#Acesse Política | O site de política mais acessado da Bahia! O site de política mais acessado da Bahia!
O Departamento Estadual de Investigações Criminais (DEIC), da Polícia Civil de São Paulo, prendeu nesta sexta-feira (4) o homem suspeito de envolvimento no ataque hacker que desviou R$ 541 milhões de uma empresa que presta serviços para o Banco Central (BC).
Segundo os investigadores, ele é funcionário de uma empresa terceirizada do BC deu acesso pela máquina dele ao sistema sigiloso do banco aos hackers que efetuaram o ataque.
De acordo com a polícia, o suspeito confirmou informalmente que entregou a senha de acesso para terceiros, que cometeram a fraude.
O ataque cibernético que afetou pelo menos seis instituições financeiras causou alvoroço no mercado financeiro na última quarta-feira (2).
Segundo o Banco Central do Brasil (BC), a C&M Software (CMSW) — uma empresa de tecnologia que conecta bancos menores aos sistemas PIX do BC — reportou um ataque às suas infraestruturas.
De acordo com a companhia, criminosos usaram credenciais, como senhas, de seus clientes para tentar acessar seus sistemas e serviços de forma fraudulenta. Isso permitiu o acesso indevido a informações e contas de reserva de pelo menos seis instituições financeiras.
O BC ainda não informou o nome de todas as instituições afetadas. Também não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.
Entenda nesta reportagem da Globo, o que se sabe e o que ainda falta saber sobre o ataque hacker.
O que faz a C&M Software?
A C&M Software é uma empresa brasileira de tecnologia da informação (TI) voltada para o mercado financeiro. Entre os serviços prestados pela companhia, está o de conectividade com o Banco Central e de integração com o Sistema de Pagamentos Brasileiro (SBP).
Na prática, isso significa que a empresa funciona como uma ponte para que instituições financeiras menores possam se conectar aos sistemas do BC e fazer operações — como o PIX, por exemplo.
A empresa tem atuação nacional e internacional e foi homologada pelo BC para essa função desde 2001. Atualmente, outras oito empresas também são homologadas no país.
O que aconteceu?
A C&M Software reportou para o Banco Central um ataque às suas infraestruturas digitais. O incidente permitiu o acesso indevido a contas de reserva de pelo menos seis instituições financeiras que estavam conectadas à companhia.
As contas de reservas são contas que os bancos e instituições financeiras mantêm no BC. Essas contas funcionam como uma conta corrente, e são utilizadas para processar as movimentações financeiras das instituições.
Essas contas ainda servem como uma reserva de recursos que os bancos precisam manter no BC para garantir que cumpram com suas obrigações financeiras.
Também funcionam para que as empresas possam participar de operações com o próprio BC — como empréstimos de liquidez, aplicações em títulos públicos e depósitos compulsórios (valores obrigatórios mantidos pelos bancos no BC).
Ainda não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.
Quem foi afetado?
O BC ainda não informou o nome de todas as instituições afetadas. Uma das que se sabe é a BMP, empresa que fornece infraestrutura para plataformas bancárias digitais e é cliente da C&M Software. A BMP foi quem divulgou nota sobre o incidente.
“O incidente de cibersegurança comprometeu a infraestrutura da C&M e permitiu acesso indevido a contas reserva de seis instituições financeiras, entre elas a BMP”, diz a nota da empresa.
O jornal “Valor Econômico” indicou que a Credsystem e o Banco Paulista também estavam entre as instituições afetadas.
Como esse ataque aconteceu?
A C&M Software (CMSW) informou que os criminosos usaram credenciais de clientes de forma indevida para acessar seus sistemas e serviços de forma fraudulenta. Com isso, tiveram acesso às contas de reservas das instituições financeiras e, possivelmente, a outras informações.
Esse ataque é conhecido pelo mercado como “cadeia de suprimentos” (“supply chain attack”, em inglês). Nele, invasores acessam sistemas de terceiros usando credenciais (como senhas) privilegiadas para realizar operações financeiras.
“Os criminosos exploraram a confiança estabelecida entre os bancos e seus prestadores para se infiltrar indiretamente no ecossistema financeiro”, explica Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC).
Segundo Micaella Ribeiro, especialista em identidades e acessos da IAM Brasil, o ataque aconteceu em múltiplas fases.
FASE 1: Comprometimento do Acesso
Segundo Ribeiro, o comprometimento do acesso da CMSW provavelmente aconteceu via engenharia social com funcionários ou suporte técnico, em que foi induzida a instalação de softwares de acesso remoto ou entrega de credenciais.
Engenharia social é quando criminosos usam influência ou persuasão para manipular as vítimas a revelarem senhas ou instalarem aplicativos maliciosos.
FASE 2: Persistência e Reconhecimento Interno
A especialista explica que os atacantes exploraram o ambiente comprometido, coletando usuários, senhas, estruturas de sistemas e testando acessos com comandos automatizados, mas ainda sem gerar alarmes.
FASE 3: Exploração de Sistemas de Produção
Com os acessos certos, os criminosos teriam obtido a entrada administrativa em sistemas financeiros sensíveis, com destaque para contas de liquidação, contas reservas ou ambientes com permissões de movimentação.
FASE 4: Execução e Monetização Rápida
As transações foram feitas de forma rápida e fora do horário comercial. Além disso, diz a especialista, os valores muito provavelmente foram convertidos em criptoativo (ativos digitais criptografados) e redistribuídos.
“Essa movimentação foi feita por múltiplos agentes, indicando um ecossistema criminoso estruturado”, afirma Micaella Ribeiro.
