Um ataque hacker considerado um dos maiores da história do setor financeiro brasileiro resultou no desvio de ao menos R$ 800 milhões da C&M Software, empresa responsável por conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), incluindo o Pix. O valor pode chegar a R$ 1 bilhão, segundo estimativas. O caso mobiliza investigações da Polícia Federal, Polícia Civil de São Paulo e Banco Central.
INVASÃO À INFRAESTRUTURA
A violação foi detectada e comunicada na noite de terça-feira (1º) pela C&M Software, autorizada pelo Banco Central (BC) para operar no sistema financeiro. A empresa relatou que o ataque comprometeu contas reservas de seis instituições financeiras, entre elas a BMP Instituição de Pagamento S/A e a Credsystem.
O BC confirmou o ataque, mas não divulgou oficialmente os valores desviados. Em nota, determinou o desligamento do acesso das instituições à infraestrutura operada pela C&M, como forma de contenção e investigação.
Segundo a C&M, os criminosos utilizaram credenciais legítimas de clientes para acessar os sistemas de forma fraudulenta.
DESTINO DOS VALORES: CRIPTOATIVOS
A apuração inicial aponta que os valores foram transferidos para carteiras de criptoativos, especialmente bitcoin e tether. De acordo com o especialista Paulo Trindade, gerente de segurança cibernética, a movimentação é típica de tentativas de dificultar o rastreamento dos recursos.
A plataforma Truther, da empresa SmartPay, detectou transações suspeitas nos primeiros minutos de segunda-feira (30). Algumas dessas operações foram bloqueadas, e valores chegaram a ser devolvidos, conforme confirmou o CEO da empresa, Rocelo Lopes. Ele, no entanto, não revelou os nomes dos envolvidos nem os montantes recuperados.
“Esse ataque indica um esquema criminoso altamente elaborado, e serve como alerta severo às instituições financeiras e empresas de tecnologia”, afirmou Paulo Suzart, consultor em cibersegurança.
ENVOLVIMENTO INTERNO
As investigações avançaram com a prisão de João Nazareno Roque, operador de TI da C&M Software, detido na quinta-feira (3). Em depoimento à Delegacia de Crimes Cibernéticos do Deic, ele confessou ter vendido sua senha por R$ 15 mil a hackers, com quem passou a colaborar.
Nazareno contou que, em março, foi abordado por um homem ao sair de um bar em São Paulo. O criminoso sabia onde ele trabalhava e lhe ofereceu inicialmente R$ 5 mil pelo acesso ao sistema da C&M, que prestava serviços à BMP. Uma segunda proposta de R$ 10 mil foi feita cerca de 15 dias depois, paga em dinheiro vivo entregue por um motociclista.
Ainda segundo o depoimento, os comandos foram executados no sistema durante o mês de maio, com orientações enviadas por diferentes números de telefone, o que dificultava o rastreamento.
EMPRESAS AFETADAS TENTAM CONTER DANOS
A BMP afirmou que os recursos acessados pertencem exclusivamente às contas reservas mantidas no BC, sem relação com valores de clientes. A empresa diz ter adotado todas as medidas legais cabíveis e que possui colaterais suficientes para cobrir os prejuízos. “Seguimos operando normalmente, com total segurança”, declarou em nota.
A Polícia Federal e os órgãos envolvidos seguem rastreando os valores desviados e os demais integrantes do esquema.
Com informações do Estadão Conteúdo
