Ao pedir a prisão de quatro alvos da Operação Spoofing, o procurador da República Wellington Divino Marques de Oliveira detalha como a Polícia Federal chegou aos endereços dos quatro suspeitos de hackear o ministro da Justiça, Sergio Moro, o coordenador da Lava Jato, Deltan Dallagnol, e outras autoridades do Judiciário. De acordo com o Ministério Público Federal, no momento dos ataques, eles estavam conectados ao servidor usado para invadir os celulares.
A Spoofing prendeu nesta terça-feira, 23, Walter Delgatti Neto, Danilo Cristiano Marques, Gustavo Henrique Elias Santos e Suelen Priscila de Oliveira. Eles são de Araraquara e Ribeirão Preto, no interior de São Paulo.
Segundo o procurador, "a investigação teve início após requisição do Ministro da Justiça, que narrou os acontecimentos anteriores à invasão de seu aparelho celular, que culminaram com a inabilitação do aplicativo 'Telegram' no telefone de propriedade do Ministro situação essa que perdurou no tempo".
"Conforme relato policial, a estratégia de investigação acabou por ampliar o aspecto subjetivo de vítimas já que outras autoridades foram vítimas do mesmo modo de operação, entre elas o desembargador Abel Gomes (TRF-2) e o juiz federal Flávio Lucas (18ª Vara Federal do Rio). Além deles, o Delegado de Polícia Federal Rafael Fernandes, lotado no SR/PF/SP e Flávio Veitez Reis, com atuação na DPF Campinas/SP também foram alvos com consequências semelhantes", escreve o procurador.
Segundo o procurador, a "autoridade policial apresenta o resultado das medidas cautelares anteriormente deferidas indicando, pormenorizadamente, o modo de atuação que permitiu aos criminosos o acesso ao aplicativo de mensagens das vítimas".
"Em resumo, os criminosos utilizaram uma vulnerabilidade da rede de telecomunicações comum a todas as operadoras: 'as chamadas em que o número de origem é igual ao número de destino são direcionadas diretamente para a caixa postal, sem necessidade de inserção de senha para acesso ao conteúdo das mensagens gravadas'", explica.
O procurador afirma que, "conhecendo essa falha, os criminosos utilizaram a tecnologia VOIP da empresa MEGAVOIP (Nome fantasia BRVOZ) que permite a edição do número de origem quando o sistema de identificação de camadas está ativo. Isso é possível pois o sistema VOIP funciona da forma descrita abaixo".
"Assim, é possível utilizar o computador, celular ou mesmo um telefone convencional para fazer ligação via um Gateway Voip (Voz sobre IP). No caso da empresa BRVOZ", anota.
Segundo relatório de análise da Polícia Federal, o sistema funciona da seguinte forma: "Cada cliente deve realizar o pagamento do valor do plano escolhido através de um boleto bancário a ser emitido pela empresa PAG Seguro após o preenchimento de alguns dados como email, CEP, nome e número de celular. Ressalte-se que não há qualquer mecanismo utilizado pela BRVOZ para verificar a autenticidade dos dados informados pelos clientes à PagSeguro para emissão de cada boleto de pagamento".
"Após a confirmação do pagamento, o cliente/usuário recebe um email da BRVOZ, no endereço que foi informado no cadastro da empresa PagSeguro solicitando informações para a criação no sistema da BRVOZ, recebendo cada cliente/usuário uma identificação única, denominada ID (ID BRVOZ), no banco de dados da BRVOZ", disse a PF.
Segundo o procurador, "toda a utilização do sistema da BRVOZ foi descrita pela autoridade policial estabelecendo o aspecto técnico do mecanismo utilizado para 'clonar' o número de telefone das vítimas e permitir a realização de ligações com o mesmo número de origem e destino de forma a direcionar chamada diretamente à caixa postal dos alvos".
"De posse dos dados técnicos, fornecidos pela BRVOZ, após autorização judicial, foram identificados os seguintes dados de identificação dos usuários responsáveis pelas chamadas aqui investigadas", afirma.
"Como os dados cadastrais da empresa BRVOZ não são confirmados após a contratação, foram empreendidas diligências para identificar os reais titulares/sócios das respectivas identificações por meio dos endereços de protocolo da internet (Endereços IP) que foram atribuídos aos dispositivos que se conectaram ao serviço de telefonia por VOIP da empresa BRVOZ no momento dos ataques", explica.
Segundo o procurador, de "posse desses dados, o DPF conseguiu identificar os moradores dos endereços onde estariam localizados os IPs de onde partiram os ataques conforme é possível observar no Relatório de Informação".
"Ressalta-se, ainda, que esse relatório foi capaz de estabelecer as relações subjetivas entre os agentes investigados, em especial quanto Walter Delgatti Neto, Danilo Cristiano Marques, Gustavo Henrique Elias Santos e Suelen Priscila de Oliveira, sendo que Gustavo Henrique é filho de Maria Elias, pessoa em nome de que está cadastrado o IP utilizado pelos clientes BRVOZ", anota.