O ataque hacker que causou o desvio de milhões de reais das contas que instituições financeiras mantêm no Banco Central (BC) não envolveu vazamento ou extração de dados de bancos, ou de clientes. A informação foi confirmada nesta quinta-feira (3) pela empresa C&M Software, que presta serviços de tecnologia homologados pelo BC. Segundo a companhia, o golpe simulou transações em nome de instituições financeiras, sem invadir os sistemas internos da empresa.
Na noite de terça-feira (1º), criminosos usaram credenciais legítimas para acessar o sistema e realizar transferências de valores das chamadas contas reservas, mantidas no BC. O ataque só veio a público na quarta-feira (2). Segundo a Empresa Brasil de Comunicação (EBC), ao menos R$ 400 milhões foram desviados para corretoras de criptomoedas por meio do Pix.
A C&M explicou que os golpistas simularam uma integração fraudulenta, utilizando logins reais de clientes para operar como se fossem instituições autorizadas. A empresa informou que está revisando a política de acessos externos e de APIs, ferramentas que permitem a comunicação entre sistemas. A partir de agora, a homologação dos clientes passará por critérios mais rígidos, para reduzir os riscos compartilhados entre a prestadora e os bancos.
Uma das hipóteses para o ataque é a não-ativação de todos os protocolos de segurança disponíveis. A empresa oferece opções como aprovação em múltiplas etapas, controle de acesso por canal e horário, validação em dois fatores e monitoramento do uso das reservas. No entanto, cada banco tem autonomia para configurar esses recursos. Segundo a empresa, isso pode incluir a exclusão de etapas de segurança por decisão operacional própria.
O Banco Central autorizou nesta quinta-feira a retomada das operações Pix da C&M sob regime de produção controlada. A liberação parcial substitui a suspensão total determinada anteriormente. O funcionamento está restrito aos dias úteis, das 6h30 às 18h30, com exigência de monitoramento reforçado e autorização expressa das instituições participantes do Pix.
A empresa não informou o valor total já recuperado, mas afirmou que parte do dinheiro foi devolvida por meio do Mecanismo Especial de Devolução (MED), criado em 2021 para ressarcir fraudes ou erros em transações via Pix. Segundo a C&M, a taxa de devolução superou a média do mercado, graças à identificação rápida do golpe. A empresa declarou estar colaborando com a Polícia Federal (PF), o Banco Central e a (PCSP), e reforçou que não movimenta recursos próprios, atuando apenas como integradora entre os bancos e o Sistema de Pagamentos Brasileiro (SPB).
Com informações da Agência Brasil.