É possível separar os ataques cibernéticos em duas categorias: as ocorrências em massa, que constituem uma espécie de “varejo” do hacking, e as ações personalizadas, feitas sob medida para cada alvo. Ataques sob medida demandam criatividade e técnica, pois o invasor deve analisar o que for possível sobre o alvo para determinar o melhor meio de atacá-lo e, se for preciso, desenvolver uma técnica nova para executar a ação.
Para atuar no “varejo”, por outro lado, o conhecimento especializado tem um papel reduzido. Basta aprender uma receita e ter a audácia (ou insensatez) de aplicar o truque quantas vezes for preciso para obter resultados. O atacante não pode ser muito seletivo com seus alvos, porque não sabe adaptar a técnica, e isso o obriga a atacar muita gente. É a mentalidade do “caiu na rede é peixe”.
Ataques diretos a autoridades, como ministros de Estado, costumam ser realizados por hackers habilidosos. Criminosos normalmente entendem que não é uma boa ideia utilizar uma receita gasta contra chefes de governo, polícia ou Forças Armadas. Quanto mais vezes uma técnica é utilizada, maiores são as chances de as evidências permitirem o rastreio de toda a operação criminosa.
Em outras palavras, existem hackers que escolhem seus alvos — o que requer adaptação dos métodos — e hackers que atuam sempre com os mesmos métodos — o que requer mais tentativas e, por isso, mais alvos.
No caso das invasões às contas de Telegram das autoridades que motivaram a Operação Spoofing, a Polícia Federal estima que mais de mil celulares foram atacados, com mais de cinco mil chamadas maliciosas realizadas de um mesmo provedor de VoIP (voz sobre IP). O excesso de alvos, se for comprovado, sempre com a repetição da mesma técnica, é um indício de que os responsáveis não têm domínio real das técnicas de hacking, sendo limitados pela receita que conheciam.
Esse não é o perfil de um hacker que avalia cada vítima e escolhe a melhor estratégia, como seria o esperado de alguém disposto a atacar autoridades do poder público. Ao contrário, é alguém desqualificado, um amador, que achou algo na internet e no máximo juntou alguns pontos para desenvolver seu método.
Método conhecido
Os riscos de invasão e ataques a caixas postais de mensagens ou secretárias eletrônicas já eram conhecido. Em 2011, o jornal britânico “News of the World” encerrou suas atividades após ficar comprovado que a publicação teve envolvimento direto na invasão das caixas de mensagens de diversas pessoas públicas e do noticiário. O escândalo veio à tona quando um dos alvos foi o Príncipe William, em 2005, e novos fatos divulgados em 2009 e 2011 obrigaram o jornal a fechar as portas após 168 anos em circulação.
Em 2018, uma palestra do especialista Martin Vigo na tradicional conferência de segurança digital DEF CON, em Las Vegas, provou que era possível hackear a caixa postal para driblar a segurança de serviços de internet.
Vigo expôs as falhas na segurança dos serviços de caixa postal com o intuito de alertar as grandes empresas que atuam na internet sobre os riscos de enviar códigos por chamadas telefônicas.
Com a técnica exposta em uma conferência de segurança famosa, era questão de tempo até esse método chegar nas mãos de criminosos comuns e ser aplicada em massa. O inesperado é que isso aconteceria no Brasil (que não fazia parte da pesquisa de Vigo), e que os alvos seriam autoridades do poder público.
Mas Vigo não foi o primeiro a ter essa ideia. Existem guias e tutoriais passo a passo na internet ensinando a aplicar a técnica especificamente para o acesso ao Telegram. Alguns desses conteúdos são datados de 2016.
Infelizmente, muitos ignoraram o alerta. Agora, é o ataque ocorrido no Brasil que vai obrigar todo mundo a fazer a lição de casa — tanto os provedores de VoIP, que devem evitar abusos de origem de chamada (o “Spoofing”, que deu nome à operação da PF), como as operadoras de telefonia, que precisam reavaliar a segurança dos serviços de caixa postal.