A Polícia Federal prendeu na terça-feira (23) quatro acusados de hackear celulares de autoridades públicas, incluindo o ministro da Justiça, Sergio Moro, e o procurador do Ministério Público Federal Deltan Dallagnol.

O assunto do ataque hacker está em alta desde que o site The Intercept Brasil publicou, no início de junho, mensagens supostamente trocadas entre Moro e Dallagnol no aplicativo Telegram.

Algumas semanas antes, veio à tona a notícia de que o celular de Moro havia sido invadido — o ministro teria percebido isso ao receber uma ligação e ver seu próprio número no identificador de chamadas. O The Intercept Brasil, no entanto, disse na ocasião que sua fonte havia contatado a redação “bem antes da notícia”.

Na manhã desta quinta-feira (25), Moro disse que o presidente Jair Bolsonaro (PSL) também teve seu celular hackeado, e a PF disse que, em depoimento, um dos acusados disse ter enviado, de forma anônima e gratuita, as mensagens ao The Intercept Brasil.

Como aconteceu a invasão

Conforme reportado pela Folha e por O Globo citando informações dadas pela investigação da Polícia Federal, o golpe se deu da seguinte forma.

Primeiro, os acusados tentaram fazer login no Telegram. Para confirmar a identidade, o aplicativo primeiro manda um código pelo próprio app. Caso não haja sucesso, o usuário pode, em seguida, pedir que esse código seja enviado por SMS. Caso não haja sucesso novamente, também dá para pedir que o código seja falado por ligação telefônica. Essa última possibilidade, segundo a PF, foi a explorada pelos acusados.

Eles teriam usado um serviço de VoIP para fazer diversas ligações simultâneas para o número do ministro Moro. O objetivo, segundo a investigação, seria manter as linhas ocupadas para que a chamada com o código do Telegram caísse na caixa de mensagens.

A partir daí, os acusados teriam conseguido uma forma de acessar a caixa postal: ligar para o próprio número. Talvez você não saiba, mas isso é possível: se você pegar seu celular e ligar para seu próprio número, tem acesso à caixa postal, sem precisar digitar qualquer senha. Isso funciona para praticamente todas as operadoras.

Segundo a matéria do jornal O Globo, a própria empresa contratada para o VoIP oferece um serviço de mudar o número que aparece no identificador de chamadas. Assim, os acusados teriam feito uma ligação para o celular de Moro usando outra linha, mas fazendo com que o próprio número aparecesse no identificador, conseguindo, assim, acesso à caixa postal. Lá, estava o recado com o código de acesso ao Telegram.

Como se proteger

Só de contar esses passos, podemos observar alguns deslizes de segurança. O acesso direto à caixa postal, sem qualquer senha, deixa as mensagens bastante vulneráveis. O Telegram também usa o mesmo código na mensagem enviada pelo aplicativo, no SMS enviado dois minutos depois e na ligação feita mais dois minutos depois — talvez fosse melhor usar códigos diferentes, com validade mais curta, para evitar o acesso indevido por meios como este que teria sido usado.

Para quem quer se proteger, no entanto, a verificação em duas etapas oferecida pelo próprio Telegram pode ajudar. Ela fica meio escondida e não vem ativada por padrão, o que é uma pena, mas é bem fácil de fazer.

Vá em Configurações > Privacidade e Segurança > Verificação em Duas Etapas > Configurar senha adicional. O app vai pedir para você definir uma senha, colocar uma dica e dar seu e-mail e confirmá-lo para recuperar a senha caso seja necessário.

Pronto. Agora, não basta ter acesso ao seu número — seja pelo método acima, seja por um golpe como o SIM swap — para entrar no Telegram, é preciso ter a senha também.

Outro app de mensagens bastante popular, o WhatsApp, também tem esse recurso. O WhatsApp funciona de forma diferente, e, se você entrar em uma conta por outro celular, não consegue ter acesso às mensagens enviadas anteriormente. O backup delas fica no iCloud ou no Google Drive, serviços independentes do aplicativo, que exigem outra senha.