O recente ataque hacker que resultou no desvio de milhões de reais de contas mantidas por instituições financeiras no Banco Central (BC) não envolveu o vazamento ou extração de dados de clientes ou das próprias instituições financeiras. A C&M Software, empresa de tecnologia homologada pelo BC, esclareceu que o ataque consistiu em simular transações em nome dos bancos, sem invadir seus sistemas.
Na noite de terça-feira, criminosos utilizaram o login de instituições financeiras para desviar dinheiro das contas que estas mantêm no BC, destinadas ao cumprimento de exigências legais. O incidente foi divulgado apenas na quarta-feira.
Impacto e Reação
- Empresa alvo de ataque hacker volta a operar com autorização do BC.
- PF investigará ataque hacker a empresa que atende bancos.
Os recursos dos correntistas não foram afetados, pois o ataque atingiu apenas a infraestrutura tecnológica da C&M e as contas reservas no BC. Os valores foram desviados via Pix para corretoras de criptomoedas, e a EBC confirmou que pelo menos R$ 400 milhões foram subtraídos.
A C&M explicou que o ataque foi realizado através de uma simulação fraudulenta de integração, utilizando credenciais legítimas de um cliente para acessar os serviços como se fosse uma instituição financeira autorizada. A empresa está revisando sua política de acessos externos e de APIs para aumentar a segurança.
Medidas de Segurança
Para mitigar riscos, a C&M anunciou padrões mais rigorosos de homologação para clientes que acessam seus sistemas. Uma auditoria externa independente foi contratada para avaliar e reforçar os controles de segurança, além de intensificar as revisões internas de governança e arquitetura.
Possíveis Causas
A hipótese mais provável para o uso indevido de login por terceiros é a não ativação de todos os protocolos de segurança. A C&M oferece um protocolo especial de conexão que inclui múltiplas instâncias de aprovação e validação por múltiplos fatores, mas cada instituição financeira tem autonomia para configurar suas etapas de controle.
“A CMSW monitora o funcionamento técnico e os acessos, mas respeita a autonomia e governança de cada cliente sobre suas permissões internas. A responsabilidade pelo uso das credenciais é da instituição que as detém, assim como a utilização de todas as funcionalidades de segurança disponíveis no Corner [sistema de login]”, justificou a companhia.
Restabelecimento do Pix
Nesta manhã, o Banco Central restabeleceu as operações Pix da C&M sob um regime de produção controlada. A decisão veio após a empresa demonstrar ter adotado medidas para dificultar novos ataques. As operações poderão ocorrer em dias úteis, das 6h30 às 18h30, com anuência expressa da instituição participante do Pix e reforço no monitoramento de fraudes.
Recuperação de Valores
A C&M não divulgou valores devolvidos, mas informou que parte do dinheiro foi restituída através do Mecanismo Especial de Devolução (MED), lançado em 2021 para ressarcir vítimas de fraude. A taxa de devolução pelo MED foi superior à média do mercado devido à rápida identificação da fraude.
A empresa reafirmou sua colaboração com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo, esclarecendo que não possui conta transnacional e que atua apenas como provedora de tecnologia homologada pelo BC para conectar instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), que inclui o Pix.
O ataque não afetou outros sistemas operacionais da C&M, pois as infraestruturas do SBP para cada tipo de operação funcionam em módulos separados, não sendo impactadas pelo incidente.
Com informações da Agência Brasil