O que se sabe sobre um dos maiores ataques ao sistema financeiro

Cibercriminosos acessaram essas "contas reservas", usados para transações entre bancos, e transferiram o dinheiro de bancos clientes da C&M Software. A companhia de tecnologia tinha permissão para operar as contas reservas de seus clientes no Bacen (Banco Central do Brasil), que são usadas para liquidar operações de Pix entre as financeiras.

Quem foi afetado

Seis instituições financeiras foram afetadas. Algumas organizações, como os grandes bancos, conseguem se conectar diretamente com o SPB, o regulador do BC para as transações brasileiras, mas outras dependem de intermediários, como a C&M, para viabilizar essa integração. A lista oficial das seis instituições financeiras afetadas não foi divulgada pelo Banco Central, mas entre elas estão a BMP, a Credsystem e o Banco Paulista.

O principal cliente afetado foi a BMP, empresa que atua no modelo de banking as a service. Regulamentada pelo BC desde 2009, a empresa fornece contas digitais e outros serviços financeiros para empresas ou instituições não bancárias oferecerem esses serviços ao cliente.

A BMP disse em que nota que o ataque permitiu acesso indevido à sua conta reserva e de mais outras cinco instituições financeiras. A empresa diz que nenhum cliente da BMP foi impactado ou teve seus recursos afetados. "As contas reserva são mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária - sem qualquer relação com as contas de clientes finais ou com os saldos mantidos dentro da BMP", explicou a empresa.

Outro banco atingido foi o Banco Paulista. Em nota em seu site, a empresa diz que na segunda-feira uma falha num provedor terceirizado causou interrupção temporária do serviço de Pix, impactando diversas instituições. A instituição afirma que o problema "não comprometeu dados sensíveis nem gerou movimentações indevidas" e que equipes técnicas atuam "para restabelecer o serviço o quanto antes".

"Como se fosse a Casa de Papel", definiu especialista. Apesar de na série os protagonistas imprimirem dinheiro de um banco central, neste caso, não foram roubados fundos de correntistas, mas dos próprios bancos, explicou Hiago Kin, presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos) ao UOL Tilt.

Os cibercriminosos invadiram a infraestrutura da C&M Software e geraram transferências fraudulentas diretamente das contas reservas dos bancos afetados.
Hiago Kin, presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos)

Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW, disse a C&M. "Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente".

Em respeito ao trabalho das autoridades e ao sigilo necessário às investigações, a empresa manterá discrição e não se pronunciará publicamente enquanto os procedimentos estiverem em andamento. A CMSW reafirma seu compromisso com a integridade, a transparência e a segurança de todo o ecossistema financeiro do qual faz parte princípios que norteiam sua atuação ética e responsável ao longo de 25 anos de história.
C&M Software, em nota ao UOL nesta sexta-feira (4)

Pix está operando?

Logo após ser informado do episódio, o BC determinou que a C&M desligasse o acesso das instituições às suas infraestruturas. Com isso, algumas das empresas afetadas ficam sem acesso ao Pix, por exemplo.

C&M Software desde quinta (3) restabeleceu as operações do Pix para as instituições financeiras atendidas. A medida foi autorizada pelo BC, segundo a empresa, e ocorre "sob regime de produção controlada". Na BMP houve uma interrupção temporária nas transações Pix de seus clientes, mas situação também foi regularizada e as operações acontecem normalmente desde ontem.

Qual foi o prejuízo?

O ataque contra o sistema da empresa de software C&M pode ser o maior da história do sistema financeiro nacional. Inicialmente as estimativas falavam em R$ 1 bilhão de prejuízo, mas segundo apurações da coluna de Mariana Barbosa, especula-se que o prejuízo seja ainda maior, de até R$ 3 bilhões. Os números ainda estão sendo auferidos.

Há três anos, o BRB, banco público de Brasília, sofreu um ataque na modalidade ransomware, com golpistas exigindo cerca de R$ 5 milhões para não divulgar dados confidenciais de clientes. A Polícia Federal e a Delegacia de Crime Cibernético do Estado de São Paulo estão tentando rastrear o dinheiro.

Prisão de suspeito

A Polícia Civil prendeu hoje um suspeito pelo ataque ao sistema da C&M Software que atende o Banco Central. Ele teria viabilizado o crime fornecido senha e login de acesso aos golpistas, explicou a Polícia Civil, após ter sido abordado por um homem que "desejava conhecer o sistema", quando saia de um bar no mês de março.

Suspeito preso era funcionário da C&M Software. João Nazareno Roque era registrado como analista de suporte. Contratado em regime CLT, o suspeito tinha um salário de R$ 3.003,27, segundo fontes.

Ele teria recebido R$ 15 mil como pagamento para facilitar golpe. Segundo as investigações do Deic da Polícia Civil de São Paulo, Nazareno recebeu R$ 5 mil para dar acesso a um estranho que o abordou em um bar. E depois mais R$ 10 mil para ajudar na criação de um sistema para permitir os desvios. Ele disse ter sido seduzido pela proposta dos bandidos e alegou que "não sabia o que iria acontecer". A versão do suspeito ainda será confrontada pelas investigações.

O que acontece agora?

Já os consumidores não serão afetados pelo ataque contra o sistema do Pix, segundo Luiz Augusto D'Urso, advogado especialista em cibercrimes. Em entrevista à edição de hoje do UOL News, o especialista disse o prejuízo é dos bancos. "O consumidor não tem que se preocupar. Tem apenas que cobrar para que haja uma melhora na situação da cibersegurança para que isso não volte a ocorrer, muito menos com as nossas contas. Nessa situação, o consumidor só tem que cobrar a melhoria de escolher empresas mais seguras e de sempre evoluir o sistema de cibersegurança", afirmou.

D'Urso explicou que, mesmo se alguma pessoa fosse afetada diretamente pelo ataque, ela obrigatoriamente teria que ser ressarcida integralmente pelo banco. "A conta afetada é essa reserva, que não é de responsabilidade de nenhum consumidor. Eu tranquilizo os consumidores porque, mesmo se o problema tivesse acontecido com um ou vários deles, a responsabilidade é exclusiva do banco".

(*) Com informações do Estadão e DW