Venda de senhas e ordens falsas de transferência: como foi ataque a empresa que liga bancos ao PIX

Suspeito preso era funcionário de uma das empresas afetadas e contribuiu para maior ataque hacker do Brasil, segundo a Polícia Civil de São Paulo. Polícia Civil prende em SP suspeito de ataque hacker ao sistema que liga bancos ao PIX
A invasão ao sistema da C&M Software, empresa que liga bancos ao PIX, foi o maior ataque hacker do Brasil, segundo a Polícia Civil de São Paulo. Ele aconteceu depois que um funcionário da empresa vendeu sua senha para hackers, de acordo com os policiais.
João Nazareno Roque, de 48 anos, foi detido na quinta-feira (3). Ele trabalhava há três anos como desenvolvedor júnior na C&M Software, uma empresa que liga bancos pequenos a sistemas do Banco Central, como o PIX.
Segundo a Polícia Civil, Roque disse ter vendido sua senha por R$ 5 mil e, depois, executou comandos no sistema por mais R$ 10 mil.
Já o ataque gerou um prejuízo muito maior: a BMP, que se conectava ao sistema da C&M e foi uma das instituições afetadas, disse ter perdido R$ 541 milhões.
Ao menos outras cinco instituições foram afetadas, mas seus nomes ainda não foram revelados. Fontes da TV Globo estimam que o valor total do ataque pode chegar a R$ 800 milhões.
Esse valor foi furtado da conta reserva, um tipo de conta que instituições financeiras mantêm no Banco Central. Não há informações de que pessoas físicas tenham sido afetadas pelo golpe.
Entenda abaixo como foi o ataque à C&M, segundo o depoimento do suspeito à Polícia Civil:
João Nazareno Roque disse ter sido abordado em março por um homem que sabia que ele trabalhava em uma empresa de sistemas de pagamentos;
uma semana depois, esse homem ofereceu R$ 5 mil pelo acesso ao sistema da C&M;
cerca de 15 dias depois, o homem retomou o contato, oferecendo mais R$ 10 mil para Roque executar comandos nesse sistema;
os comandos foram executados em maio no sistema da C&M;
com acesso ao sistema, foi possível emitir ordens falsas de transferências via PIX em nome da BMP.
“Se passavam pela empresa vítima, que é o [banco] BMP, dizendo: ‘Olha, eu quero, estou determinando uma transferência pix para outras empresas'”, explicou o delegado Renato Topan, da Divisão de Crimes Cibernéticos (DCCIBER).
A Polícia afirma que segue investigando o caso para identificar os outros participantes do ataque. Roque, o suspeito preso, disse ter conversado com quatro pessoas por celular, mas que não sabe quem eles são.
“Eram vozes de jovens, mas ele só conversava por mensagem e por ligação de app. O único que ele viu [o rosto] foi o primeiro que vez a abordagem [na saída do bar]”, afirmou Topan.
A C&M disse que “as evidências apontam que o incidente decorreu de uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso”, e não por falhas nos sistemas da empresa.
“Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança”, afirmou a empresa, em nota.
LEIA TAMBÉM:
O que se sabe sobre o golpe histórico e o suspeito preso em SP
O que se sabe sobre ataque hacker contra empresa que interliga bancos ao PIX