Por que o ataque hacker a instituições financeiras é um dos mais graves já registrados no Brasil, segundo especialistas

Até o momento, não há confirmação oficial sobre os valores envolvidos, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões.

Polícia Civil prende em SP suspeito de ataque hacker ao sistema que liga bancos ao PIX Especialistas em segurança digital ouvidos pelo g1 consideram o ataque cibernético que atingiu ao menos seis instituições financeiras um dos mais graves já registrados no Brasil.

O caso foi confirmado pelo Banco Central na última quarta-feira (2). O que aconteceu? Segundo o BC, a C&M Software — uma empresa de tecnologia que conecta bancos menores e fintechs aos sistemas PIX — reportou um ataque às suas infraestruturas. De acordo com a companhia, criminosos usaram credenciais, como senhas, de seus clientes para tentar acessar sistemas e serviços de forma fraudulenta.

Isso permitiu o acesso indevido a informações e contas de reserva das instituições financeiras. Nesta sexta-feira (4), um funcionário da C&M foi preso suspeito de ter cedido suas senhas de acesso ao sistema da empresa para os criminosos.

Ele disse que recebeu R$ 15 mil do bando. Horário, foco em bitcoin, insistência: as pistas que ajudaram a revelar o ataque hacker A dimensão do ataque Também não há confirmação oficial sobre os valores envolvidos no ataque, mas fontes da TV Globo estimam que a quantia pode chegar a R$ 800 milhões. A C&M informou que seis instituições foram afetadas, mas nem todas foram nomeadas. A polícia de São Paulo, que apura o ataque, afirmou que a única cliente da C&M que registrou boletim de ocorrência foi a BMP.

Ela perdeu, sozinha, R$ 541 milhões. Esse montante foi desviado das contas da BMP via PIX, em menos de 3 horas, na madrugada da última segunda-feira (30).

Por volta das 4h, a empresa foi alertada e os desvios continuaram até as 7h.

Nesse período, segunda a polícia, os criminosos emitiram uma ordem falsa de PIX se passando pelos bancos atendidos pela C&M e conseguiram fazer uma "sequência em massa de transferências via PIX". A polícia aponta que o valor roubado "é o maior da história do Brasil". "Tudo indica que esse foi o maior ataque do tipo já registrado no Brasil, embora ainda falte a divulgação do valor final", diz Micaella Ribeiro, especialista em identidades e acessos da IAM Brasil. Para Thiago Bordini, gerente de cibersegurança da Logical IT, também entende que as informações apontam que este é o maior ataque do tipo no país, mas ainda faltam informações mais claras por parte das empresas sobre como o incidente ocorreu. "É, de longe, o maior", afirma Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (IBRINC).

O que se sabe sobre ataque hacker contra empresa que interliga bancos ao PIX Hiago diz que ataques desse tipo acontecem com alguma frequência, mas muitos não chegam ao conhecimento do público (entenda o motivo).

Apesar de as instituições indicarem que não houve nenhum dano às contas e às informações de seus clientes, especialistas alertam que o próprio sistema financeiro sofreu impactos significativos. Além do prejuízo estimado em R$ 800 milhões, a especialista em identidades Micaella Ribeiro destaca outros três impactos: Reputacional, com a exposição das empresas que utilizam os sistemas da C&M; Sistêmico, pois acendeu um alerta para falhas na gestão de acessos privilegiados e na segurança da cadeia de suprimentos; Operacional, que evidenciou necessidade urgente de revisão dos acessos. Entenda como foi o ataque hacker que tirou milhões do sistema financeiro Kayan Albertin, Dhara Assis e Thalita Santos/g1 Esse tipo de ataque é comum no Brasil? Segundo Hiago Kin, esse tipo de crime, em grande escala, ocorre duas ou três vezes por ano no Brasil.

"Geralmente, os casos são abafados pelas instituições porque elas decidem absorver os prejuízos e deter as informações em investigação", diz. Segundo ele, a repercussão foi maior agora porque mais de uma instituição foi afetada.

De acordo com Kin, as instituições normalmente têm seguros cibernéticos milionários que cobrem esse tipo de dano. Micaella Ribeiro acredita que o incidente deve atrair atenção de reguladores, como o BC e o Conselho Monetário Nacional, que vêm acompanhando o risco sistêmico associado à transformação digital do setor. "A principal lição do caso é que o controle de acessos se tornou um dos maiores pontos de força — e também de vulnerabilidade — da segurança financeira", afirma a especialista.

"Este tipo de ataque mostra a importância de adotar controles de segurança em profundidade, já que mesmo bancos com políticas rígidas podem ser expostos indiretamente por meio de seus fornecedores", completa Hiago Kin.

Banco Central do Brasil (BC). Adriano Machado/ Reuters Brasileiro imita vídeos gerados por inteligência artificial e viraliza nas redes Windows decreta fim da temida 'tela azul'; veja como será nova versão Como criar uma senha forte, difícil de ser violada, e proteger suas contas