Um ataque hacker conseguiu invadir o Siafi, sistema de administração financeira do governo federal responsável por operações de pagamentos, nesse mês de abril. A Polícia Federal investiga o episódio com apoio da Agência Brasileira de Inteligência (Abin) e suspeita que os criminosos tenham conseguido desviar dinheiro da União. Mas apesar da suspeita, não há maiores informações sobre eventuais valores desviados.

O ataque consistiu no hackeamento das contas dos gestores do sistema, aqueles que estão habilitados a fazer movimentações financeiras e autorizar ordens bancárias de pagamento. Os hackers teria utilizado os CPFs e as senhas do site gov.br desses gestores para acessar o sistema.

De acordo com matéria da Folha, os federais suspeitam que os criminosos passaram diversos meses realizando uma prática chamada de “pesca de senhas”, feita por meio de links maliciosos que instalam os chamados “malwares” e "ransomwares" nos celulares e computadores dos alvos quando clicam nesses links duvidosos. A investigação também acredita que só colocam o golpe em marcha após obterem um alto volume de dados de gestores do Siafi.

De acordo com as investigações, uma das primeiras tentativas ocorreu no começo do mês, com o uso não autorizado do acesso de um gestor do sistema ligado à Câmara dos Deputados.

O CPF desse gestor, que já tinha feito uma liquidação de despesa, foi usado para emitir um pagamento por Pix. No entanto, segundo as regras do Tesouro Nacional, pagamentos e liquidações não podem ser feitos pelo mesmo CPF. Foi aí que constataram a possibilidade de ataque.

Depois de constatada a invasão, o Tesouro Nacional – responsável pelo Siafi e pela administração financeira federal - implementou novas medidas de segurança para o reconhecimento desses usuários. O acesso ao Siafi então seria feito exclusivamente através de certificado digital. Mas os criminosos teriam conseguido burlar a nova medida com a emissão dos certificados através de empresas privadas.

Agora, para evitar os novos ataques, os gestores do Siafi definiram que só serão aceitos certificados digitais emitidos pelo Serpro (Serviço Federal de Processamento de Dados), estatal que presta serviços de tecnologia. O Siafi chegou a sofrer uma outra tentativa de invasão em 2021, mas segundo a PF não houve maiores danos.