O acesso é completo e irrestrito. Cibercriminosos oferecem logins para o sistema da Polícia Rodoviária Federal (PRF) por R$ 200 pagos via Bitcoin. Com o sistema completamente aberto e o acesso em mãos, invasores podem acessar dados de qualquer veículo, informações sobre multas, dados pessoais sensíveis, liberação de veículos recolhidos em pátio, abertura de boletins de ocorrência, troca de emails realizadas por agentes policiais, acompanhamento de processos diversos e até aplicar multas para qualquer cidadão que tenha um carro, moto ou caminhão.

Foto: Divulgação PRF

A reportagem do TecMundo descobriu que os logins são vendidos em diferentes grupos baseados no Telegram, aplicativo mensageiro concorrente do WhatsApp e Facebook Messenger. Já o acesso é realizado por meio do Sistema Integrado de Consultas Operacionais (SICOP).

Os logins são ofertados pelo valor de R$ 200 e o depósito precisa ser realizado via criptomoeda Bitcoin. Recebemos a denúncia via fonte anônima, que comprou o login na semana do dia 24 de setembro pelo valor de 0.008 BTC (cerca de R$ 206 na cotação atual). Após receber a oferta via Telegram, a negociação foi realizada pela plataforma de email Protonmail.

Dentro do sistema, dados como placa, chassi, Renavam, número do motor e marca/modelo do veículo são fáceis de serem checadas por qualquer invasor. Roubar os dados se torna algo simples perto de outros golpes que são possíveis aplicar pelo sistema da PRF, contudo, com os dados em mãos, cibercriminosos podem trabalhar com engenharia social e até desenvolver campanhas maliciosas customizadas para acertar e infectar diferentes vítimas.

“A PRF respondeu prontamente alertando que irá investigar o caso.”

Sistemas dentro do SISCOP também podem ser acessados. Entre eles: BAT Web, WikiPRF, Multas Passivo, Monitoramento de Viaturas, Renainf, ROD Online, Imagens Digitalizadas, Protocolo, Portaria, Boleto Especial, Sistemas Móveis, BrBrasil, Alerta (Roubo/Furto), Alerta Brasil, BOP, PDI, SEI, SILVER, SISCOM, SISNAR, UnED, Sisco, Sismor e SIGAdmin.

Em contato realizado no dia 01 de outubro, a Polícia Rodoviária Federal — que recebeu os arquivos completos — respondeu ao TecMundo que "preza pela transparência e lisura de seus servidores para atender sua missão institucional perante a sociedade. Portanto, averiguaremos as evidências para responsabilização de possíveis transgressões ou crimes".

Multas para qualquer veículo e acesso irrestrito

“É possível multar qualquer veículo do Brasil”, afirma a fonte anônima. “Resumidamente, tudo que a Polícia Rodoviária Federal consegue fazer, você também consegue”. No sistema de multas (versão 8.3.12_1), basta completar os campos vazios com informações como placa, modelo, nome do condutor, CPF ou RG e inserir o tipo de infração para expedir uma multa.

Vale notar que não há qualquer tipo de camada extra de segurança para expedir multas, como um segundo fator de autenticação ou verificação de dois passos, por exemplo. Basta dar o OK para colocar uma multa em qualquer veículo.

No tópico Confecções, dentro do SICOP, um invasor também pode preencher uma tabela chamada Cadastro de Ocorrência Policial. Por lá, é possível sujar a ficha de qualquer cidadão: basta imputar algum crime para o sistema gerar o B.O. Novamente, não há qualquer segundo fato de autenticação como método de segurança.

Já ao acessar o sistema SILVER 9.1, o cibercriminoso com acesso ao sistema da Polícia Rodoviária Federal encontra outra área: a liberação de veículo. Por lá, é possível realizar consultas e liberar veículos recolhidos em pátios.

Abaixo, você vai acompanhar mais imagens recebidas via denúncia pelo TecMundo de parte das áreas acessíveis no sistema da Polícia Rodoviária Federal. Possíveis dados sensíveis foram censurados:

Como os logins são obtidos

Normalmente, logins de contas diferentes são obtidos de duas maneiras: vazamento e phishing.

O phishing é uma técnica antiga que engana a vítima a entregar seus dados; normalmente, por meio de promoções falsas, descontos e, ultimamente, pesquisas eleitorais mentirosas no WhatsApp. No caso dos logins da Polícia Rodoviária Federal, esta seria uma das apostas sobre como os cibercriminosos conseguiram as informações. Porém, não é assim que acontece.

Quando acontece um vazamento, normalmente, listas com logins e senhas começam a rodar na internet e no mercado negro. Infelizmente, muitos cibercriminosos colocam as mãos nessas listas e, a partir deste ponto, realizam diferentes golpes — por isso é interessante trocar de senha após um vazamento de dados — como este na Polícia Rodoviária Federal.

De acordo com a nossa fonte, esses logins são obtidos por meio de ecommerces, redes sociais, bancos e sites diversos que sofreram vazamentos. Isso significa que funcionários da PRF utilizaram o email "corporativo" como cadastro em outros sites.

"Quando um cibercriminoso coloca as mãos em uma lista de vazamento e encontra um login como esse da PRF, é que nem ouro", nota a fonte. Afinal, R$ 200 o login, realmente, é uma vitória para o cibercriminoso.

O TecMundo entrou em contato com Emilio Simoni, diretor do dfndr lab, laboratório de segurança da PSafe, para entender mais sobre o valor de contas corporativas no mercado negro. "No mercado negro, emails corporativos têm um valor maior que contas pessoais (Gmail, Outlook, Yahoo), pois oferecem informações sigilosas de empresas e podem até conceder acesso a sistemas internos ou servidores de uma companhia", afirma o diretor.

"Por isso, é importante utilizar o email corporativo somente em sites e serviços da empresa ou que tenham relação direta com o trabalho. Para rede sociais e serviços pessoais, o ideal é utilizar apenas o e-mail particular. Também é muito importante usar senhas diferentes para as contas pessoal e corporativa para dificultar o acesso de pessoas mal intencionadas às informações de cada conta", finaliza.

Com TecMundo