Polícia Civil prende em SP suspeito de ataque hacker ao sistema que liga bancos ao PIX

A Polícia Civil de São Paulo prendeu na quinta-feira (3) o homem suspeito de facilitar um dos maiores ataques hackers ao sistema financeiro brasileiro por meio de empresa que presta serviços a bancos menores e fintechs para realizar operações com o Banco Central, entre elas, o PIX.

O ataque cibernético que afetou pelo menos seis bancos causou alvoroço no mercado financeiro na quarta-feira (2).

Segundo o Departamento Estadual de Investigações Criminais (Deic), o preso, João Nazareno Roque, é funcionário da empresa de tecnologia C&M Software (CMSW) e deu acesso pela máquina dele ao sistema sigiloso para os hackers que efetuaram o ataque.

Ele foi preso no bairro de City Jaraguá, na Zona Norte de São Paulo.

Em nota, a C&M Software diz que colabora com as investigações e diz que, desde que foi identificado o incidente, adotou “todas as medidas técnicas e legais cabíveis”. A empresa diz também que a plataforma continua plenamente operacional e que, em respeito ao trabalho das autoridades, não se pronunciará publicamente enquanto os procedimentos das autoridades estiverem em andamento.

Ataque hacker é um dos mais graves já registrados no Brasil

À polícia, Roque disse que vendeu a sua senha por R$ 5 mil a hackers em maio e depois, por mais R$ 10 mil, participou da criação de um sistema para permitir os desvios. Ele relatou ainda que só se comunicava com os criminosos por celular e não os conhece pessoalmente. Além disso, contou que trocou de celular a cada 15 dias para não ser rastreado.

Uma conta com R$ 270 milhões usada receber o dinheiro desviado já foi bloqueada. A investigação policial apura o envolvimento de outras pessoas.

O caso veio a público quando a BMP, empresa que é cliente da C&M, registrou um boletim de ocorrência relatando que havia sido alvo de desvios milionários, e a C&M que reportou às autoridades um ataque às suas infraestruturas.

De acordo com a C&M, criminosos usaram credenciais, como senhas, de seus clientes para tentar acessar seus sistemas e serviços de forma fraudulenta. Isso permitiu o acesso indevido a informações e contas de reserva de pelo menos seis instituições financeiras.

O que aconteceu?

A C&M Software reportou para o Banco Central um ataque às suas infraestruturas digitais. Esse tipo de ataque é conhecido pelo mercado como “cadeia de suprimentos” (“supply chain attack”, em inglês). Nele, invasores acessam sistemas de terceiros usando credenciais (como senhas) privilegiadas para realizar operações financeiras.

As contas de reservas são contas que os bancos e instituições financeiras mantêm no BC. Essas contas funcionam como uma conta corrente e são utilizadas para processar as movimentações financeiras das instituições. Também podem servir como uma reserva de recursos.

O que faz a C&M Software?

A C&M Software é uma empresa brasileira de tecnologia da informação (TI) voltada para o mercado financeiro. Entre os serviços prestados pela companhia, está o de conectividade com o Banco Central e de integração com o Sistema de Pagamentos Brasileiro (SBP).

Na prática, isso significa que a empresa funciona como uma ponte para que instituições financeiras menores possam se conectar aos sistemas do BC e fazer operações — como o PIX, por exemplo.

A empresa tem atuação nacional e internacional e foi homologada pelo BC para essa função desde 2001. Atualmente, outras oito empresas também são homologadas no país.

Qual foi o impacto do ataque?

Apesar de as instituições indicarem que não houve nenhum dano às contas e informações de seus clientes, especialistas alertam para os impactos significativos no próprio sistema financeiro.

Ainda não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

O BC ainda não informou o nome de todas as instituições afetadas. Uma das que se sabe é a BMP, empresa que fornece infraestrutura para plataformas bancárias digitais e é cliente da C&M Software. A BMP foi quem divulgou nota sobre o incidente.

“O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP”, diz a nota da empresa.

O jornal “Valor Econômico” indicou que a Credsystem e o Banco Paulista também estavam entre as instituições afetadas.

O que deve acontecer agora?

Após o incidente, ainda na quarta-feira, o BC afirmou que determinou o desligamento do acesso das instituições financeiras afetadas às infraestruturas operadas pela C&M Software. Essa suspensão cautelar imposta pelo BC à empresa foi substituída por uma suspensão parcial nesta quinta.

Micaella Ribeiro, da IAM Brasil, acredita que o incidente também deverá atrair atenção de reguladores, como o BC e o Conselho Monetário Nacional, que vêm acompanhando o risco sistêmico associado à transformação digital do setor.

Suspeito recebeu R$ 15 mil

Em depoimento ao DEIC, João afirmou que o primeiro contato aconteceu em março, quando um homem o abordou na rua e demonstrou conhecer detalhes sobre seu trabalho.

Dias depois, ele recebeu uma ligação via WhatsApp com a proposta de entregar suas credenciais em troca de R$ 5 mil. Após o pagamento, João forneceu login e senha corporativos. Duas semanas depois, criou uma conta na plataforma Notion para receber instruções sobre como operar o sistema remotamente e, em seguida, passou a executar comandos a partir do próprio computador.

De acordo com o depoimento de João Nazareno Roque, ele recebeu dois pagamentos:

R$ 5 mil pelo fornecimento do login e senha corporativos da empresa C&M. O pagamento foi feito via motoboy, que também recolheu os dados de acesso.
R$ 10 mil por continuar inserindo comandos no sistema a partir do próprio computador, a serviço do grupo criminoso. Esse segundo valor também foi pago em notas de R$ 100,00, novamente via Motoboy.

O que diz a C&M Software

A empregadora do suspeito informou em nota que segue colaborando com as autoridades competentes nas investigações.

“Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança”, diz trecho do comunicado.

Segundo a empresa, a estrutura de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

“Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW. Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente”, completou a C&M na nota.