SÃO PAULO, SP (FOLHAPRESS) – O ataque cibernético que desviou cerca de R$ 1 bilhão de recursos mantidos no Banco Central na madrugada de segunda-feira (30) explorou dados de acesso de clientes, diz a empresa alvo dos criminosos, a C&M Software. A companhia é responsável pela comunicação de 22 instituições financeiras com o BC, sobretudo no âmbito do sistema Pix.

Ainda não há pareceres oficiais da autoridade monetária ou das polícias Federal e Civil do estado de São Paulo que investigam o caso. Para juntar as peças por trás do maior incidente cibernético já registrado no Brasil, a reportagem consultou especialistas em cibersegurança.

Como não houve menção a programas comprometidos, por parte das companhias envolvidas no caso, foi descartado um ataque do tipo ‘dia zero’, em que o criminoso descobre uma brecha no código do sistema para acessá-lo mesmo sem ter permissão. Assim, a tese de que os criminosos obtiveram acesso privilegiado ganhou força.

Os técnicos também descartam falhas no sistema de pagamentos instantâneos do BC. “O Pix só processou as transferências que pareciam legítimas”, diz o engenheiro sênior da multinacional de cibersegurança Netscout, Kleber Carriello.

COMO FUNCIONA SEGURANÇA BANCÁRIA

A maior sofisticação das barreiras dos sistemas bancários levantou um debate se o ataque envolveu um acesso às máquinas da C&M Software ou se foi uma falha no servidor.

As empresas do setor financeiro adotam medidas de segurança que ultrapassam os tradicionais usuário e senha. Isso inclui autenticação multifator (com envio de mensagens ou chave física), certificados digitais e mensagens cifradas (as chamadas chaves API).

No caso de grandes bancos e companhias mais consolidadas, é comum a adoção de aparelhos para armazenar as chaves e os certificados de segurança, os chamados módulos de segurança física. Trata-se de uma espécie de HD externo com as informações de acesso.

“Esses dispositivos são projetados para evitar extração ou uso não autorizado das chaves, com controles físicos e lógicos rígidos”, explica Isabel Silva, diretora da empresa de cibersegurança Add Value.

Caso a C&M Software use essa tecnologia, seria necessário os criminosos terem a posse desse equipamento e fazerem o acesso a um computador da empresa, antes de conseguir acesso.

A empresa de tecnologia disse que não comenta detalhes do caso por orientação jurídica e em respeito ao sigilo das apurações. “As medidas previstas nos protocolos de segurança foram integralmente executadas.”

O problema, de acordo com Marco Zanini, CEO da companhia de cibersegurança Dinamo Networks, é que a maioria das prestadoras de serviço para bancos menores, como é o caso da C&M Software, não guardam as chaves criptográficas em dispositivos físicos.

ATAQUES COSTUMAM APROVEITAR VULNERABILIDADES

As chaves de segurança podem ficar armazenadas em servidores ou repositórios vulneráveis, permitindo o acesso do grupo criminoso aos sistemas da vítima. “Se um invasor obtém essas credenciais privilegiadas, ele consegue executar operações reais no sistema bancário como se fosse a empresa, movimentando valores e instruindo transferências legítimas”, diz Silva, da Add Value.

Mesmo que o vazamento de credenciais tenha sido o vetor inicial, as autoridades ainda devem apurar se os criminosos conseguiram explorar outras vulnerabilidades para concretizar as movimentações financeiras.

“Pode haver falhas em sistemas internos ou permissões excessivas para determinados usuários, permitindo que quem obtém um acesso limitado consiga avançar até alcançar sistemas críticos”, exemplifica a especialista.

Ainda assim, os criminosos conseguiram movimentar contas reservas de oito dos 22 clientes da C&M Software. Esse é um sinal de que os invasores foram barrados pelos mecanismos de proteção de parte das instituições financeiras.

CRIMINOSOS CONHECIAM SISTEMA DO BC, DIZ ESPECIALISTA

“Os responsáveis pelo ataque demonstraram conhecimento profundo e granular do funcionamento do Sistema de Pagamentos Brasileiro”, analisou Carriello, da Netscout. Eles miraram as contas reservas, utilizadas exclusivamente para a liquidação de transações entre as instituições financeiras -em geral, de alto valor.

“A escolha desse alvo indica um planejamento meticuloso, para maximizar o ganho financeiro em uma única operação e explorar o coração do mecanismo de liquidez do sistema”, afirmou Carriello.

De acordo com ele, o incidente indica que falta monitoramento em tempo real sobre o tráfego de valores no sistema de pagamento. “Mesmo com credenciais válidas, deveria haver alertas para padrões de movimentação anômalos, como acessos fora do horário habitual, transações com volumes atípicos ou mudanças súbitas no comportamento de sistemas.”

COMO FOI A LAVAGEM DE DINHEIRO

Depois de saquear as contas reservas das instituições financeiras, os criminosos espalharam as quantias por contas laranjas em mais de 40 instituições.

Os recursos, depois, foram usados para comprar criptomoedas, de acordo com Rocelo Lopes, o CEO da SmartPay, uma startup que integra o sistema Pix a plataformas de criptomoedas. Os invasores tentaram usar a própria SmartPay para obter criptoativos.

Ao notar uma explosão de abertura de contas em sua fintech e uma demanda acima do normal por USDT, uma criptomoeda que usa o dólar como âncora de preço, e bitcoins, Rocelo decidiu bloquear movimentações ainda na madrugada de segunda-feira, quando aconteceu o ataque.

Os criminosos costumam usar essas duas criptomoedas mais conhecidas para obter outros criptoativos de difícil rastreio, como a monero.

Interlocutores do Banco Central disseram à Folha sob condição de anonimato que, apesar de uma parcela do R$ 1 bilhão desviado já ter sido bloqueada em instituições do sistema Pix, o devolvido até agora é irrelevante.