A Polícia Federal (PF) iniciou uma investigação para apurar um ataque cibernético massivo que resultou no desvio de centenas de milhões de reais de contas ligadas ao Banco Central. O desfalque ocorreu através da infraestrutura da empresa C&M Software, intermediária na integração de bancos menores ao Sistema de Pagamentos Brasileiro (SPB). Considerada uma das operações mais sofisticadas já registradas contra o sistema financeiro do Brasil, o ataque atingiu contas de liquidação de ao menos oito instituições bancárias e não bancárias, causando um impacto em cadeia nos sistemas de pagamento.
Os investigadores, agora, trabalham para identificar os autores do crime, mapear o caminho do dinheiro e esclarecer como as credenciais de acesso foram comprometidas.
Reprodução
Como o ataque foi executado
A principal hipótese é que os criminosos exploraram brechas de segurança em sistemas de mensageria entre instituições financeiras e o Banco Central, utilizando credenciais legítimas de clientes da C&M. Essa empresa atua como uma ponte para integrar bancos menores ao SPB.
O foco da apuração está em entender como essas credenciais foram obtidas e como o ataque foi executado com tamanha rapidez. Em poucos minutos, os invasores conseguiram movimentar valores expressivos via Pix a partir das chamadas “contas reserva”, que funcionam como cofres digitais de liquidação entre instituições financeiras.
Apenas da empresa BMP, especializada em soluções de banking as a service, foram desviados R$ 400 milhões. O prejuízo total estimado já ultrapassa R$ 800 milhões, mas pode chegar a cifras superiores a R$ 3 bilhões.
Desafios da investigação e segurança do sistema
A Polícia Federal também investiga se há envolvimento de organizações criminosas especializadas em fraudes digitais, além de tentar rastrear os recursos transferidos. Os valores foram pulverizados em dezenas de transações quase simultâneas, e o uso do Pix como instrumento de fuga rápida dificulta a recuperação, tornando o rastreamento um dos principais desafios da investigação.
As autoridades estudam, ainda, a necessidade de revisão dos protocolos de segurança adotados por Provedores de Serviços de Tecnologia da Informação (PSTIs), como a C&M. Esses provedores fazem a ponte entre fintechs e o Banco Central, permitindo operações como Pix e TED. Embora a arquitetura do Banco Central não tenha sido diretamente invadida, o caso expôs fragilidades no ecossistema que sustenta a digitalização dos pagamentos no país.
A C&M informou que foi vítima direta da ação criminosa e que está colaborando com a PF, o Banco Central e a Polícia Civil de São Paulo. O BC, por sua vez, confirmou o incidente e ordenou o desligamento temporário da infraestrutura da C&M, o que afetou a operação do Pix em quase 300 instituições conectadas por meio da empresa.
Fonte: Metrópoles
Redigido por ContilNet.