O pessoal do Hackers do Bem preparou uma série de webinares exclusivos com conteúdos sobre o mercado de cibersegurança, que vão acontecer no decorrer desse segundo semestre.
Serão encontros online com profissionais experientes, que vão compartilhar casos reais, aprendizados de campo e boas práticas. Os temas são variados, desde segurança ofensiva, resposta a incidentes, criptografia, IA, gestão de riscos, etc.
A Seccional Rio de Janeiro da Ordem dos Advogados do Brasil (OAB-RJ) lançou recentemente um material educativo sobre um dos golpes mais populares atualmente, o "golpe do falso advogado". Nesse golpe, o fraudador descobre uma vítima que tenha um processo judicial em aberto e entra em contato com ela via whatsapp, se fazendo passar por seu advogado. O criminoso alega que saiu o valor da causa e que seria necessária fazer algum pagamento, seja um supposto imposto ou taxa. A vítima, então, acaba transferindo o dinheiro para o criminoso.
A Cartilha de Combate ao Golpe do Falso Advogado da OAB-RJ traz dicas e orientações para que o cidadão ou a cidadã evitem ser vítimas desse tipo de fraude. A cartilha, disponibilizada gratuitamente em formato PDF, tem 14 páginas e descreve como o golpe funciona, os principais sinais de alerta para que as vítimas desconfiem da abordagem, dicas de prevenção e orientações gerais.
Somente em 2025, a OAB-RJ já recebeu mais de 600 denúncias sobre esse golpe. O estado de São Paul já acumula mais de 1,6 mil denúncias desde 2024. Segundo a OAB, os criminosos tem usado a inteligência artificial para reproduzir a voz e a imagem dos verdadeiros profissionais.
Para baixar a cartilha pelo Portal da OAB-RJ, no menu principal selecione a aba “Publicações” e clique em “Publicações”.
Em abril desse ano a OAB Nacional lançou a plataforma digital ConfirmADV — um site que permite verificar a identidade de advogados. Para isso, deverá informar o número de inscrição na OAB, o estado de registro e o e-mail do suposto advogado. A partir dessas informações, será enviada uma solicitação automática para o e-mail do advogado, informando que um cliente deseja confirmar sua identidade. O profissional então terá até 5 minutos para responder e confirmar os dados. Se o tempo expirar sem resposta, tanto o cidadão quanto o advogado serão notificados de que a verificação não foi concluída.
Segundo descrito no próprio site da OAB, os golpes geralmente começam com o acesso indevido a informações públicas de processos judiciais. Com esses dados, criminosos entram em contato com partes envolvidas nas ações — especialmente em causas com previsão de liberação de valores — se passando por advogados ou integrantes de escritórios. O contato ocorre, geralmente, por aplicativos de mensagens, com o uso de nomes reais, fotos e até logotipos, o que reforça a ilusão de legitimidade. As vítimas são induzidas a realizar pagamentos via PIX com a promessa de recebimento de valores judiciais.
PS: E não é que a OAB de São Paulo também tem uma cartilha sobre esse golpe? A Cartilha Golpe do Falso Advogado está disponível para download!
Recentemente eu vi uma pessoa comentar sobre a frase "Não basta parecer seguro. É preciso ser", supostamente atribuída ao imperador romano Julio Cesar.
Eu achei a frase muito legal, e fui procurar referências sobre ela. Com uma busca rápida, descobri que essa citação, na verdade, é uma variação de outra frase atribuída à Julio César, que se transformou com o tempo no provérbio "A mulher de César não basta ser honesta, deve parecer honesta".
A frase acima foi dita por Julio César em 62 a.c., ao se divorciar de sua segunda esposa, Pompeia. Isso porque ela deu uma festa íntima só para mulheres, e um homem entrou disfarçado de mulher, para cortejá-la. Furioso, Júlio César se divorciou da coitada.
Ou seja, a frase "Não basta parecer seguro, é preciso ser" é bem diferente da original, principalmente pelo contexto.
À Cesar, sua esposa deveria ser e parecer honesta - só ser honesta não era o suficiente. Era necessário manter uma imagem pública imaculada. A imagem, o discurso, era tão importante quanto a ação.
Já no nosso mundinho atual, no mercado de cibersegurança, nós invertemos essa lógica. Nós vemos muitas empresas com discurso de que "somos seguros", mas que na prática, não são. Isso acontece aos montes: elas promovem para o mercado um discurso de preocupação em cibersegurança e funcionalidades de segurança e privacidade em seus produtos, que simplesmente não existem. Em muitos casos, isso é desmascarado em um simples pentest ou em uma auditoria básica.
Ou seja, não basta dizer ou parecer ser seguro, é fundamental ter um nível minimamente razoável de cibersegurança (em termos de ferramentas, processos e pessoas).
O atacante tradicional não vai ser dissuadido por um discurso criado para o público de que a sua empresa e seu produto são seguros. Não adianta colocar selos e supostas certificações no seu site. Não adianta publicar textos bonitos no seu blog corporativo.
Os cibercriminosos simplesmente vão te atacar, testar as suas defesas. E, ao encontrar o primeiro ponto fraco, eles invadem.
No mundo atual, ter implementado as boas práticas de segurança valem muito mais do que um discurso bonito.
O incidente recente na C&M Software, que permitiu uma fraude bilionária no coração do sistema de pagamentos brasileiro, nos faz lembrar de vários casos recentes, que também tivemos o furto de enormes quantias.
Baseado em algumas reportagens, preparei abaixo um ranking dos principais casos de crime cibernético no Brasil, que envolveram valores milionários:
R$ 800 milhões a R$ 4 bilhões - Ataque contra a C&M Software e pelo menos 6 instituições financeiras (junho de 2025): Ao invadir a C&M e obter acesso ao seu sistema de mensageria, os cibercriminosos conseguiram injetar transações fraudulentas no SPB e, assim, desviar milhões de reais das contas reserva de pelo menos 6 instituições financeiras;
R$ 106 milhões - Desvio com dados de gerentes bancários (julho de 2025): Em 04 de julho de 2025 um homem foi detido por envolvimento em um esquema de fraude bancária em contas de clientes de uma agência em Belém (PA), através de transações fraudulentas realizadas graças ao uso de credenciais de dois gerentes da agência;
R$ 110 milhões: "Operação DeGenerative AI" (2024): Os cibercriminosos utilizaram inteligência artificial (IA) para fraudar registros faciais, por meio de “deepfake”, e habilitar dispositivos bancários como se fossem os correntistas verdadeiros;
R$ 50 milhões - Esquema de rachadinha com clientes do C6 Bank (maio de 2021): Uma funcionária terceirizada chefiou esquema com mais de 200 clientes para furtar dinheiro por meio de dívidas do cheque especial
R$ 40 milhões - Invasão aos sistemas do Banco do Brasil (2023 e 2024): Os criminosos instalaram dispositivos clandestinos em cabos de dados e aliciaram funcionários de empresas terceirizadas para obter credenciais;
R$ 14 milhões - Invasão do Siafi (2024): Criminosos invadiram o Sistema Integrado de Administração Financeira do Governo Federal (Siafi), e desviaram fundos através da criação de pagamentos fraudulentos na plataforma, direcionados a contas de laranja;
R$ 5,2 milhões - Ataque ao BRB (2022): O Banco de Brasília (BRB) foi alvo do grupo de ransomware LockBit. Para não vazarem dados confidenciais, os criminosos exigiram um “resgate” de 50 bitcoins (R$ 5,2 milhões na época). A instituição não confirmou se efetuou o pagamento.
À titulo de curiosidade, veja os valores envolvidos nos dois assaltos físicos mais conhecidos do Brasil:
Mais de R$ 500 milhões - Assalto ao cofre do Banco Itaú (2011): Esse, que é o maior roubo a banco já registrado em território nacional, aconteceu em agosto de 2011, quando criminosos desligaram os sistemas de segurança de uma agência do Itaú na Avenida Paulista, em São Paulo. Após invadirem o local, eles arrombaram 161 cofres do banco e roubaram dinheiro, joias, pedras preciosas e documentos. A ação durou mais de 10 horas e só foi descoberta uma semana depois.
R$ 164,7 milhões - Assalto ao Banco Central em Fortaleza (2005): Em agosto de 2005 uma quadrilha invadiu o caixa forte do Banco Central em Fortaleza (CE) por meio de um túnel cavado a partir de uma casa alugada pelos criminosos. Eles levaram mais de três toneladas de dinheiro, em notas de R$ 50, o que representa, segundo estimativas da PF, R$ 164,7 milhões. Aprovimadamente R$ 60 milhões foram recuperados. Esse caso virou filme.
Não foram golpes praticados por um grupo criminoso específico, mas por falhas esporádicas nas regras de negócio, e assim centenas de clientes conseguiram fraudar os bancos:
A Federação Brasileira de Bancos (Febraban) e seus bancos associados lançaram nessa semana uma nova campanha de conscientização para a população em geral sobre os golpes e fraudes eletrônicas mais comuns.
O tema da campanha deste ano é uma continuidade do ano anterior, que também contou com a participação do humorista Fabio Porchat. Baseado no tema principal “Se é golpe, tem contragolpe”, para esse ano a campanha destaca que o "contragolpe" aos fraudadores deve ser um sonoro NÃO: “Capricha no NÃO, que não tem golpe”.
A campanha vai utilizar o carisma e a popularidade do Fábio Porchat para mostrar de maneira simples e direta como reconhecer os golpes financeiros mais comuns. O objetivo é orientar a população a dizer “Não” diante de qualquer suspeita de golpe.
A hashtag oficial da campanha é #DigaNAOaosGolpes.
Veja os filmes da campanha, que estão disponíveis no YouTube da Febraban.
Falsa Central: Toda ligação que diz que é do banco e pede sua senha é golpe. Se acontecer com você, mande aquele NÃO no capricho, e depois ligue para os canais oficiais do seu banco.
Falsa Venda: Chegou aquela oferta imperdível, com um link pra você aproveitar? Pode mandar ver no NÃO, porque é golpe! Os golpistas apostam na criação de perfis falsos, e inventam promoções que parecem muito vantajosas para fisgar você. Nunca clique nos links enviados neste tipo de mensagem, e dê preferência aos sites conhecidos para as compras.
Golpe do Zap: Se vierem com o Golpe do Zap pra cima de você, sua mensagem tem que ser uma só: NÃO. Nunca compartilhe o código de segurança do seu zap. E fique de olho: se algum conhecido de repente mudou de número assim, do nada, e escreveu pedindo dinheiro, arrocha no NÃO, porque é golpe.
As peças publicitárias estão sendo exibidas nas principais redes de TV, portais jornalísticos, redes sociais, páginas de e-commerce, entre outros. A campanha vai até o mês de dezembro.
Apesar da polícia ter identificado como os criminosos obtiveram acesso aos sistemas das instituições financeiras, as notícias compartilhadas até o momento nos permitem ter uma visão e entendimento muito pequenos sobre como ocorreu o ataque e a fraude. Em resumo, "um funcionário da C&M deu acesso ao grupo criminoso que, dessa forma, conseguiu inserir transações fraudulentas nos sistemas da empresa, em nome de seus clientes."
Mas muitas informações e detalhes ainda continuam em aberto, e as investigações estão em andamento. Após uma primeira semana de muitas novidades e especulações, agora as notícias surgem a conta-gotas. Mas talvez nós nunca saberemos a verdade.
Seguem algumas perguntas que eu acho importante:
Quais são todas as vítimas? Das pelo menos 6 instituições financeiras que tiveram dinheiro desviado, somente a BMP Money Plus foi citada abertamente.
Qual foi o valor total desviado de todas as vítimas? Sabe-se, por enquanto, apenas do total desviado da BMP, R$ 541 milhões.
Qual foi o tempo total de planejamento do golpe? Se o funcionário da C&M foi abordado em março desse ano, os criminosos gastaram pelo menos 4 meses planejando o golpe.
Quem é o grupo criminoso responsável pelo ataque?
Quantas pessoas? Sabemos que são no mínimo 5: a pessoa que aliciou o funcionário da C&M e 4 que falaram com ele.
Elas tinham experiência e conhecimento prévio sobre o sistema financeiro? Aparentemente sim. Mas... Será que alguns dos criminosos trabalha ou trabalhou em empresas do setor ou em bancos?
Será que o grupo está ligado ao crime organizado?
Sobre o funcionário da C&M Software, será que ele simplesmente vendeu a credencial mesmo ou a relação dele com o grupo seria maior do que sabemos?
Será que ele foi "plantado" dentro da empresa? (é pouco provável, pois parece que ele trabalhava lá há 2 ou 3 anos)
Sobre a invasão na C&M Software:
Os criminosos tiveram acesso remoto aos sistemas da C&M para realizar as transações fraudulentas? Se sim, como conseguiram isso?
Quais comandos foram dados pelo funcionário da C&M Software em maio para permitir, efetivamente, o acesso dos criminosos e a realização da fraude?
Foi explorada alguma vulnerabilidade nos sistemas da C&M Software para permitir o acesso não autorizado aos seus sistemas?
Foi explorada alguma vulnerabilidade nos sistemas da C&M Software para permitir a inserção de transações PIX fraudulentas no SPI?
Sobre o roubo de dinheiro em si:
As transações PIX fraudulentas foram inseridas manualmente ou de forma automatizada, por comandos via shell ou API?
Foram usadas credenciais em nome das empresas fraudadas (ex, a credencial da BMP)? Ou a fraude foi feita manipulando a aplicação da C&M Software?
As chaves privadas de criptografia, que são necessárias para assinar as mensagens de transações PIX entre os bancos, foram comprometidas? Elas estavam armazenadas de forma segura?
Sobre a identificação da fraude:
Porque as instituições financeiras envolvidas demoraram tanto para identificar a fraude?
Porque o Banco Central não monitorou e identificou que milhões de reais estavam sendo enviados das contas de reserva, já que elas ficam sob sua custódia? No caso da BMP, por exemplo, foram desviados R$ 541 milhões de sua conta reserva, que é de R$ 600 milhões - ou seja, em apenas 5 horas, foi transferido o equivalente a 90% de seu saldo.
Se, entre as instituições de pagamentos que receberam parte dos fundos roubados, haviam algumas com histórico de fraude e/ou em nome de laranjas, porque elas não foram identificadas e suspensas antes, pelo Banco Central?
A minha "cereja do bolo": Se o Banco Central diz para a população usar o MED para recuperar seu dinheiro enviado via PIX após cair em golpes, porque ele mesmo não recuperou 100% dos valores roubados usando o MED?
O assunto do ano é, sem dúvida, o incidente bilionário que atingiu o coração do sistema financeiro brasileiro no início do mês. Agora que as coisas estão acalmando e a galera tem diminuído o volume de especulações, fofocas e notícias sérias sobre o assunto, podemos parar para compartilhar uma linha do tempo do ataque à C&M Software e ao sistema financeiro.
A Apura produziu um relatório detalhado sobre o caso, que inclui uma linha do tempo com uma visão cronológica dos fatos, que vou reproduzir parcialmente aqui:
Março de 2025: Um funcionário da C&M Software, trabalhando como Desenvolvedor Back-end Jr, é abordado em um bar em São Paulo e recebe R$ 5 mil em dinheiro para fornecer sua credencial de acesso ao criminoso.
Maio de 2025: Através de notas compartilhadas pelo aplicativo Notion, o funcionário da C&M recebe instruções do grupo criminoso para inserir comandos nos sistemas da empresa para permitir o acesso dos criminosos, em troca de um pagamento extra de R$ 10 mil.
Maio de 2025: A Soffy Soluções de Pagamentos, para onde foram transferidos 270 milhões desviados da BMP, recebe homologação para atuar como gateway de pagamentos e participante indireto do Pix.
11/06/2025: Aberta a empresa Monexa Gateway de Pagamentos, que recebeu cinco transferências durante a invasão da C&M, no total de R$ 45 milhões.
30/06/2025, 00:18 (Hora de Brasília) — As plataformas da SmartPay e Truther identificaram um movimento atípico de compra de criptomoedas.
30/06/2025, 02:03 (Hora de Brasília) — Primeiras transações fraudulentas começam a desviar dinheiro da Conta Reserva da BMP.
30/06/2025, 04:00 (Hora de Brasília) — O Piloto de Reserva da BMP é notificado, por um executivo de outro banco, sobre o recebimento de um PIX de R$18 milhões realizado naquele momento. A partir deste evento, a BMP toma conhecimento da realização de algumas transações PIX não autorizadas.
30/06/2025, 05:00 (Hora de Brasília) — O piloto de reserva da BMP aciona a C&M Software para comunicar sobre as transações indevidas.
30/06/2025, 07:04 (Hora de Brasília) — A equipe da BMP consegue interromper a sequência de transações fraudulentas.
30/06/2025 — Como medida preventiva, a C&M é desconectada temporariamente do Sistema de Pagamentos Brasileiro (SPB) pelo Banco Central.
01/07/2025 — O portal Brazil Journal é o primeiro veículo da mídia a noticiar o incidente.
02/07/2025 — A BMP publica uma nota oficial em seu site sobre o incidente.
02/07/2025 — A Polícia Federal foi acionada e abriu inquérito.
03/07/2025, 09:59 — O Banco Central anuncia a retomada parcial das operações da C&M Software.
03/07/2025 — O Banco Central anuncia a suspensão de três fintechs que receberam parte dos recursos desviados do BMP: Transfeera, Nuoro Pay e Soffy. A Justiça bloqueia as contas da Soffy.
03/07/2025 — A Polícia Civil de São Paulo prende um funcionário da C&M Software, João Nazareno Roque, suspeito de ter vendido suas credenciais de acesso para o grupo criminoso.
04/07/2025 — O Banco Central suspende o acesso ao sistema Pix de mais três instituições de pagamento, de forma cautelar, sob suspeita de terem recebido recursos desviados da intermediadora C&M Software: Voluti Gestão Financeira, Brasil Cash e S3 Bank.
07/07/2025 — O Banco Central suspendeu do Pix mais uma instituição, a cooperativa de crédito Creditag. Com ela, já são sete fintechs suspensas por conexão ao desvio de recursos do BMP.
11/07/2025 — A Justiça decreta a prisão preventiva de João Nazareno Roque.
15/07/2025 — A Polícia Federal e o Ministério Público de São Paulo (MPSP) deflagram a operação Magna Fraus em Goiás e Pará, prendendo um casal suspeito por lavagem de dinheiro e recuperando R$ 5,5 milhões em criptoativos.
22/07/2025 — A PF prende em flagrante o assessor parlamentar Jackson Renei Aquino de Souza, de Roraima, por ter recebido R$ 700 mil frutos do golpe na C&M Software.
10/08/2025 — Uma reportagem da Folha revela o nome de três instituições financeiras que também foram vítimas do desvio de fundos através da C&M Software: Banco Industrial do Brasil, CorpX Bank e a cooperativa de crédito rural CrediAliança.
É evidente que um golpe desse porte necessita de meses de preparação, que começaram antes de março desse ano. Ou seja, os criminosos tiveram pelo menos 4 meses para planejarem a invasão da C&M Software.
Com tantos ataques de ransomware a hospitais e organizações do setor de saúde, mais cedo ou mais tarde isso iria acontecer: um ataque cibernético causando a morte de pacientes devido ao impacto no tratamento dos pacientes. "Sad, but true".
Recentemente a morte de um paciente foi oficialmente associada a um ataque cibernético realizado pelo grupo de ransomware Qilin à empresa Synnovis em junho do ano passado, que paralisou os serviços de patologia em vários hospitais importantes do NHS em Londres. O hospital King's College confirmou que um paciente morreu inesperadamente durante o incidente, causada por "uma longa espera por um resultado de exame de sangue", que atrasou por causa do ciberataque.
Mas esse não foi o primeiro caso. Em 18 de setembro de 2020, um ataque de ransomware ao Hospital Universitário de Düsseldorf (UKD) na Alemanha causou falha nos sistemas de TI. Uma paciente de emergência que precisava de tratamento urgente teve que ser redirecionada para outro hospital a 32 quilômetros de distância, mas isso a levou à morte :(
O ataque cibernético do grupo Qilin à Synnovis em 3 de junho de 2024 causou impacto de grandes proporções. A empresa é uma importante provedora de serviços de patologia, e o ataque acabou causando, por tabela, a interrupção generalizada em serviços de diagnóstico em Londres. Foi um verdadeiro caos, atrasando resultados críticos de exames de sangue e impactando significativamente o atendimento aos pacientes no sistema de saúde. O incidente interrompeu a realização de exames de sangue em diversas entidades associadas ao NHS, incluindo os hospitais King's College, Guy's e St Thomas', Lewisham e Greenwich, além de clínicas médicas. A interrupção impactou mais de 10.000 consultas ambulatoriais e levou ao adiamento de 1.710 cirurgias e adiamento de 1.100 tratamentos contra o câncer. Os profissionais de saúde, por exemplo, enfrentaram dificuldades para realizar transfusões e analisar compatibilidade sanguínea, forçando-os a usar sangue tipo O universal, o que contribuiu para uma escassez nacional de suprimentos para o tipo O.
Um infográfico publicado em um artigo na Revista da Pesquisa FAPESP resume muito bem quais as medidas básicas de segurança que ajudam a melhorar a postura de proteção das organizações;
O infográfico foi criado a partir do Relatório Anual de Segurança de 2023 do CAIS-RNP, que tem uma página batizada de "guia essencial de segurança da RNP", em que mostra as principais medidas a serem adotadas no processo de segurança da informação:
Defesa em profundidade: Um ataque cibernético é composto de diversas etapas. Aplicar o conceito de defesa em profundidade impõe barreiras contínuas ao invasor, o que aumenta a chance de um incidente ser detectado e tratado antes que ele cause efeitos adversos.
Backup: Cópias de segurança garantem a disponibilidade da informação, deixando sistemas mais resilientes. Medida essencial tanto contra os ransomwares como para falhas rotineiras de hardware.
Proteção contra vulnerabilidade: Monitorar sistemas, realizar varreduras, configurar atualizações automáticas e acompanhar canais de informação para criar um processo completo de gestão de vulnerabilidades.
Segmentação e controle de acesso: Segmentar a infraestrutura, adotar múltiplos fatores de autenticação (MFA) e modelar a infraestrutura de acordo com o conceito de Zero Trust (confiança zero) ajuda a conter danos e prevenir incidentes mais graves.
Conscientização: Programas de conscientização e treinamento ajudam a transformar o colaborador em uma barreira de segurança.
Continuidade de negócios: O processo de formulação e adoção de um plano de continuidade de negócios ajuda a organização a enxergar oportunidades de melhorias e maneiras de aprimorar a maturidade de segurança.
Resposta e cooperação: Construir processos que integrem especialistas externos ajuda a organização a responder incidentes de maneira adequada.
Sem dúvida são medidas básicas que garantem um nível minimamente razoável de proteção contra ciberataques e uma capacidade inicial de responder a incidentes.
Sim, como alguns portais de notícias já disseram, estamos frente ao maior caso de crime cibernético da história do Brasil, um ciberataque que pode ter gerado perdas na casa de alguns bilhões de reais.
O portal Brazil Journal foi o primeiro a noticiar, no final da terça-feira (01 de julho), que "um criminoso explorou a vulnerabilidade de um prestador de serviços e roubou mais de R$ 1 bilhão da conta de uma empresa que oferece soluções de conta transacional ao sistema financeiro".
Na fraude bilionária em questão, um típico caso de ataque à cadeia de suprimentos ("supply chain attack"), os criminosos invadiram os sistemas da empresa C&M Software e tiveram acesso não autorizado a plataforma de seis instituições financeiras, a partir das quais acessaram as contas de reserva delas no Banco Central do Brasil. A partir daí, eles conseguiram sacar o dinheiro para contas de laranjas.
A C&M Software, no caso, é uma empresa que presta serviços financeiros a bancos e fintechs, autorizada e supervisionada pelo Banco Central do Brasil - no jargão do mercado, ela é uma "Provedora de Serviços de Tecnologia da Informação" (PSTI). Segundo o Brazil Journal, ela é uma das "sete empresas deste tipo, autorizadas e supervisionadas pelo BC, que conectam 293 instituições à autoridade monetária". Ela disponibiliza acesso ao Sistema de Pagamentos Brasileiro (SPB), através de APIs e webservices, para realizar o processamento de transações financeiras entre bancos - como transferências via Pix, emissão e pagamento de boletos, DDAs, TEDs, etc. Segundo as reportagens sobre o caso, a empresa mais afetada pelo golpe foi a BMP, uma fintech que fornece serviços de "banking as a service", entre eles um sistema bancário "white label".
Tudo indica que o ataque ocorreu na madrugada do dia 30 de junho, foi detectado e contido no mesmo dia. Uma nota da BMP, compartilhada posteriormente em alguns grupos de whatsapp, indicou que nesse dia houve a interrupção temporária nas transações PIX em função de um ataque cibernético a um provedor de serviços - a C&M Sistemas, no caso. Assim que o ataque foi detectado, o Banco Central desligou a C&M do sistema, paralisando as transações PIX de alguns de seus clientes. A Polícia de São Paulo e a Polícia Federal foram acionadas.
Às 00:18 do dia 30 de junho as plataformas da SmartPay e Truther identificaram um movimento atípico de compra de criptomoedas;
Às 04:00 do dia 30 de junho um executivo da BMP é notificado, por um executivo de outro banco, sobre um PIX de R$ 18 milhões realizados naquele momento.
No dia seguinte (01/07) a notícia surgiu primeiro no portal Brazil Journal e na sequencia pipocou em vários jornais país afora, e surgiram novos relatos de que o prejuízo estimado seria de R$ 400 milhões, um número bem abaixo do que foi apontado inicialmente. Entretanto, uma reportagem do UOL, citando fontes ligadas a investigação, disse que os números ainda estão sendo auferidos, mas especula-se que o prejuízo seja ainda maior, de até R$ 3 bilhões.
Uma reportagem do Brazil Journal dá uma luz melhor sobre essas estimativas: apenas da fintech BMP foram extraviados R$ 400 milhões, e na ocasião, a matéria destacou que as estimativas do Banco Central eram de que a estimativa do total roubado, de todas as instituições financeiras envolvidas, seria de R$ 800 milhões. A BMP alega que conseguiu recuperar R$ 160 milhões.
O vazamento do dinheiro se deu via PIX para diversas contas de laranja, que na sequencia foram enviados para exchanges de criptomoedas. O Banco Central identificou e suspendeu do Pix três instituições de pagamento que receberam a maior parte dos fundos roubados e não bloquearam os valores: Transfeera, Nuoro Pay e Soffy. Posteriormente,m outras 4 fintechs foram suspensas.
Segundo a Cointelegraph, os criminosos tentaram converter o dinheiro roubado em Bitcoin e USDT, mas em alguns casos não tiveram sucesso e chegaram a ter o dinheiro retido e retornado às vítimas. A matéria destaca que "após roubar o dinheiro, o hacker começou a movimentar os valores para diferentes provedores de criptomoedas que trabalham com Pix, como exchanges, gateways, sistemas de swap para cripto integrados com pix e mesas OTC, para comprar USDT e Bitcoin" - mas muitas delas negaram o cadastro e as transações. Citando o CEO da SmartPay e Truther, as duas plataformas identificaram um movimento atípico às 00:18 do dia 30 de junho - o que dá uma boa pista do horário do ataque: na madrugada de domingo para segunda-feira!
A Polícia Civil de São Paulo prendeu na noite de quinta-feira (03/07) o homem suspeito de facilitar ataque ao sistema financeiro. Segundo o Departamento Estadual de Investigações Criminais (Deic), o preso, João Nazareno Roque, é funcionário da empresa de tecnologia C&M Software, atuando como desenvolvedor back-end júnior, e deu acesso pela máquina dele ao sistema da empresa para os criminosos que efetuaram o ataque. Segundo a polícia, ele vendeu por R$ 5 mil a sua senha de acesso e depois, por mais R$ 10 mil, realizou comandos nos sistemas à mando dos crimnosos para permitir os desvios. Ele relatou ainda que só se comunicava com os criminosos por celular (ligação e aplicativo de mensagens) e não os conhece pessoalmente. O primeiro contato aconteceu em março desse ano, quando foi abordado na saída de um bar. Os comandos foram executados em maio desse ano. Durante esse período, ele se comunicou com 4 criminosos diferentes, com vozes de pessoas jovens, e trocava de celular a cada 15 dias. A cada vez, os criminosos faziam contato a partir de um número de telefone diferente.
O salário dele, na empresa, era de aproximadamente apenas R$ 2.500. Ou seja, ele ganhou, dos criminosos, o equivalente a cerca de 6 meses de salário. Não sabemos os detalhes, mas talvez ele nem tenha tido a opção de recusar a oferta, dependendo de quão "amigável" foi a abordagem do grupo criminoso. Talvez ele tenha sido tão inocente a ponto de achar que não seria identificado? (leia o excelente post do Cláudio Dodt sobre isso!) O fato é agora ele vai ele responder por associação criminosa, furto qualificado mediante fraude e abuso de confiança.
Segundo descrito pelo delegado Renan Topan para a CNN, “Falaram o seguinte para ele: Olha, a gente quer conhecer o sistema da empresa que você trabalha. A gente sabe que você trabalha assim e tal, e para isso a gente te oferece R$ 5.000 para você fornecer pra gente a senha, o login de acesso e depois a gente a quer conhecer a estrutura da empresa, como que funciona essa transferência, como é a metodologia, os procedimentos. Depois ele recebeu mais R$ 10.000 para isso.”.
Uma matéria no portal Finsiders destacou que o golpe ocorreu por meio da criação e envio de ordens falsas de transferência via Pix, com os criminosos se passando pela BMP no sistema da C&M. A operação foi massiva e sistemática, simulando autorizações legítimas de envio de recursos para contas controladas pelos criminosos.
Pela característica do ataque, essa foi uma operação que foi cuidadosamente planejada e exigiu participação de pessoas com conhecimento especializado do funcionamento do sistema financeiro brasileiro - tanto do ponto de vista técnico como processual. é um ataque que envolveu o acesso irregular ao "coração" do SPB, injetando transações fraudulentas diretamente nos sistemas. Tal ataque dificilmente poderia ser realizado por um grupo criminoso de fora, por exigir tanto conhecimento das particularidades de um sistema que só funciona no Brasil.
As investigações mostram que o ataque estava sendo planejado desde, pelo menos, março desse ano - quando o colaborador da C&M foi abordado pelo grupo criminoso pela primeira vez. Além do mais, eles escolheram a dedo o horário do "bote": a madrugada de domingo para segunda-feira, 30/06, um horário que provavelmente haveria menor monitoramento dos sistemas.
Segundo a C&M Software, a empresa adotou diversas medidas para conter o incidente, incluindo:
Isolamento do ambiente comprometido;
Revogação de credenciais e chaves;
Acionamento do Mecanismo Especial de Devolução (MED);
Solicitação de reversão dos valores indevidos;
Comunicação formal às autoridades competentes;
Contratação de análise forense externa;
Notificação proativa a todos os clientes, impactados ou não.
Pelo jeito, pelo menos o MED funciona quando roubam dinheiro dos bancos. Quando uma vovozinha cai no golpe do Whatsapp ou alguém invade o celular de uma pessoa comum, a chance de recuperar o dinheiro pelo MED é praticamente zero. Os casos de sucesso para reverter a fraude contra o cidadão comum são muito raros :(
Vale lembrar que o sistema financeiro, por dentro, é extremamente complexo, com muitas partes envolvidas e tecnologias distintas. Para um simples PIX ou um pagamento de boleto ocorrer, diversas empresas são envolvidas, com papéis distintos.
A grosso modo, o Banco Central possui uma rede que interconecta todos os bancos, a Rede do Sistema Financeiro Nacional (RSFN), utilizada para a troca de informações das transações entre os bancos. Essa rede é quem faz a comunicação do Sistema de Pagamentos Brasileiro (SPB). Os bancos se conectam à RSFN diretamente ou através de empresas que vendem o serviço de conectividade, outras que possuem plataformas que fazem a troca de mensagens ("messageria"), e por aí vai.
Segundo o Banco Central, o problema foi contido. A BMP declarou que nenhum cliente foi afetado e que o impacto se restringiu aos próprios fundos operacionais.
O total de instituições financeiras impactadas direta ou indiretamente pelo golpe não é conhecido. Algumas tiveram seus fundos desviados e outras, por serem clientes da C&M Software, tiveram apenas impacto nas transferências via PIX na semana de 30 de junho, durante o período em que a C&M ficou suspensa pelo Banco Central. Especula-se que entre 6 e 8 instituições financeiras tiveram seus fundos desviados no golpe. O que sabemos até agora:
BMP Money Plus: a única empresa que se manifestou publicamente sobre ter sido prejudicada no golpe, com perdas de R$ 541 milhões;
Banco Carrefour: Aparentemente teve suas transferências via PIX interrompidas quando o BC desconectou a C&M do SPI;
Banco Paulista: Publicou em seu site uma nota avisando que as transações via PIX foram interrompidas quando o BC desconectou a C&M;
Bradesco: Foi citada nas primeiras reportagens sobre o golpe, mas repentinamente ninguém mais falou sobre eles;
Credsystem: citada pela imprensa, não sabemos se foi fraudada ou se apenas teve impacto nas transações via PIX;
Igreja Bola de Neve: Aparentemente também teve suas transferências via PIX interrompidas quando o BC desconectou a C&M do SPI;
Banco Industrial do Brasil, CorpX Bank e cooperativa CrediAliança: Segundo reportagem da Folha, essas 3 instituições também foram vítimas de desvios milionários por causa do ataque na C&M Software.
Vale destacar, com um pequeno tom de sarcasmo, o posicionamento da comunidade de segurança. Felizmente não vi qualquer profissional realmente sério e conhecido dando depoimentos imprecisos na imprensa. Mas surgiram relatórios e depoimentos de especialistas bem fora da realidade. Nos grupos de whatsapp, pipocavam os comentários mais aleatórios possíveis, com muito palpite e adivinhação, uma pitada de fofoca ("conheço alguém envolvido na investigação que disse que...") mas pouca base real. Como sempre, nosso mercado se alimenta e retroalimenta de muito FUD e desinformação. Em casos de grande atenção, como esse, há uma histeria coletiva em compartilhar qualquer tipo de informação sobre o caso, sem preocupação em verificar a fonte ou analisar a veracidade.
Rapidamente logo nos primeiros dias alguns "especialistas" apontaram que o ataque teria sido realizado pelo grupo "Plump Spider", e que todo o modus operandi condizia com o grupo (detalhe: na ocasião, não havia qualquer indicação de como o ataque teria ocorrido).
Ou seja, dentre centenas (ou milhares?) de grupos cibercriminosos brasileiros, alguns com ligações com o crime organizado, existem apenas 2 ou 3 catalogados pela gringolândia. Será que essa pressa de algumas pessoas ao atribuir o ataque ao Plump Spider é fruto de análise precisa, ou puro comodismo?
Um relatório sem qualquer conexão com a realidade foi compartilhado em diversos grupos e virou tema de podcasts. Esse relatório até mesmo apontava como certo qual seria a vulnerabilidade (CVE) responsável pela invasão à C&M. Um youtuber, uma pessoa que se declara especialista de segurança, destilou diversas groselhas sobre o caso e fez um video inteiro sobre o tal relatório fantasioso, como se ele tivesse descoberto como foi o ataque (não vou citar o canal e nem colocar o vídeo aqui por vergonha alheia).
Atualização (06/07): Conforme as investigações sérias, da polícia, avançam, surgem novas informações na Imprensa sobre o ataque ao sistema financeiro, e a C&M finalmente publicou uma nota oficial sobre o incidente. A C&M, além de reforçar que a fraude ocorreu por uso de uma credencial de funcionário e que não houve vulnerabilidade no seu sistema, relatou na nota que utilizou o MED para recuperar parte dos valores!
Vejam algumas novidades nesses últimos dias:
A Polícia Civil de São Paulo informou que a BMP, uma das instituições afetadas pelo ataque hacker ao sistema financeiro, perdeu R$ 541 milhões. Ela foi a única empresa afetada que registrou boletim de ocorrência e que se manifestou publicamente;
Segundo o inquérito da Polícia Civil de São Paulo, após acessar a conta reserva da BMP, os criminosos desviaram R$ 541 milhões através de 166 transferências para 29 diferentes instituições financeiras e 79 pessoas - quatro delas receberam, ao todo, mais de R$ 100 milhões. Parte das instituições identificadas, que inclui bancos tradicionais e instituições conhecidas, já estornou o dinheiro por meio do sistema de devolução do Pix (MED);
Segundo a BMP, as transações fraudulentas começaram às 2h03 e o último Pix tirando dinheiro do BMP foi registrado às 7h04;
As transações fraudulentas que desviaram dinheiro da conta da BMP totalizaram R$ 541.019.034,96;
O Banco Central suspendeu o acesso ao sistema Pix de seis instituições de pagamento: Voluti Gestão Financeira, Brasil Cash, S3 Bank, Transfeera, Nuoro Pay e Soffy;
Uma das fintechs que estão na mira da polícia, a Soffy, recebeu 270 milhões desviados do BMP em 69 transferências. Ela não aparece no cadastro do Banco Central com autorização para operar como instituição de pagamento. Dois beneficiários se destacam: um recebeu sete transferências, totalizando R$ 44 milhões, e outro recebeu R$ 20 milhões, fragmentados em quatro transações;
Aparentemente, os cibercriminosos conseguiram transformar em criptomoeda pelo menos cerca de 160 a 220 milhões de reais.
Para quem é mais atento, a XKCD já tinha dado sinais de como esse golpe ocorreu (e isso se aplica a grande maioria dos ciberataques):
As noticias e fofocas diminuiram muito depois que o incidente completou sua primeira semana. Na minha opinião, isso aconteceu em parte pporque a descoberta de que um funcionário vendeu suas credenciais de acesso jogou por terra todas as teorias mirabolantes da galera que gosta de viajar na maionese: não era CVE, zero day, comprometimento de API, grupo hacker famoso, etc. As notícias sobre o assunto quase cessaram por completo.
Mas ainda assim tenho algumas coisas para atualizar nesse post sobre o caso:
Ainda no final da semana em que o ataque foi descoberto, circularam em alguns grupos de whatsapp uma planilha com, supostamente, a lista de bancos que receberam o dinheiro desviado da BMP. Inicialmente eu não ia compartilhar essa informação, mas colegas que tiveram contato com a investigação confirmaram que ela é real e eu achei uma reportagem da Metrópoles que publicou ela:
A propósito, a mesma reportagem mostra que a Soffy e a Transfeera, as duas fintechs que mais receberam transferências do dinheiro desviado da BMP, R$ 360 milhões, acumulam queixas por abrigarem contas de golpistas.
A imprensa também descobriu, e alardou, que a Soffy Soluções de Pagamentos está registrada em nome de um ex-cozinheiro gaúcho que fez carreira trabalhando em restaurantes no Mato Grosso do Sul - levantando a suspeita de que ele seria um laranja. Em maio deste ano, ele se tornou único sócio da empresa, adquirindo todas as cotas pelo valor de R$ 1 milhão;
Uma reportagem do jornal Valor Econômico indicou que, segundo a Polícia Civil de São Paulo, mais dois bancos denunciaram ter sofrido um prejuízo com o ataque à C&M, tendo sido desviados R$ 184 milhões e R$ 49 milhões de cada um deles. Os nomes das instituições não foram revelados.
Para desviar os R$ 541 milhões da BMP foram realizadas 169 transações para mais de cem contas de 29 diferentes instituições financeiras, de acordo com tabela presente no inquérito da Polícia Civil de São Paulo. Segundo uma reportagem da Folha, oito dessas empresas, disseram que bloquearam valores recebidos e comunicaram o Banco Central. Os principais destinos foram:
Soffy: recebeu mais de R$ 271 milhões em uma conta que, segundo a empresa, pertencia a um cliente parceiro não identificado
Transfeera: recebeu mais de R$ 89 milhões em 22 transferências
Monexa (empresa criada 19 dias antes do golpe): recebeu R$ 45 milhões em cinco transferências na madrugada
Nuoro Pay (mantinha conta da Monexa): bloqueou 390 transações suspeitas de R$ 25 mil vindas da Transfeera e Soffy
Segundo a reportagem, o CEO da Nuoro Pay, Ricardo Sinval, disse que a sua instituição financeira, que atendia a conta da Monexa e trabalha principalmente com sites de apostas, não bloqueou inicialmente os Pix da BMP por se tratar de uma grande instituição financeira. Contudo, a empresa bloqueou 390 transações suspeitas de R$ 25 mil vindas da Transfeera e Soffy.
Em 11/07 o portal Tecmundo publicou uma matéria sobre um relatório desenvolvido em parceria com a empresa Zenox, trazendo supostas descobertas sobre o ataque à C&M Software. Totalmente especulativo, o relatório não aponta fatos, apenas traz novas especulações travestidas de evidências. A reportagem chega a dizer que "a Zenox realiza uma análise profunda sobre como a cadeia de suprimentos foi atacada" - como diriam os americanos, "bullshit". A reportagem e o relatório destacam, principalmente, que alguns meses antes do ataque à C&M Software, foram encontradas mensagens de criminosos em grupos no Telegram buscando por gerentes que poderiam ser aliciados para golpes. Mas a reportagem não mostra qualquer evidência de que estas mensagens estariam conectados ao golpe bilionário de 30/06. O que a reportagem também não diz é que esses tipos de mensagens são extremamente comuns em fóruns criminosos, acontecem diariamente há anos.
Na minha humilde opinião, a única coisa que vale a pena mesmo do relatório da Zenox é parte de sua conclusão, aonde diz que:
“No setor financeiro, a reputação é um ativo valioso. Por receio de prejuízos à imagem, penalidades regulatórias ou perda de confiança do mercado, é comum que instituições financeiras que sofrem ataques escolham o silêncio. Esse isolamento enfraquece a capacidade coletiva de resposta. As táticas, técnicas e procedimentos (TTPs) utilizados pelos atacantes acabam ficando restritos à instituição que sofreu o ataque, impedindo que outras se preparem ou aprendam com o ocorrido”.
“Essa cultura do silêncio cria o ambiente ideal para os criminosos. Eles atacam uma instituição, aprendem com os erros e repetem a estratégia na próxima, que permanece completamente alheia ao risco iminente. Essa falta de compartilhamento de informações impede a criação de uma defesa coletiva mais robusta — algo que poderia funcionar como uma espécie de “imunidade de rebanho” cibernética”.
Nos dias 15 e 16/07 o Ministério Público de São Paulo, por intermédio do CYBERGAECO, e a Polícia Federal deflagraram a Operação Magna Fraus, dando cumprimento a dois mandados de prisão temporária e cinco mandados de busca e apreensão nos Estados de Goiás e do Pará, visando o esquema de lavagem de dinheiro desviado do ataque à C&M Software. Os policiais conseguiram recuperar R$ 5,5 milhões em criptoativos, pois localizaram a chave privada de acesso às criptomoedas em um dos endereços visitados. Também foi feito o bloqueio de outros R$ 32 milhões em USDT em colaboração com a Tether. A operação prendeu um casal por participar da lavagem de dinheiro. Um deles, Patrick Zanquetim de Morais, estava em poder da carteira física de criptomoedas, que foi aprendida, e também consta como proprietário da empresa PaySafe Soluções Financeiras.
Em 24/07 uma operação da Polícia Federal recuperou R$ 700 mil em espécie, que estava com o assessor parlamentar Jackson Renei Aquino de Souza, de Roraima. A PF identificou que o montante está relacionado ao ataque que desviou milhões das contas de instituições financeiras. Jackson Renei foi preso em flagrante por suspeita de lavagem de dinheiro.
Uma reportagem da Folha, de 10/08, destacou que a BMP alega ter recuperado R$ 270 milhões dos R$ 541 milhões que foi desviado de seu cofre reserva - mas ainda aguarda a repatriação do dinheiro. A Folha também deu o nome de três outras instituições financeiras que foram vítimas do ataque, sem mencionar o valor subtraído de cada uma delas: o Banco Industrial do Brasil, o CorpX Bank e a cooperativa de crédito rural CrediAliança.
Em 17 de agosto circulou um alerta de que, supostamente, criminosos estariam procurando contas laranja em exchange de cripto, gerando uma "movimentação incomum" segundo a fonte do alerta - informação compartilhada em vários grupos e fóruns, que acabou sendo compartilhada também como um alerta do próprio Banco Central. Não foi apresentada qualquer evidência do caso, e aparentemente, nada aconteceu nos dias seguintes.
OBS: Em 22 de julho eu dei uma palestra em "portunhol" para a Comunidade CIBERCI sobre esse incidente, aonde expliquei rapidamente o funcionamento do sistema financeiro brasileiro e discuti tudo que sabíamos sobre o incidente até aquela data. A palestra está disponível no YouTube "Caso de estudio: El ataque billonario al sistema financiero brasileño".
.png)
