sábado, 5 de julho de 2025

As pistas que ajudaram a revelar ataque do hacker contra empresa que liga bancos ao PIX

Horário, altos valores e insistentes tentativas de compras de bitcoins despertaram a desconfiança de uma startup de criptomoedas na madrugada da última segunda-feira (30).

Naquele instante, a decisão foi bloquear novas movimentações das contas envolvidas e acionar instituições financeiras.

Dois dias depois, entendeu-se que aquelas operações suspeitas com criptomoedas eram o desfecho de um golpe milionário e histórico contra o mercado financeiro, iniciado com um ataque hacker a uma empresa que liga bancos e fintechs a sistemas de pagamentos.

🔎 O alvo do ataque não foi o Banco Central ou o PIX, em si, mas a C&M Software. Ela é uma das empresas de tecnologia que fazem a "ponte" entre instituições financeiras menores e os sistemas do BC, para a realização de operações como o PIX.

A C&M disse que ao menos seis de seus clientes foram afetados; nem todos tiveram os nomes revelados. Também não foi divulgado o montante roubado, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

<><> Criminosos usaram criptomoeda

Segundo especialistas, os criminosos provavelmente tentaram converter ao menos parte do montante roubado em criptomoedas. Isso seria uma tentativa de fazer com que a quantia não pudesse ser devolvida para os bancos.

Uma das startups procuradas para compra de criptomoedas seria a SmartPay, de Santa Catarina.

A startup começou a suspeitar quando, na madrugada de segunda-feira, uma conta recém-criada movimentou R$ 6 milhões, via PIX, e tentou comprar esse valor em bitcoins.

O PIX de R$ 6 milhões que chamou a atenção da SmartPay partiu do sistema da BMP, uma fintech que fornece infraestrutura para plataformas bancárias digitais. Ela é cliente da C&M e e admitiu ter sido uma das prejudicadas no ataque hacker.

O valor expressivo fez os alertas automáticos da SmartPay serem acionados e notados por funcionários que monitoram as transações. Eles perceberam que a quantidade de movimentações de novas contas estava bem acima do normal para as madrugadas.

"Foi uma somatória da quantidade de novos usuários na plataforma durante aquele horário com os valores que estavam sendo transferidos", relatou ao g1 Rocelo Lopes, CEO da SmartPay.

Também houve muitos pedidos de transferência em um intervalo curto, de cerca de duas horas.

<><> Comportamento fora do usual

Outro ponto de atenção foi que parte dos pedidos de compra de criptomoeda foi feita em contas de clientes antigos da SmartPay, que já tinham recebido um "sinal amarelo" nos sistemas da startup por comportamentos suspeitos no passado.

Além disso, naquele dia, esses clientes estavam comprando bitcoins, apesar de terem o costume de negociar outra criptomoeda, a chamada "tether" ou USDT.

🤔 Tether ou USDT é a terceira criptomoeda mais usada no mundo, segundo a CoinMarketCap, plataforma que monitora esse mercado. A Tether é administrada por uma empresa de mesmo nome, que pode bloquear transações suspeitas, o que não acontece com o bitcoin, por exemplo.

<><> Ataque exige melhorias

Para Rocelo, o ataque deverá forçar o Banco Central a cobrar melhorias por parte de empresas como a C&M Software, enquadrada como um Provedor de Serviços de Tecnologia da Informação (PSTI).

Um PSTI ajuda instituições financeiras a se integrarem a sistemas de pagamento, como o PIX. Além da C&M, oito empresas estão homologadas no país para fazerem este papel.

Na avaliação do chefe da SmartPay, elas deveriam adotar mais validações contra movimentações atípicas.

"O Banco Central se preocupou em falar para o banco bloquear uma transação às 2h da manhã, por exemplo. Mas se esqueceu que, depois do banco, tem todo um sistema de compensação financeira. Limitou o cliente, e não a instituição, aí foi onde deu o problema", afirmou.

A C&M disse que os criminosos usaram credenciais de clientes de forma indevida para acessar seus sistemas e serviços de forma fraudulenta. Senhas são um exemplo de credencial.

Após o ataque vir a público, na última quarta-feira (2), o BC determinou o desligamento do acesso de instituições financeiras afetadas às infraestruturas da C&M.

Na quinta, a medida foi substituída por uma suspensão parcial, permitindo transferências em dias úteis entre 6h30 e 18h30.

A Polícia Federal abriu um inquérito para apurar o ocorrido. E a Polícia Civil de São Paulo também iniciou uma investigação, com objetivo de "identificar os responsáveis pelo crime, bem como rastrear os valores subtraídos".

<><> Suspeito preso

A Polícia Civil de São Paulo prendeu na quinta-feira (3) o homem suspeito de facilitar um dos maiores ataques hackers ao sistema financeiro brasileiro por meio de empresa que presta serviços a bancos menores e fintechs para realizar operações com o Banco Central, entre elas, o PIX.

O ataque cibernético que afetou pelo menos seis bancos causou alvoroço no mercado financeiro na quarta-feira (2).

Segundo o Departamento Estadual de Investigações Criminais (Deic), o preso, João Nazareno Roque, é funcionário da empresa de tecnologia C&M Software (CMSW) e deu acesso pela máquina dele ao sistema sigiloso para os hackers que efetuaram o ataque.

Ele foi preso no bairro de City Jaraguá, na Zona Norte de São Paulo. A reportagem não conseguiu contato com a defesa dele. Procurada, a empresa C&M ainda não se manifestou.

À polícia, Roque disse que vendeu a sua senha por R$ 5 mil a hackers em maio e depois, por mais R$ 10 mil, participou da criação de um sistema para permitir os desvios. Ele relatou ainda que só se comunicava com os criminosos por celular e não os conhece pessoalmente. Além disso, contou que trocou de celular a cada 15 dias para não ser rastreado.

Uma conta com R$ 270 milhões usada receber o dinheiro desviado já foi bloqueada. A investigação policial apura o envolvimento de outras pessoas.

O caso veio a público quando a BMP, empresa que é cliente da C&M, registrou um boletim de ocorrência relatando que havia sido alvo de desvios milionários, e a C&M que reportou às autoridades um ataque às suas infraestruturas.

De acordo com a C&M, criminosos usaram credenciais, como senhas, de seus clientes para tentar acessar seus sistemas e serviços de forma fraudulenta. Isso permitiu o acesso indevido a informações e contas de reserva de pelo menos seis instituições financeiras.

O BC ainda não informou o nome de todas as instituições afetadas. Também não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

>>>> Abaixo, veja o que se sabe e o que ainda falta saber sobre o ataque hacker.

<><> O que aconteceu?

A C&M Software reportou para o Banco Central um ataque às suas infraestruturas digitais. Esse tipo de ataque é conhecido pelo mercado como “cadeia de suprimentos” (“supply chain attack”, em inglês). Nele, invasores acessam sistemas de terceiros usando credenciais (como senhas) privilegiadas para realizar operações financeiras.

🔎 As contas de reservas são contas que os bancos e instituições financeiras mantêm no BC. Essas contas funcionam como uma conta corrente e são utilizadas para processar as movimentações financeiras das instituições. Também podem servir como uma reserva de recursos.

<><> O que faz a C&M Software?

A C&M Software é uma empresa brasileira de tecnologia da informação (TI) voltada para o mercado financeiro. Entre os serviços prestados pela companhia, está o de conectividade com o Banco Central e de integração com o Sistema de Pagamentos Brasileiro (SBP).

Na prática, isso significa que a empresa funciona como uma ponte para que instituições financeiras menores possam se conectar aos sistemas do BC e fazer operações — como o PIX, por exemplo.

A empresa tem atuação nacional e internacional e foi homologada pelo BC para essa função desde 2001. Atualmente, outras oito empresas também são homologadas no país.

<><> Qual foi o impacto do ataque?

Apesar de as instituições indicarem que não houve nenhum dano às contas e informações de seus clientes, especialistas alertam para os impactos significativos no próprio sistema financeiro.

Ainda não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

O BC ainda não informou o nome de todas as instituições afetadas. Uma das que se sabe é a BMP, empresa que fornece infraestrutura para plataformas bancárias digitais e é cliente da C&M Software. A BMP foi quem divulgou nota sobre o incidente.

“O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP”, diz a nota da empresa.

O jornal “Valor Econômico” indicou que a Credsystem e o Banco Paulista também estavam entre as instituições afetadas.

<><> O que deve acontecer agora?

Após o incidente, ainda na quarta-feira, o BC afirmou que determinou o desligamento do acesso das instituições financeiras afetadas às infraestruturas operadas pela C&M Software. Essa suspensão cautelar imposta pelo BC à empresa foi substituída por uma suspensão parcial nesta quinta.

Micaella Ribeiro, da IAM Brasil, acredita que o incidente também deverá atrair atenção de reguladores, como o BC e o Conselho Monetário Nacional, que vêm acompanhando o risco sistêmico associado à transformação digital do setor.

•        Suspeito  vendeu por R$ 15 mil senha a hackers, que trocavam de celular a cada 15 dias

O homem preso na quinta-feira (3) acusado de ter facilitado um dos maiores ataques hackers ao sistema financeiro brasileiro disse em depoimento à Polícia Civil que vendeu por R$ 15 mil a sua senha para os hackers, que trocavam de celular a cada 15 dias para não serem rastreados.

Ao ser interrogado pelos investigadores da Delegacia de Crimes Cibernéticos do Deic, o operador de TI João Nazareno Roque afirmou que trabalhava na empresa C&M há aproximadamente três anos e que, em março, ao sair de um bar em São Paulo foi abordado por um rapaz que já sabia que ele trabalhava numa empresa de sistemas de pagamentos.

A informação, segundo o acusado, tinha sido vazada por amigos dos hackers, que já tinham informações sobre onde e em que empresa ele prestava serviços.

Uma semana depois do encontro no bar, o suspeito de aliciar o desenvolvedor fez contato por telefone dizendo que queria conhecer o sistema da empresa C&M, que era terceirizada da empresa BMP Instituição de Pagamento S/A, alvo do ataque, e ofereceu R$ 5 mil pelo acesso.

Cerca de 15 dias depois, o mesmo criminoso fez um segundo contato agora oferecendo outros R$ 10 mil para que Nazareno executasse comandos dentro da plataforma. Esse pagamento foi feito em dinheiro vivo, pago em cédulas de R$ 100 entregues por um motociclista.

À Polícia Civil, Nazareno também contou que os comandos foram executados dentro do sistema no mês de maio. E que os hackers cada vez faziam contato com um número de telefone diferente.

Ao todo, o funcionário da C&M disse que contatou quatro hackers diferentes durante o processo de ataque ao sistema do banco BMP Instituição de Pagamento S/A.

Os advogados Daniel Bialski e Bruno Borragine, que representam a BMP, elogiam a celeridade da Polícia Civil no caso, em parceria com a Justiça, e afirmaram que a empresa "busca recuperar os valores milionários desviados, bem como identificar e prender toda essa extensa rede da organização criminosa por trás desses crimes”.

Roque foi preso no bairro de City Jaraguá, na Zona Norte de São Paulo. A reportagem não conseguiu contato com a defesa dele. Procurada, a empresa C&M ainda não se manifestou.

 

Fonte: g1

 

Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)