o uso de tecnologia, os números de Moro e das demais autoridades. Assim, simularam telefonemas das vítimas para elas próprias, acessando o recado deixado pelo aplicativo.

Com o código, conseguiam acessar a conta. Veja mais detalhes sobre o modo como eles agiram neste link.

Que lei enquadraria os supostos delitos cometidos pelo grupo?

Na decisão que determinou a prisão dos suspeitos, o juiz Vallisney de Souza Oliveira cita três crimes: organização criminosa, invasão de dispositivo informático e interceptação de comunicação telefônica, de informática ou telemática.

Como a Polícia Federal chegou aos quatro suspeitos?

Moro notou que havia sido hackeado quando recebeu ligações de sue próprio número. Os investigadores seguiram os rastros dos telefonemas que foram feitos para o celular do ministro.

Assim, descobriram primeiro que a operadora Datora Telecomunicações transportou as chamadas destinadas ao celular do ministro após recebê-las por meio da tecnologia VOIP, serviço que, por sua vez, é prestado pela microempresa BRVoz. 

Os arquivos da companhia, obtidos por meio de ordem judicial, mostraram que todas as chamadas para o ministro e para as demais autoridades partiram de um único usuário registrado.

Pelos endereços de protocolo da internet (IPs) atribuídos aos aparelhos que se conectaram ao sistema da BRVoz para fazer as ligações, foram identificados os locais de residência de Danilo Cristiano Marques, Suelen Priscila de Oliveira, Walter Delgatti Neto e Gustavo Henrique Elias Santos, presos na terça.

Dados de Moro foram roubados?

Moro disse que deixou de usar o Telegram em 2017 e apagou a aplicação de seu celular. O ministro já afirmou várias vezes que não tem mais os registros das mensagens que trocou.

Segundo o aplicativo, quando um usuário passa mais de seis meses sem usar a conta, os arquivos de contatos e conversas são apagados.

Considerando a versão do ministro, os hackers podem ter entrado no aplicativo com o número de Moro, mas não teriam como acessar conversas antigas porque elas não existiriam mais. A Polícia Federal também afirmou que o ministro não teve dados roubados durante o ataque que sofreu. 

Com que argumentos o Ministério Público pediu a prisão dos suspeitos?

Segundo o Ministério Público Federal, poderia haver risco à investigação e destruição de provas caso os suspeitos permanecessem em liberdade e viessem a ter ciência de eram alvo de apuração da polícia.

Na decisão, o juiz acrescentou que havia necessidade de realizar busca e apreensão e que isso implicava a prisão dos suspeitos, de forma que o material pudesse ser coletado de forma adequada e sem risco de que fosse danificado, alterado ou destruído.

Além da prisão, que outras medidas foram determinadas pela Justiça?

O juiz Vallisney determinou a quebra do sigilo bancário e telemático (comunicações eletrônicas) dos suspeitos. Também foi determinado o envio de ofício às empresas Apple, Google, UOL/BOL e Microsoft "para que forneçam os dados cadastrais, os registros IP de acesso e Mac address nos últimos seis meses, além de todos os dados e arquivos em nuvem referentes às contas de email indicadas".

Segundo relatório de informações financeiras obtido pela PF, Gustavo Santos movimentou R$ 424 mil entre 18 de abril de 2018 e 29 de junho de 2018, tendo uma renda mensal de R$ 2.866. Sua companheira Suelen, também detida, movimentou, segundo o documento judicial, R$ 203 mil de 7 de março a 29 de maio de 2019, sendo que sua renda mensal registrada seria de R$ 2.192.

O que foi encontrado nos endereços em que houve busca e apreensão?

Segundo a Polícia Federal, foram encontrados cerca de R$ 99 mil em espécie e aparelhos compatíveis com a ação que se suspeita que o grupo praticou. João Vianey Xavier Filho, coordenador geral de Inteligência da Polícia Federal, afirmou que uma análise inicial de computadores apreendidos indicava que havia captura sistemática de aplicativos de mensagens e que acredita-se (mas ainda não há certeza) que as mensagens acessadas eram baixadas pelos supostos hackers.

Quem são os quatro presos?

Walter Delgatti Neto, 30, se dizia investidor.

Gustavo Henrique Elias Santos, 28, era DJ em Araraquara (SP).

Suelen Priscila de Oliveira, 25, é companheira de Santos.

Danilo Cristiano Marques, 33, era motorista da Uber.

Segundo a Polícia Federal, há indícios de que os quatro atuavam, em diferentes graus, em fraudes bancárias e de cartão de crédito.