Pix de R$ 18 milhões na madrugada: bastidores do maior roubo da história do sistema financeiro brasileiro

Aos poucos, surgem novas informações sobre o roubo de até R$ 1 bilhão que envolveu uma empresa prestadora de serviços de tecnologia para várias instituições financeiras brasileiras e ligada ao Banco Central do Brasil. Os relatos mais recentes trazem detalhes sobre como o ataque teve início e de que forma as companhias afetadas foram avisadas.

O Brazil Journal conversou com fontes que incluem o fundador da BMP, Carlos Eduardo Benitez, para saber como a invasão foi registrada e quais as consequências imediatas do crime. O caso ainda tem várias pontas soltas e a maior parte do dinheiro ainda não foi recuperado, mas agora já é possível saber ao menos como se deu a invasão.

• Saiba mais: C&M: hackers invadem parceira do Banco Central e roubam R$ 1 bilhão

Como começou o ciberataque financeiro

• A operação começou ainda na madrugada da segunda-feira (30). Por volta das 4 horas da manhã, um executivo da BMP foi avisado por telefone sobre uma movimentação atípica: R$ 18 milhões foram transferidos de uma só vez via Pix de uma conta da empresa para um banco;
• Já no escritório, ele contatou a C&M, prestadora de serviços de tecnologia para essa e outras instituições financeiras, e percebeu que havia mesmo algo errado com as operações;
• Em "questão de minutos", outras transferências de alto valor via Pix foram realizadas da conta da BMP, que foi uma das companhias mais afetadas no ataque e teve prejuízo de R$ 400 milhões;

• Os invasores encontraram brechas no sistema de "mensagem" da C&M com as fintechs clientes para acessar as contas das instituições e realizar as transferências enquanto passavam despercebidos por mecanismos de segurança;
• Ao menos seis instituições tiveram "acesso não autorizado às contas reserva", que são mantidas pelas empresas sem ter relação com o dinheiro dos clientes. As estimativas mais atuais falam em prejuízo de R$ 800 milhões, mas esse valor pode chegar a até R$ 1 bilhão;
• Praticamente ao mesmo tempo, a SmartPay também detectou uma atividade suspeita que depois foi revelada como parte do ataque: um aumento repentino em compras de alto valor da stablecoin USDT, baseada no dólar dos Estados Unidos, e na bitcoin;
• Essas criptomoedas foram usadas para ajudar a esconder o dinheiro roubado e diluir a quantia em múltiplas contas e moedas. A SmartPay diz que conseguiu congelar "grandes somas" movimentadas e devolver o valor às companhias;

Quem foi invadido na operação?

Os sistemas da BMP e do Banco Central não foram invadidos e permanecem seguros. Segundo a avaliação feita pelo caso até o momento, o problema estava na própria C&M, que atua como intermediária no setor ao oferecer APIs e sistemas de acesso a funções de pagamento oficiais do Brasil, como Pix, e TED.

As "mensagerias", como são chamadas as empresas de comunicação como a C&M, já apresentaram vulnerabilidades antes, mas alguns dos casos teriam abafados e pouco divulgados. Em teoria, esse tipo de companhia deveria ter mecanismos mais robustos para impedir transações consideradas suspeitas, como movimentações de grandes somas e na madrugada.

• Leia também: Ataque hacker à parceira do Banco Central afeta clientes? Especialistas explicam

Após suspender operações como o envio de Pix, a C&M voltou a atuar na quinta com aval do Banco Central na quinta-feira (3) após garantir que os sistemas estavam protegidos. Já a BMP recuperou ao menos R$ 130 milhões do dinheiro roubado, mas o valor roubado que segue em posse dos cibercriminosos é bastante significativo para a liquidez da empresa.

Quer continuar informado sobre incidentes e novidades em cibersegurança ou proteção digital? Fique ligado na seção especial do tema no site do TecMundo!