+R$500milhões, 1 Funcionário, 0 Exploits: O Ataque que o BC Não Esperava.

em
ENGENHARIA SOCIAL, NENHUM MR. ROBOT.

Milhões evaporaram. O método? Nem malware, nem hackers geniais: um funcionário terceirizado que vendeu suas credenciais por R$ 15 mil. Este é o retrato do crime que expôs o elo mais frágil da cibersegurança: o ser humano.



O que aconteceu? O maior ataque ao sistema Financeiro brasileiro.
Na madrugada de 30 de junho, criminosos tiveram acesso ao sistemas da C&M Software, empresa homologada pelo Banco Central para intermediar transações via Pix entre bancos menores e o Sistema de Pagamentos Brasileiro (SPB). 

Em menos de 3 horas, desviaram R$ 541 milhões apenas da instituição financeira BMP uma das seis afetadas. O prejuízo total pode chegar a R$ 800 milhões, segundo a Polícia Civil de São Paulo.

 Método do crime: "Supply Chain Attack"

    • Os hackers usaram credenciais roubadas (logins e senhas) para acessar contas reservas que são fundos os quais bancos mantêm no BC para liquidação de operações interbancárias.
    • A brecha foi aberta por João Nazareno Roque, funcionário da C&M, que vendeu acesso aos sistemas sigilosos por R$ 15 mil. Ele foi abordado em março por um criminoso ao sair de um bar em São Paulo.

A prisão: O "traidor interno"

João Nazareno Roque, 48 anos, Operador de TI, foi preso em 4 de julho no bairro City Jaraguá (SP). Em depoimento, confessou:
    • Recebeu R$ 5 mil para fornecer senhas em maio e mais R$ 10 mil para criar um sistema que facilitasse os saques.
    • Comunicava-se com os hackers via WhatsApp, e trocava de chip a cada 15 dias para evitar rastreamento.
Acusações formais incluem lavagem de dinheiro, invasão de dispositivo informático e associação criminosa.

Resposta das autoridades

    • Banco Central: Determinou o desligamento imediato da C&M do sistema Pix e suspendeu três fintechs que receberam recursos desviados: Transfeera, Soffy e Nuoro Pay 5.
    • Polícia Civil de SP: Bloqueou R$ 270 milhões em uma conta usada para receber os valores. A investigação busca outros envolvidos, suspeitos de atuar em São Paulo.
    • C&M Software: Negou falhas técnicas, atribuindo o crime a "engenharia social" (manipulação humana). Retomou operações em 3 de julho sob supervisão do BC.

Impacto sistêmico: Por que bancos menores são vulneráveis?

Instituições como BMP, Banco Paulista e Credsystem dependem de intermediárias (como a C&M) para acessar o SPB — criando pontos únicos de falha. Especialistas alertam: "O ataque expôs o risco de terceirizar serviços críticos sem controles rígidos de acesso"

Bancos afetados confirmados:
  • BMP, Prejuízo de R$ 541 milhões, Operações normalizadas.
  • Banco Paulista, Não divulgado, Pix interrompido temporariamente
  • Credsystem, Não divulgado, Sob investigação
  • Fonte: Polícia Civil e BC.

Consequências e Atitudes

  • Regulação mais dura: O Conselho Monetário Nacional (CMN) deve exigir bipartição de acessos e auditorias frequentes em empresas terceirizadas
  • Seguro contra fraudes: Bancos pressionam por apólices que cubram prejuízos de ataques cibernéticos.
  • Alerta global: O caso virou referência em crimes financeiros digitais, com método replicável em outros países.
  • Para correntistas: Nenhum cliente foi afetado — o prejuízo é das instituições. Mas o episódio reforça a necessidade de cobrar transparência em políticas de segurança dos bancos.

Conclusão: O elo mais fraco é humano

O caso escancara que credenciais privilegiadas são o alvo preferencial de criminosos. Enquanto João Roque aguarda julgamento, o BC corre para evitar que "a Casa de Papel digital" se repita:
"Treinar pessoas é tão vital quanto atualizar firewalls" — Hiago Kin, presidente do Ibrinc.

EXPLICANDO TERMOS UTILIZADOS 

 1. O que é um Ataque de Supply Chain?

Definição: Ataque indireto que explora fornecedores terceirizados (software, hardware ou serviços) para comprometer organizações-alvo. Hackers infectam componentes legítimos da cadeia logística digital, que depois são distribuídos às vítimas finais como "atualizações confiáveis" ou neste caso. Ou no caso do BC, um ataque à cadeia de suprimentos onde criminosos infiltram um fornecedor legítimo para atingir seus clientes finais. É como envenenar a fonte de um rio para contaminar quem bebe água rio abaixo.

Componentes-chave:
Alvo indireto: Em vez de atacar o destino final (ex: bancos), ataca-se um terceiro de confiança (ex: empresa de software).

Acesso privilegiado: O fornecedor tem permissões ou integrações críticas com as vítimas finais.

Disseminação em massa: Um único ponto comprometido afeta múltiplos clientes.


Mecanismo:
  • Fase Upstream: Invasão do fornecedor (neste caso o próprio funcionário serviria, de formula análoga,  como um malware).
  • Fase Downstream: Disseminação do "componente" comprometido aos clientes do fornecedor.

Exemplos reais:

  • SolarWinds (2020): Backdoor (SUNBURST) inserido em atualizações do software Orion, afetando 18 mil clientes, incluindo agências dos EUA.
  • Kaseya (2021): Vulnerabilidade em software de gerenciamento permitiu ransomware infectar 1.500 empresas via atualizações.
  • Caso Banco Central BR (2025): Funcionário da empresa terceirizada C&M Software vendeu credenciais por R$15 mil, facilitando desvio de R$541 milhões via PIX.

POSSIVEIS AÇÕES DE PREVENSÃO E DEFESA

  • Auditoria rigorosa de fornecedores.
  • Princípio de menor privilégio limitando acessos e constante verificação (ZERO TRUST) .
  • Verificação de integridade de código (ex: assinaturas digitais).
  • Monitoramento
  • Treinamento de funcionários
  • Investimento em Princípios e Profissionais de Cibersegurança

2. O que é um Ataque de Engenharia Social?

Definição: Manipulação psicológica para induzir pessoas a revelar informações sensíveis ou realizar ações que comprometem a segurança. Não envolve exploits técnicos – explora a "falha humana".

Técnicas comuns:

  • Phishing: E-mails falsos (ex: suposto banco solicitando senhas).
  • Baiting: Atiçando a Curiosidade da Vítima (ex: USB infectado deixado em local público).
  • Pretexting: Criação de cenários falsos (ex: hacker se passa por técnico de TI).
  • Vishing: Chamadas telefônicas fraudulentas

₿ 3. O que é Criptomoeda? Por que é Usada em Ataques?

Definição: Moeda digital descentralizada que usa criptografia para segurança (ex: Bitcoin, Monero). Transações são registradas em blockchain (livro-razão público), mas as identidades dos envolvidos são pseudônimas.

Razões para uso em crimes:

  • Anonimato relativo: Endereços de carteira não vinculam diretamente a identidades reais.
  • Irreversibilidade: Transações não podem ser canceladas.
  • Globalização: Transfronteiriça sem regulamentação uniforme.
  • Exemplos de ataques a outras instituições financeiras:
  • Ransomware Colonial Pipeline (2021): Hackers exigiram US$4.3 milhões em Bitcoin para descriptografar sistemas.
  • Criptojacking: Uso não autorizado de dispositivos para minerar criptomoedas (ex: via scripts em sites).

Desafios para autoridades:


O Caso do "Faraó do Bitcoin": R$ 400 milhões Bloqueados

  • Glaidson Acácio foi preso em 2021 por liderar uma pirâmide financeira que movimentou R$ 7 bilhões. Durante a operação, a PF apreendeu seu notebook, que contém uma carteira de criptomoedas com saldo equivalente a R$ 400 milhões.

  • Status atual (julho/2025):

    • O notebook está guardado na Superintendência da PF no Rio de Janeiro, mas as autoridades não conseguem acessar os fundos.

    • Glaidson recusa-se a revelar a senha da carteira, mesmo sob pressão judicial.

  • Desafio técnico:

    • A carteira é protegida por criptografia AES-256, considerada quantum-resistant (resistente a ataques de computação quântica).

    • Sem a senha ou seed phrase (frase de recuperação), a descriptografia é computacionalmente inviável – exigiria brute force com trilhões de tentativas.

Por que a PF não Quebrou a Criptografia?

  1. Falta de padrão de custódia:

    • A PF não possui protocolos centralizados para armazenar seeds ou gerenciar criptoativos apreendidos. Cada investigador define métodos distintos, muitas vezes ineficientes.

  2. Limitações técnicas:

    • ausência de ferramentas especializadas para extração segura de seeds de dispositivos físicos (ex: hardware wallets) é crítica. Casos de sucesso, como em uma ação da Polícia Australiana, dependem de expertise forense digital avançada.

  3. Proteção legal:

    • recusa do investigado em cooperar não pode ser contornada sem ferir garantias constitucionais e Direitos Humanos. Decisões judiciais anteriores barraram tentativas de coerção para obtenção de senhas.

Outros Casos

  • Austrália (2025): Polícia decifrou uma seed phrase e confiscou R$ 50 milhões em criptomoedas após analisar dispositivos do suspeito.

  • Brasil: A PF já apreendeu 291 tipos de criptoativos (incluindo BTC, ETH, DASH), mas não sabe quantificar o total sob custódia – muito menos acessá-los.

Perspectivas Futuras

  • Capacitação: O Ministério da Justiça iniciou em 2025 cursos para policiais identificarem e rastrearem criptomoedas usadas em crimes, mas a implementação é lenta.

  • Tecnologia: Soluções como contratos inteligentes de bloqueio automático (ex: timelocks) ou carteiras multisig poderiam facilitar o controle de ativos apreendidos, mas ainda não são adotadas.

  • Risco sistêmico: Enquanto não houver protocolos unificados, casos como o do Faraó do Bitcoin continuarão a expor lacunas entre a apreensão física e o acesso efetivo aos ativos digitais.

Conclusão

  • A wallet (carteira) de R$ 400 milhões em Dash permanece um "fantasma" na custódia da PF – símbolo do descompasso entre a evolução do crime digital e a capacidade estatal de resposta. A solução exigirá avanços técnicoscooperação internacional e marco regulatório específico para criptoativos apreendidos. Dai então a atitude dos criminosos de transferirem o dinheiro para cripto wallets, dinheiro esse que, caso siga-se a mesma linha da historia do "Faró do Bitcoin" nunca mais vai ver a luz do dia, mesmo com o criminosos custodiados.
  • Padrões Comuns em Ataques Financeiros
  • Supply Chain + Engenharia Social: Combinam-se para contornar defesas técnicas (ex: caso C&M Software).


  • Criptomoedas como estágio final: Conversão de recursos roubados acelera a lavagem e dificulta recuperação.
  • Tendência: Ataques à cadeia de suprimentos cresceram 742% em 2020; ransomware contra fornecedores subiu 270% em 2021.
  • Recomendações técnicas possíveis para evitar casos como esse: Implementar Zero Trust (nunca confiar, sempre verificar) e segmentação de redes para conter danos.



👾

Fontes:

  • • UOL: Detalhes do ataque e prisão
  • • G1: Valores desviados e perfil do preso
  • • Olhar Digital: Cronologia do crime
  • 👾 O conteudo deste post faz jus as informações disponiveis publicamente em 04/07/2025

Comentários

Postar um comentário