Contas de brasileiros no Portal e-CAC, da Receita Federal, sofrem de supostos acessos não-autorizados desde a última sexta-feira (19). Por meio de relatos diversos coletados pelo TecMundo, a maior parte dos protocolos de rede (IP) registrados nos acessos é proveniente dos Estados Unidos.
Toda madrugada é um IP novo e sempre de algum host nos EUA
O problema chega em meio à liberação da primeira restituição do Imposto de Renda, que também já sofre com relatos de dificuldades técnicas na consulta online sobre valores a receber. O e-CAC é ponto de contato digital da Receita Federal com a população brasileira.
“Já tem 1 semana que comecei a receber esse email diariamente, mais ou menos sempre no mesmo horário de madrugada”, comentou um dos afetados ao TecMundo. “Inicialmente achei que minha credencial pudesse ter sido vazada no último ataque que rolou, corri pra ativar o 2FA e trocar a senha e esperei que o problema cessasse. Não cessou. Toda madrugada é um IP novo e sempre de algum host nos EUA”.
Outro usuário do e-CAC vem sofrendo com o mesmo acesso não-autorizado: “Imaginei se tratar de um ataque em campanha porque tentaram acessar o e-CAC justamente em um período de declaração de imposto de renda/restituição. Eles podem fazer mais que isso, imagino, mas talvez tentar alterar dados de restituição poderia ser uma hipótese”.
Nenhum 2FA é enviado pro meu aparelho
Ainda não é possível quantificar quantas contas sofreram os supostos acessos não-autorizados. Todos os relatos indicam o mesmo modus operandi: mesmo com troca de senha, segundo fator de autenticação ativado e boas práticas seguidas, diariamente o sistema da Receita Federal envia alertas de novos dispositivos registrados para os cidadãos – dispositivos, estes, de terceiros.
“Minha conta é protegida por ‘aprovação de dispositivo’ e todas as madrugadas eu deleto todos os dispositivos aprovados. No dia seguinte, novas contas Windows (Chrome) aparecem. Nenhum 2FA é enviado pro meu aparelho, mesmo consultando histórico de notificações”, complementou a primeira fonte.
O acesso não-autorizado em contas é perigoso: por baixo, ele oferece informações cruciais da vida digital de seu usuário oficial. No e-CAC, por exemplo, é possível acessar nome completo, endereço de email, número telefônico, endereço residencial, foto, CPF, RG, CNH, CDI e certidões.
Com essas informações completas em mãos, cibercriminosos podem desenvolver golpes que vão do phishing direcionado (mensagens falsas cunhadas especificamente para um alvo) até a abertura de contas. A alteração dos dados no governo também é uma possibilidade, uma vez dentro do sistema.
O TecMundo entrou em contato com a assessoria de imprensa da Receita Federal e aguarda um posicionamento sobre o caso.