Ataque hacker ao Banco Central: mais de R$ 540 milhões desviados em 3 horas; veja o que se sabe

O Banco Central confirmou um ataque hacker à empresa C&M Software na quarta-feira (02). Já nesta sexta-feira (04), o Departamento Estadual de Investigações Criminais (DEIC), da Polícia Civil de São Paulo, informou que prendeu um suspeito de envolvimento no crime.

O homem deu detalhes sobre a invasão aos sistemas da empresa terceirizada pelo BC. Por enquanto, apenas uma empresa confirmou oficialmente que foi vítima do golpe – e declarou um prejuízo de mais de R$ 541 milhões.

Confira o que já se sabe sobre o crime, o depoimento do suspeito e o que dizem as instituições envolvidas.

Banco Central confirmou o ataque na quarta-feira (Imagem: Badass artists/Shutterstock)

Relembre o caso do ataque hacker ao Banco Central

O ataque hacker aconteceu na quarta-feira (02) e atingiu a C&M Software (CMSW), empresa de tecnologia que atua na comunicação entre instituições financeiras. Ela é usada por bancos e outras instituições conectadas ao Sistema de Pagamentos Brasileiro (SPB), incluindo operações via Pix.

A empresa comunicou a invasão ao BC, que informou que nenhum valor administrado diretamente foi afetado. No entanto, o incidente permitiu acesso indevido a contas de reserva de ao menos seis instituições financeiras atendidas pela CMSW. Uma delas, a BPM, informou que perdeu, sozinha, R$ 541 milhões. Daremos mais detalhes sobre o prejuízo abaixo.

Apesar de não ter sido afetado diretamente, o BC determinou o desligamento do acesso das instituições financeiras às infraestruturas operadas pela C&M Software e iniciou uma apuração do caso. No dia seguinte, na quinta-feira (03), a terceirizada obteve autorização para reestabelecer as operações do Pix, sob regime de produção controlada.

Por sua vez, o Banco Central disse ter substituído a suspensão cautelar da empresa por uma parcial, indicando que as operações da CMSW seguem sob controle externo.

BC afirmou que nenhum valor valor administrado diretamente foi afetado (Imagem: Brenda Rocha – Blossom / Shutterstock)

Prejuízo supera os R$ 540 milhões

A Polícia Civil de São Paulo informou que a BMP foi uma das seis instituições afetadas pelo ataque hacker. Sozinha, ela perdeu R$ 541 milhões.

A BMP é uma instituição de soluções financeiras, bancárias e tecnológicas para outras empresas. Ou seja, não tem clientes físicos, apenas jurídicos.

Ainda de acordo com a Polícia de SP, o valor foi desviado em menos de três horas através de transferências Pix. O crime está sendo considerado como o “maior golpe sofrido pelas instituições financeiras pela internet”.

Por enquanto, a empresa é a única a se declarar vítima do golpe, mas outras cinco instituições também foram afetadas. Segundo representantes da polícia, as autoridades trabalham para identificar as demais. O prejuízo total do crime ainda está sendo contabilizado. A TV Globo estima que a quantia pode chegar a R$ 800 milhões. Já a Folha de São Paulo fala em R$ 1 bilhão.

Desvio milionário teria acontecido via transações Pix (Imagem: Photo For Everything / Shutterstock.com)

Suspeito deu detalhes sobre o ataque hacker

Durante a investigação do caso, a terceirizada informou que os criminosos usaram credenciais de clientes (como senhas de acesso) para entrar no sistema e realizar os desvios.

O suspeito preso pela Polícia Civil de São Paulo é João Nazareno Roque, operador de TI na C&M Software. Ele prestou depoimento e revelou detalhes sobre o ataque hacker:

O operador trabalhava na empresa há cerca de três anos. Em março, ao sair de um bar em São Paulo, foi abordado por um homem que sabia de sua profissão;

Segundo Nazareno, o homem ofereceu R$ 5 mil para conhecer o sistema da C&M Software;

Cerca de 15 dias depois, em um segundo contato, ele subiu a proposta para R$ 10 mil, para que o operador executasse comandos dentro da plataforma. O pagamento foi feito em dinheiro vivo, em cédulas de R$ 100;

Nazareno revelou que os comandos foram executados em maio e que, a cada vez, os hackers faziam contato por um número de telefone diferente. Eles só se comunicavam por mensagem e ligação no WhatsApp;

O operador revelou que chegou a conversar com quatro hackers diferentes por ligação no dia da fraude. O único contato presencial foi com o homem que o convidou para o crime.

Os advogados Daniel Bialski e Bruno Borragine, representantes da BMP, elogiaram a condução da Polícia Civil no caso. Ao g1, eles afirmaram que a empresa “busca recuperar os valores milionários desviados, bem como identificar e prender toda essa extensa rede da organização criminosa por trás desses crimes”.

Crime está sendo considerado o “maior golpe sofrido pelas instituições financeiras pela internet” (Imagem: Novikov Aleksey/Shutterstock)

O que dizem os envolvidos

Abaixo, leia na íntegra as notas de cada um dos envolvidos após o reestabelecimento das operações da CMSW:

Banco Central (BC)

“A suspensão cautelar da C&M foi substituída por uma suspensão parcial.

A decisão foi tomada após a empresa adotar medidas para mitigar a possibilidade de ocorrência de novos incidentes.

As operações da C&M poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais.”