Criminosos desviaram R$ 1 bilhão em contas vinculadas ao Banco Central. Depósitos de pessoas físicas não foram afetados. Suspeito foi preso por facilitar acesso ao sistema.Um ataque hacker contra uma empresa brasileira que presta serviços de tecnologia para instituições financeiras, a C&M Software, desviou cerca de R$ 1 bilhão depositados em contas reservas mantidas no Banco Central (BC) e levou à interrupção temporária do serviço de pagamentos instantâneos Pix.
Nesta sexta-feira (04/07) a Polícia Civil prendeu em São Paulo um suspeito de facilitar o golpe. Segundo a Globo News, o operador de TI era funcionário terceirizado da C&M Software e permitiu aos hackers acessarem o sistema da empresa por meio de seu computador pessoal. A investigação ocorre no âmbito do Departamento Estadual de Investigações Criminais.
O ataque jé considerado o maior deste tipo já realizado contra instituições financeiras brasileiras. Veja o que se sabe até agora sobre a ação dos criminosos.
Qual é a atuação da C&M Software?
A C&M Software faz a mediação de informações e conecta instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), que inclui o ambiente Pix.
Na prática, a empresa permite que instituições de pequeno porte que não possuem meios de conexão próprios ao ecossistema Pix, por exemplo, possam oferecer o serviço aos seus clientes. Por isso, a companhia não era titular dos recursos desviados.
Segundo o jornal O Globo, a empresa faz essa conexão com 22 bancos, cooperativas e sociedades de crédito.
Como o ataque aconteceu?
O ataque ocorreu na madrugada da última segunda-feira (30/06), mas foi comunicado ao Banco Central apenas no dia seguinte. Na quarta-feira, a Polícia Federal abriu um inquérito para apurar o crime. A suspeita inicial é a de que houve furto mediante fraude, invasão de dispositivo de informática, lavagem de dinheiro e formação de organização criminosa.
Os criminosos usaram credenciais vazadas de clientes da C&M, como login e senha, para acessar os sistemas da empresa.
Segundo a operadora de tecnologia, a invasão não ocorreu por meio de falha em seu software, mas sim devido à exposição de credenciais externas por meio de uma simulação fraudulenta de integração.
"As evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso", disse a companhia em nota.
Em entrevista ao jornal Folha de São Paulo, o CEO da fintech SmartPay disse que o serviço foi usado pelos criminosos para converter os recursos desviados em criptomoedas.
Após detectar um movimento atípico na compra de moedas digitais como o Bitcoin, a fintech bloqueou operações e estornou parte dos recursos.
Até o momento, funcionários do BC ouvidos pela Folha de São Paulo acreditam que cerca de 2% dos valores desviados foram recuperados.
Ataque hacker afeta a conta de clientes?
Depósitos de pessoas físicas não foram atingidos pelos ataques. Os valores acessados pelos criminosos estavam nas chamadas contas reservas. Nelas são depositados recursos das próprias instituições financeiras para cumprirem exigências legais do Banco Central.
Estas contas são compulsórias e existem para controlar as operações bancárias e garantir a liquidez do sistema financeiro. As instituições as utilizam para realizar transferências entre bancos, por exemplo, como no caso de pagamentos instantâneos. Ou seja, os valores não pertencem a clientes individuais, mas aos próprios bancos.
Por que o Pix foi afetado?
Neste tipo de invasão, os hackers comprometem todo o ecossistema financeiro ao explorar a vulnerabilidade de um de seus atores.
Com o objetivo de interromper a ação dos criminosos, o Banco Central incialmente desligou o acesso da C&M e das instituições afetadas ao Sistema de Pagamentos Brasileiro.
Com isso, bancos ligados à empresa de tecnologia tiveram operações Pix temporariamente suspensas por motivos de segurança, o que levou clientes a não conseguirem acessar o serviço.
Na quinta-feira (03/07), O BC autorizou o reestabelecimento parcial das operações via Pix para clientes da empresa que autorizarem formalmente a retomada das transferências.
Segundo a autoridade monetária, tais operações agora devem ocorrer de forma controlada, em dias úteis, e dentro de um horário determinado.
"Todas as medidas previstas em nossos protocolos de segurança foram imediatamente adotadas, incluindo o reforço de controles internos, auditorias independentes e comunicação com os clientes afetados", disse a C&M, em nota.
Quais instituições financeiras foram prejudicadas?
Ao menos seis provedores, entre bancos menores e fintechs, tiveram recursos desviados.
Entre eles está a BMP, uma prestadora de serviços financeiros que se apresenta como "o banco por trás do boom das fintechs" no Brasil. Segundo a empresa, seis instituições tiveram suas contas reservas acessadas.
"O ataque envolveu exclusivamente recursos depositados em sua conta reserva no Banco Central. A instituição já adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo à sua operação ou a seus parceiros comerciais", disse a empresa, em nota.
Outra instituição que confirmou o ataque foi o Banco Paulista, que possui milhares de clientes, incluindo empresas de médio e grande porte. O banco relatou uma interrupção temporária em seu serviço Pix, ressaltando que as contas dos clientes permaneceram seguras.
O que diz a C&M Software?
Em nota, a C&M Software informou ter sido "vítima direta" de um ataque hacker, que incluiu o "uso indevido de credenciais de clientes" para tentar acessar de forma fraudulenta sistemas e serviços da empresa.
"Por orientação jurídica e em respeito ao sigilo das apurações, a C&M não comentará detalhes do processo, mas reforça que todos os seus sistemas críticos seguem íntegros e operacionais e que as medidas previstas nos protocolos de segurança foram integralmente executadas", destacou a empresa.
Analistas avaliam que se houver comprovação de falha na segurança da empresa, ela será responsável pela devolução dos recursos aos seus clientes.
gq/cn (Agência Brasil, ots)