Para desviar cerca de R$ 1 bilhão de recursos mantidos no Banco Central na madrugada de segunda-feira (30), criminosos se passaram por uma instituição financeira legítima, usando dados de acesso roubados, diz a empresa alvo da fraude, a C&M Software. A companhia é responsável pela comunicação de 22 instituições financeiras com o BC, sobretudo no âmbito do sistema Pix.
Segundo a empresa, não houve exposição de dados sensíveis de clientes. "O ataque visou simular transações, não roubar informações." Acrescenta que trabalha para reforçar os protocolos de segurança exigidos de seus clientes.
Ainda não há pareceres oficiais da autoridade monetária ou das polícias Federal e Civil do estado de São Paulo que investigam o caso. Para juntar as peças por trás do maior incidente cibernético já registrado no Brasil, a reportagem consultou especialistas em cibersegurança.
Como não houve menção a programas comprometidos, por parte das companhias envolvidas no caso, foi descartado um ataque do tipo ‘dia zero’, em que o criminoso descobre uma brecha no código do sistema para acessá-lo mesmo sem ter permissão. Assim, a tese de que os criminosos obtiveram acesso privilegiado ganhou força.
COMO FUNCIONA SEGURANÇA BANCÁRIA
A maior sofisticação das barreiras dos sistemas bancários levantou um debate se o ataque envolveu um acesso às máquinas da C&M Software ou se foi uma falha no servidor.
As empresas do setor financeiro adotam medidas de segurança que ultrapassam os tradicionais usuário e senha. Isso inclui autenticação multifator (com envio de mensagens ou chave física), certificados digitais e mensagens cifradas (as chamadas chaves API).
No caso de grandes bancos e companhias mais consolidadas, é comum a adoção de aparelhos para armazenar as chaves e certificados de segurança, os chamados módulos de segurança física. Trata-se de uma espécie de HD externo com as informações de acesso.
"Esses dispositivos são projetados para evitar extração ou uso não autorizado das chaves, com controles físicos e lógicos rígidos", explica Isabel Silva, diretora da empresa de cibersegurança Add Value.
Caso a C&M Software use essa tecnologia, seria necessário que os criminosos tomassem posse desse equipamento e acessassem um computador da empresa, antes de conseguir acesso.
A empresa de tecnologia disse que não comenta detalhes do caso por orientação jurídica e em respeito ao sigilo das apurações. "As medidas previstas nos protocolos de segurança foram integralmente executadas."
O problema, de acordo com Marco Zanini, CEO da companhia de cibersegurança Dinamo Networks, é que a maioria das prestadoras de serviço para bancos menores, como é o caso da C&M Software, não guardam as chaves criptográficas em dispositivos físicos.
ATAQUES COSTUMAM APROVEITAR VULNERABILIDADES
As chaves de segurança podem ficar armazenadas em servidores ou repositórios vulneráveis, permitindo o acesso do grupo criminoso aos sistemas da vítima. "Se um invasor obtém essas credenciais privilegiadas, ele consegue executar operações reais no sistema bancário como se fosse a empresa, movimentando valores e instruindo transferências legítimas", diz Silva, da Add Value.
Mesmo que o vazamento de credenciais tenha sido o vetor inicial, as autoridades ainda devem apurar se os criminosos conseguiram explorar outras vulnerabilidades para concretizar as movimentações financeiras.
"Pode haver falhas em sistemas internos ou permissões excessivas para determinados usuários, permitindo que quem obtém um acesso limitado consiga avançar até alcançar sistemas críticos", exemplifica a especialista.
Ainda assim, os criminosos conseguiram movimentar contas reservas de oito dos 22 clientes da C&M Software. Esse é um sinal de que os invasores foram barrados pelos mecanismos de proteção de parte das instituições financeiras.
CRIMINOSOS CONHECIAM SISTEMA DO BC
"Os responsáveis pelo ataque demonstraram conhecimento profundo e granular do funcionamento do Sistema de Pagamentos Brasileiro", analisou Kleber Carriello, engenheiro sênior da multinacional de segurança cibernética Netscout. Isso porque eles miraram as contas reservas, utilizadas exclusivamente para a liquidação de transações entre as instituições financeiras —em geral, de alto valor.
"A escolha desse alvo indica um planejamento meticuloso, para maximizar o ganho financeiro em uma única operação e explorar o coração do mecanismo de liquidez do sistema", afirmou Carriello.
De acordo com ele, o incidente indica que falta monitoramento em tempo real sobre o tráfego de valores no sistema de pagamento. "Mesmo com credenciais válidas, deveria haver alertas para padrões de movimentação anômalos, como acessos fora do horário habitual, transações com volumes atípicos ou mudanças súbitas no comportamento de sistemas."
COMO FOI LAVAGEM DE DINHEIRO
Depois de saquear as contas reservas das instituições financeiras, os criminosos espalharam as quantias por contas laranjas em mais de 40 instituições.
Os recursos, depois, foram usados para comprar criptomoedas, de acordo com Rocelo Lopes, o CEO da SmartPay, uma startup que integra o sistema Pix a plataformas de criptomoedas. Os invasores tentaram usar a própria SmartPay para obter criptoativos.
Ao notar uma explosão de abertura de contas em sua fintech e uma demanda acima do normal por USDT, uma criptomoeda que usa o dólar como âncora de preço, e bitcoins, Rocelo decidiu bloquear movimentações ainda na madrugada de segunda-feira, quando aconteceu o ataque.
Os criminosos costumam usar essas duas criptomoedas mais conhecidas para obter outros criptoativos de difícil rastreio, como a monero.
Interlocutores do Banco Central disseram à Folha sob condição de anonimato que, apesar de uma parcela do R$ 1 bilhão desviado já ter sido bloqueada em instituições do sistema Pix, o devolvido até agora é irrelevante.
C&M SOFTWARE DIZ QUE REFORÇARÁ EXIGÊNCIAS DE SEGURANÇA
A C&M Software diz que, assim que percebeu o ataque, isolou a parte afetada do sistema, bloqueou canais suspeitos, registrou a fraude no mecanismo especial de devolução do Pix, além de ter comunicado o BC e as autoridades policiais.
De acordo com a empresa, os clientes podem escolher quais mecanismos de segurança querem habilitar segundo as próprias necessidades operacionais.
"A C&M Software monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém", afirma a empresa em nota.
"A empresa está revendo sua política de integração, homologação e governança de APIs e acessos externos, com foco em reduzir riscos compartilhados e exigir padrões mais elevados de segurança ativa por parte dos clientes", acrescentou.
English (US) · 
Portuguese (BR) ·