O celular do Moro foi invadido? Aparentemente não! Junto aqui todos os detalhes divulgados, junto com as dúvidas mais comuns dos jornalistas com os quais eu conversei, explicando como se proteger deste tipo de ataque (que por um acaso é um golpe cada vez mais comum no Brasil)

Tudo indica que uma conta no Telegram que era do Moro (e que não vinha sendo utilizada), foi acessada. De que jeito? Na real é muito simples, seja no WhatsApp / Telegram, basta você conseguir o código de verificação que estes aplicativos enviam via SMS no momento da instalação

Há várias formas de conseguir o código, das mais simples até as mais sofisticadas. Mas a boa notícia é que a proteção contra todas é a mesma: habilitar uma senha na sua conta e no chip to teu celular. Escrevi um guia detalhado aqui no começo do ano linkedin.com/pulse/como-se-…

Jeito mais fácil: você olha o celular da vítima! Basta deixar o celular desassistido (você no banheiro, chuveiro, etc.), se for possível olhar o código no teu celular, seja porque ele está sem senha, ou porque você permite pré-visualização mesmo com ele travado, a casa caiu

Aqui vale destacar que o WhatsApp e o Telegram se comportam de forma diferente! Se você faz isso com a conta de WhatsApp de alguém a vítima vai saber na hora, porque ele só pode estar instalado em um celular por vez (o acesso via web está atrelado a um celular)

Essa pessoa vai ter acesso a todas as tuas mensagens? Depende. Se você tiver habilitado o backup de mensagens, SIM. E é bem possível que ele esteja habilitado pq o app te oferece isso toda hora (só não fala que as msgs ficam sem criptografia nos servidores do Fb, detalhe né)

Sem o backup habilitado a pessoa terá acesso apenas a novas mensagens (mesmo nos grupos). No geral eu não recomendo ativar esse backup deles (se você faz backup do teu celular usando outros mails, você também está fazendo backup dos dados dos teus apps, incluindo tuas msgs)

Já no Telegram a coisa é bem diferente, pois ele é multi dispositivo, ou seja, você pode ter ele instalado em dois celulares, dois laptops, um tablet, etc. Por padrão ele sincroniza todas as mensagens com todos os dispositivos. A não ser que você use o chat secreto...

Por conta desta facilidade de usar múltiplos dispositivos a criptografia padrão do Telegram não é fim a fim (ou ponto a ponto). Se você quiser ter certeza que nunca uma mensagem tua será recuperada (nem por você quando reinstalar teu celular), você precisa usar o chat secreto

O chat secreto tem uns recursos legais exclusivos do Telegram: você pode configurar pras mensagens se apagarem automaticamente depois de um tempo, você é avisado se a pessoa do outro lado tira um print do chat, e outras cositas más

E aparentemente foi isso que aconteceu com o Moro: alguém instalou o Telegram em um dispositivo usando o número dele, conseguiu acesso ao código de verificação de alguma forma, e por isso teve acesso a todas as mensagens trocadas individualmente ou em grupos

O criminoso teve acesso a mensagens trocadas no chat secreto? Não! O celular foi invadido? Aparentemente não! Importante: conversas em grupos não são protegidas com criptografia fim a fim, em nenhum app. Há uma longa explicação técnica pra isso que eu tô com preguiça de escrever

Há outras formas de se obter este código de verificação? Várias. Uma muito comum no Brasil é simplesmente roubo/furto da vítima. Você tira o chip dela, coloca em outro aparelho e já era. Inclusive os bandidos aplicam muito golpe com esse recurso...

Bandido quando acessa teu WhatsApp consegue ler conversas recentes e dá aquele golpe básico: "mãe/pai/fulano deposita rapidão R$200 na minha conta, é urgente, já te explico!" Basicamente, o bandido se passa por você e rouba dinheiro de alguém que tá na tua lista de contatos

Melhor forma de se proteger neste caso é colocar uma senha no teu chip. Era comum todo chip vir com senha antigamente, mas as operadoras pararam pois os usuários esqueciam e eles tinham que comprar outro chip. Isso nos leva a outro problema muito comum: golpes junto as operadoras

Seja com a participação de funcionários, falsificando documentos, via um terceirizado ou loja franqueada: há muitas formas de se conseguir um chip com o número de alguém salvo. Mas em geral a vítima descobre logo pois o chip dela para de funcionar. Faltou o jeito MacGyver...

Mensagens SMS (torpedos, etc.) usam um protocolo muito antigo que não possui criptografia. Alguém com um equipamento de rádio especial consegue interceptar as msgs enviadas por qquer ERB (nome técnico das antenas de celular). Mas tem uma dificuldade prática...

Você precisa estar na mesma antena que a vítima. No caso do Moro (ou qquer figura pública), a exposição é muito grande, todo mundo sabe aonde ele está. Alguém vai com este equipamento próximo a ele (nem precisa ser muito perto, o alcance de uma ERB chega a quilômetro) e aí...

Pede pro código ser enviado, no momento que ele está num palco dando uma palestra por exemplo. Ainda assim é difícil achar a mensagem no meio de um monte de coisa que a ERB transmite. Isso justificaria a informação de que ele recebeu "ligações vindas do seu próprio número"

Isso possivelmente foi usado pelos bandidos pra descobrir uma forma mais eficaz de filtrar o SMS que vai pra vítima de forma mais certeira, usando os IMEIs de quem liga e quem recebe a ligação (o IMEI é uma espécie de identificador único do celular)

Isso acontece só com SMSs, conversas são protegidas por criptografia. É possível também escutar conversas nas antenas, mas a dificuldade de se quebrar a proteção criptográfica é grande, leva tempo e dinheiro, pouco prático.

TL;DR? Habilite senha na tua conta de WhatsApp / Telegram / Signal / etc. e ative o PIN do teu chip de celular. Tudo que eu falei aqui se aplica pra quando você usa SMSs pra aumentar a segurança de acesso a tua conta no Google, Facebook, etc.

Caso você seja bem paranoico, ou seja uma figura pública com stalkers bem determinados, use um número de telefone que não seja de conhecimento público para autenticar estas contas (ou migre pro Google Authenticator / Authy / etc.)