Hackers roubaram cerca de R$ 800 milhões de bancos brasileiros, um golpe que surpreendeu todo mundo. Eles conseguiram isso após pagar apenas R$ 15 mil para um funcionário de uma empresa de tecnologia, que vendeu suas credenciais. Segundo as autoridades, esse foi o maior ataque a instituições financeiras da história do Brasil.
O alvo dessa invasão foi a C&M Software, uma empresa de São Paulo que conecta bancos menores e fintechs à infraestrutura do Banco Central. Em 30 de junho, seis instituições financeiras foram vítimas desse ataque, com os criminosos esvaziando contas em menos de três horas.
O delegado Paulo Barbosa, que está à frente da investigação, afirmou que esta é a maior fraude registrada online contra instituições financeiras. O golpe começou em março, quando os hackers abordaram João Nazareno Roque, um operador de TI da C&M, em um bar. Roque admitiu que vendeu suas credenciais inicialmente por R$ 5 mil e recebeu mais R$ 10 mil para ajudar a criar o software que permitiu a invasão. Ele foi preso dias depois em sua casa, no bairro Jaraguá.
Na madrugada de 30 de junho, os criminosos conseguiram emitir ordens fraudulentas de transferência via Pix, se passando pelas instituições afetadas. A BMP, uma empresa de banking-as-a-service, foi uma das mais impactadas, com perdas superiores a R$ 400 milhões. A BMP foi a primeira a registrar a queixa, alertando sobre o ataque em um grande escala.
Logo após o roubo, os hackers começaram a converter os valores em criptomoedas, usando corretoras na América Latina. Um especialista em blockchain, conhecido como ZachXBT, indicou que entre US$ 30 milhões e US$ 40 milhões foram transformados em Bitcoin, Ethereum e Tether (USDT) antes das autoridades conseguirem congelar as contas. Uma carteira com R$ 270 milhões já foi bloqueada.
O que são o Pix e a C&M, e por que foram alvo?
O Pix é uma plataforma de pagamentos instantâneos que revolucionou a forma como as pessoas fazem transferências no Brasil desde seu lançamento em novembro de 2020. Ele permite transferências 24 horas por dia, oferecendo liquidação quase imediata e sendo amplamente aceito.
Essa popularidade se dá, em parte, pela facilidade de vincular contas a dados como número de telefone ou CPF, além de permitir pagamentos via QR Code e parcelamento de compras. O sistema conecta as instituições financeiras diretamente ao Banco Central, garantindo que os fundos sejam transferidos de maneira ágil.
Diferente de ataques anteriores que focaram em usuários individuais, esta invasão atacou diretamente a estrutura que conecta os bancos ao Banco Central. Os hackers invadiram as contas de reserva dos bancos, e não os fundos dos clientes.
A C&M, fundada em 1992, fornece serviços para cerca de 23 instituições financeiras menores, facilitando o acesso aos sistemas de pagamento. Essa posição a torna um alvo valioso para criminosos que desejam acesso simultâneo a vários bancos.
Após o ataque, o Banco Central exigiu que a C&M se desconectasse de sua infraestrutura, interrompendo temporariamente os serviços do Pix para várias instituições. O Banco Paulista, por exemplo, noticiou uma “interrupção temporária” nos pagamentos, garantindo que os dados dos clientes estavam seguros.
As autoridades rapidamente iniciaram uma investigação. O diretor-geral da Polícia Federal, Andrei Passos Rodrigues, coordenou esforços para descobrir se o ataque estava ligado a redes de cibercriminosos mais organizadas, frequentemente operando através de canais no Telegram e WhatsApp.
Roque, o operador de TI, informou aos investigadores que trocava de celular a cada 15 dias para evitar ser rastreado. Ele teve contato com pelo menos quatro outros cúmplices durante o ataque, mas não os conhecia pessoalmente além da primeira reunião no bar.
A invasão ocorreu apesar dos esforços dos bancos em melhorar a cibersegurança após incidentes anteriores. A C&M afirmou que tomou todas as medidas necessárias assim que detectou a invasão, e continua colaborando com as autoridades.
Enquanto a BMP tranquiliza seus clientes sobre a segurança dos valores, o Banco Central confirma que parte dos fundos desviados já foi recuperada. A polícia segue analisando os dispositivos apreendidos na casa de Roque e tentando identificar outros envolvidos no esquema. Uma força-tarefa conjunta está sendo formada com a Polícia Federal e o Ministério Público para rastrear as transações em criptomoedas e congelar ativos suspeitos.
