Megaoperação policial dá ao governo argumento para retomar aperto a fintechs que gerou crise do Pix
Um ataque hacker atingiu a C&M Software, prestadora de serviços que oferece soluções de contas de pagamento instantâneo ao sistema financeiro. A empresa comunicou o ataque à sua infraestrutura tecnológica na noite de terça-feira, 1º, informando que isso afetou o sistema de seis instituições financeiras.
Segundo apurou o Estadão/Broadcast, o ataque foi de, pelo menos, R$ 800 milhões e já é considerado um dos maiores do setor financeiro brasileiro. O Banco Central confirmou o ataque, mas não informou os valores envolvidos no episódio.
A empresa C&M diz em nota que a ação criminosa incluiu o "uso indevido de credenciais de clientes" e as "medidas previstas nos protocolos de segurança C&M foram integralmente executadas diante do ataque".
O crime ainda é investigado pelo Banco Central, Polícia Civil de São Paulo e Polícia Federal. Fontes do mercado estimam que o prejuízo possa chegar a R$ 1 bilhão.
Os hackers usaram a porta de entrada da C&M e teriam acessado contas reservas de seis instituições. Duas delas foram a BMP e a Credsystem.
Na prática, a C&M interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) e envolve também a conexão da infraestrutura do Pix.
"O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas", informou o BC na nota.
O ataque foi especificamente à infraestrutura tecnológica da C&M. Não houve dano ao sistema financeiro ou a contas de clientes.
A empresa presta serviços de tecnologia para instituições provedoras de contas transacionais que não têm meios de conexão próprios.
A fintech BMP afirmou, em nota, que foi uma das seis instituições financeiras afetadas pelo ataque. Explicou que o ataque foi nas chamadas contas reserva, mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária, sem nenhuma relação com as contas dos clientes ou com os saldos mantidos na instituição.
"Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados", disse a fintech.
A instituição disse ter adotado medidas operacionais e legais cabíeis e conta com recursos para cobrir integralmente o valor impacto sem prejuízo à operação e aos parceiros comerciais.
"A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações", diz a nota.
Esquema criminoso elaborado
"As informações disponíveis até agora indicam que foi um ataque significativo e provavelmente envolvendo um esquema criminoso elaborado", afirma Paulo Suzart, consultor de compliance e de cibersegurança.
"É um alerta severo para bancos, fintechs, empresas de tecnologia, de que segurança digital precisa ser um assunto estratégico, presente nas mesas dos conselhos, nos planos de continuidade de negócios e nas metas de compliance."
Movimentações em cripto
Os valores desviados pelos criminosos foram, de acordo com fontes, muito provavelmente destinados a contas de criptoativos, estratégia comum de hackers para evitar o rastreio.
De acordo com Paulo Trindade, gerente de segurança cibernética da ISH Tecnologia, as transações com ativos virtuais possibilitam o anonimato e a velocidade para movimentar grandes somas de dinheiro.
"Fontes sugerem fortemente a possibilidade de que os valores foram movimentados para contas cripto. É um padrão de um grande ataque cibernético como este, focar na questão financeira e, logo em seguida, transformar o valor roubado em criptomoedas", afirma.
A SmartPay, dona da carteira de autocustódia de criptoativos Truther, detectou movimentações atípicas nas compras de bitcoin e da stablecoin tether (moeda digital pareada ao dólar) nos primeiro minutos da segunda-feira, 30. De acordo com o CEO Rocelo Lopes, a empresa elevou os filtros para validação das transações e reteve o dinheiro.
Lopes acredita que esta foi a primeira detecção do ataque à infraestrutura tecnológica da C&M Software, que atingiu contas-reserva de seis instituições financeiras e foi confirmada pelo Banco Central nesta manhã.
A empresa devolveu os valores retidos para as instituições envolvidas. Lopes não informa quais são as empresas e nem os valores.
A Truther funciona como um aplicativo que permite a compra de bitcoin e tether com o Pix. A autocustódia significa que o usuário é quem tem as chaves privadas para acessar os ativos digitais.
Diferentemente de carteiras custodiadas por terceiros, como exchanges, a custódia própria oferece maior privacidade, mas também coloca a responsabilidade pela proteção nas mãos do usuário.
Uso de credenciais de clientes
Em nota, a C&M informou que a ação criminosa "incluiu o uso indevido de credenciais de clientes para tentar acessar de forma fraudulenta" os sistemas e serviços.
A empresa diz que está colaborando ativamente com o Banco Central e a Polícia Civil de São Paulo nas investigações. De acordo com comunicado, as medidas previstas nos protocolos de segurança C&M foram integralmente executadas diante do ataque.
Em nota, a Credsystem informa que "está ciente do incidente cibernético sofrido pela prestadora de serviços C&M Software. O impacto direto nas operações da Credsystem se restringe apenas ao serviço de PIX, que está temporariamente fora do ar por determinação do BC."
A empresa informa que está colaborando com os envolvidos para o rápido restabelecimento do serviço.