A Polícia Civil prendeu em São Paulo um suspeito envolvido no ataque hacker ao sistema que conecta os bancos ao PIX. Segundo os investigadores, o indivíduo é funcionário de uma empresa terceirizada do Banco Central (BC) e concedeu acesso ao sistema sigiloso do banco aos hackers responsáveis pelo ataque. O Departamento Estadual de Investigações Criminais (DEIC) realizou a prisão na quinta-feira (3) e identificou o homem como parte do ocorrido que causou desvio de milhões de reais de uma empresa prestadora de serviços ao BC.
O ataque cibernético afetou pelo menos seis instituições financeiras, causando agitação no mercado financeiro no dia 2 de julho. O suspeito preso, sendo funcionário de uma empresa terceirizada do BC, facilitou o acesso ao sistema sigiloso do banco aos hackers, concedendo a senha de acesso a terceiros que cometeram a fraude. Essa ação criminosa é considerada um dos mais graves já registrados no Brasil, com consequências significativas para o sistema financeiro do país.
A C&M Software, empresa responsável pela conexão de bancos menores ao sistema PIX do BC, reportou o ataque ao Banco Central. Os criminosos utilizaram credenciais dos clientes da empresa para acessar de forma fraudulenta as contas de reserva de pelo menos seis instituições financeiras. O BC ainda não divulgou o nome de todas as instituições afetadas, mas fontes estimam que o prejuízo pode chegar a R$ 800 milhões.
A forma como o ataque aconteceu envolveu o comprometimento do acesso da C&M Software, explorando falhas de segurança e credenciais dos clientes de forma indevida. Os invasores conseguiram acesso a sistemas sensíveis das instituições financeiras e realizaram transações de forma rápida e fora do horário comercial, convertendo os valores em criptoativos para redistribuição.
Os criminosos atuaram concentrando esforços nas vulnerabilidades da empresa prestadora de serviços ao invés de atacar diretamente as instituições financeiras. A obtenção das credenciais pode ter ocorrido por meio de técnicas como “spear-phishing”, onde e-mails ou mensagens personalizadas são utilizados para enganar funcionários e obter informações confidenciais. O impacto do ataque não se limita ao prejuízo financeiro, mas também inclui consequências reputacionais, sistêmicas e operacionais.
Ataques dessa natureza, em grande escala, ocorrem ocasionalmente no Brasil, mas a repercussão desse caso foi maior devido ao número de instituições afetadas. As investigações das autoridades, como a Polícia Federal e a Polícia Civil de São Paulo, estão em andamento para identificar os responsáveis e rastrear os valores subtraídos. Reguladores como o BC e o Conselho Monetário Nacional estão atentos ao risco sistêmico associado à transformação digital do setor financeiro e devem agir para prevenir futuros incidentes.