O ataque hacker envolvendo uma empresa que presta serviços para instituições provedoras de contas transacionais que não possuem meios de conexão própria, que veio à tona nesta semana, continua repercutindo no mercado financeiro e pode se tornar o maior golpe do tipo já ocorrido no país.

O principal alvo dos criminosos foi a C&M Software, companhia fundada em 1992 que é responsável pela mensageria que interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo Banco Central (BC) em 2020 e amplamente utilizado pelos brasileiros.

O principal foco de atuação da empresa é o desenvolvimento de soluções para operações no ecossistema de pagamentos instantâneos.

O tamanho do prejuízo

• A ação criminosa dos hackers pode ter movimentado uma cifra bilionária, de acordo com as estimativas iniciais de fontes ligadas ao mercado financeiro.
• Embora até o momento não haja nenhuma informação oficial sobre valores, o prejuízo pode ter alcançado cerca de R$ 1 bilhão.
• Ainda no terreno dos bilhões, especulações dão conta de que o roubo pode ter movimentado valores ainda maiores, de até R$ 3 bilhões.
• Outros relatos sobre o caso apontam que os hackers teriam desviado pelo menos algo entre R$ 400 milhões e R$ 800 milhões.

Como foi o ataque

O golpe financeiro que atingiu a C&M Software se deu por meio de uma modalidade conhecida como “Supply Chain”, na qual os hackers atacam uma empresa com o objetivo de acessar valores dos clientes.

Grosso modo, um ataque desse tipo é planejado por um longo período, de 6 meses ou mais. Avaliações preliminares apontam que os criminosos já estariam dentro do sistema da C&M há algum tempo.

Pelo menos seis instituições financeiras foram afetadas pela ação criminosa, com desvios de recursos de contas de empresas e interrupção temporária de operações via Pix.

Os maiores ataques hackers do Brasil

Caso as projeções relacionadas a valores se confirmem, o ataque hacker contra a C&M deve se configurar como o maior da história do país, com possível prejuízo de R$ 400 milhões a R$ 3 bilhões.

Na ação, os criminosos usaram indevidamente credenciais de instituições financeiras com o intuito de acessar contas de reserva no Banco Central (BC), por meio do Pix. Os valores eram roubados dessas contas.

A segunda colocação no ranking dos maiores ataques cibernéticos do Brasil é ocupada pela chamada “Operação DeGenerative AI”, de 2024, que também atingiu várias instituições financeiras do país. Na ocasião, o montante movimentado pelos criminosos foi de R$ 110 milhões.

Nessa operação, os hackers utilizaram inteligência artificial (AI) para fraudar registros faciais (por meio de “deepfake”) e habilitar dispositivos bancários como se fossem correntistas verdadeiros. O grupo “lavava” o dinheiro roubado por meio de “laranjas”.

Em terceiro lugar na lista dos maiores ataques hackers do país, aparece a invasão aos sistemas internos do Banco do Brasil, em 2023 e 2024. Ao todo, o prejuízo foi de R$ 40 milhões.

Os criminosos, nesse caso, recorreram à instalação de dispositivos clandestinos em cabos de dados e aliciaram funcionários de empresas terceirizadas para obter credenciais. Após ação deflagrada pela Polícia Federal (PF), a quadrilha foi desbaratada e detida.

Outro caso emblemático foi a invasão ao Sistema Integrado de Administração Financeira do Governo Federal (Siafi), no ano passado, com o desvio de R$ 14 milhões. Desse montante, R$ 2 milhões foram recuperados pelas autoridades.

O recurso utilizado pelos criminosos foi uma técnica conhecida como “phishing”, com o roubo de credenciais e o uso de certificados digitais que autorizavam pagamentos em contas de “laranjas”.

Após o ataque hacker ser revelado, o governo federal passou a adotar a autenticação multifator (MFA), além de aumentar as etapas de revisão de segurança em seus sistemas internos.

Completando o ranking dos seis maiores ataques cibernéticos do país, o Banco de Brasília (BRB) foi alvo de criminosos em 2022, no caso conhecido como ransomware LockBit.

Para não vazarem dados confidenciais obtidos durante a invasão do banco, os hackers exigiram um “resgate” de R$ 5,2 milhões. A instituição não confirmou se efetuou o pagamento.

A técnica usada pelos hackers foi o ransomware LockBit, um dos instrumentos mais difundidos em crimes cibernéticos.

Assalto ao BC em Fortaleza

O ataque hacker bilionário contra o sistema financeiro nacional trouxe de volta à tona um episódio marcante na história do país, ocorrido agosto de 2005.

Na ocasião, uma quadrilha invadiu o caixa forte do Banco Central em Fortaleza (CE) por meio de um túnel. Os criminosos levaram mais de três toneladas de dinheiro, em notas de R$ 50.

Na retirada do montante roubado, os bandidos passaram sob uma das vias mais movimentadas do centro da capital cearense, a Avenida Dom Manuel. O túnel tinha origem em uma casa alugada pelos criminosos.

De acordo com estimativas da PF, foram roubados R$ 164,7 milhões, dos quais R$ 60 milhões, aproximadamente, foram recuperados.

Roubo milionário em agência do Itaú em São Paulo

Embora o assalto ao BC de Fortaleza talvez seja o episódio mais lembrado no país, o maior roubo a banco já registrado em território nacional aconteceu em agosto de 2011, quando criminosos desligaram os sistemas de segurança de uma agência do Itaú na Avenida Paulista, em São Paulo.

Após invadirem o local, eles arrombaram 161 cofres do banco e roubaram joias, pedras preciosas, documentos, além de cerca de R$ 500 milhões. A ação durou mais de 10 horas e só foi descoberta uma semana depois.