Apesar da polícia ter identificado como os criminosos obtiveram acesso aos sistemas das instituições financeiras, as notícias compartilhadas até o momento nos permitem ter uma visão e entendimento muito pequenos sobre como ocorreu o ataque e a fraude. Em resumo, "um funcionário da C&M deu acesso ao grupo criminoso que, dessa forma, conseguiu inserir transações fraudulentas nos sistemas da empresa, em nome de seus clientes."
Mas muitas informações e detalhes ainda continuam em aberto, e as investigações estão em andamento. Após uma primeira semana de muitas novidades e especulações, agora as notícias surgem a conta-gotas. Mas talvez nós nunca saberemos a verdade.
Seguem algumas perguntas que eu acho importante:
- Quais são todas as vítimas? Das pelo menos 6 instituições financeiras que tiveram dinheiro desviado, somente a BMP Money Plus foi citada abertamente.
- Qual foi o valor total desviado de todas as vítimas? Sabe-se, por enquanto, apenas do total desviado da BMP, R$ 541 milhões.
- Qual foi o tempo total de planejamento do golpe? Se o funcionário da C&M foi abordado em março desse ano, os criminosos gastaram pelo menos 4 meses planejando o golpe.
- Quem é o grupo criminoso responsável pelo ataque?
- Quantas pessoas? Sabemos que são no mínimo 5: a pessoa que aliciou o funcionário da C&M e 4 que falaram com ele.
- Elas tinham experiência e conhecimento prévio sobre o sistema financeiro? Aparentemente sim. Mas... Será que alguns dos criminosos trabalha ou trabalhou em empresas do setor ou em bancos?
- Será que o grupo está ligado ao crime organizado?
- Sobre o funcionário da C&M Software, será que ele simplesmente vendeu a credencial mesmo ou a relação dele com o grupo seria maior do que sabemos?
- Será que ele foi "plantado" dentro da empresa? (é pouco provável, pois parece que ele trabalhava lá há 2 ou 3 anos)
- Os criminosos tiveram acesso remoto aos sistemas da C&M para realizar as transações fraudulentas? Se sim, como conseguiram isso?
- Quais comandos foram dados pelo funcionário da C&M Software em maio para permitir, efetivamente, o acesso dos criminosos e a realização da fraude?
- Foi explorada alguma vulnerabilidade nos sistemas da C&M Software para permitir o acesso não autorizado aos seus sistemas?
- Foi explorada alguma vulnerabilidade nos sistemas da C&M Software para permitir a inserção de transações PIX fraudulentas no SPI?
- As transações PIX fraudulentas foram inseridas manualmente ou de forma automatizada, por comandos via shell ou API?
- Foram usadas credenciais em nome das empresas fraudadas (ex, a credencial da BMP)? Ou a fraude foi feita manipulando a aplicação da C&M Software?
- As chaves privadas de criptografia, que são necessárias para assinar as mensagens de transações PIX entre os bancos, foram comprometidas? Elas estavam armazenadas de forma segura?
- Porque as instituições financeiras envolvidas demoraram tanto para identificar a fraude?
- Se, entre as instituições de pagamentos que receberam parte dos fundos roubados, haviam algumas com histórico de fraude e/ou em nome de laranjas, porque elas não foram identificadas e suspensas antes, pelo Banco Central?
- A minha "cereja do bolo": Se o Banco Central diz para a população usar o MED para recuperar seu dinheiro enviado via PIX após cair em golpes, porque ele mesmo não recuperou 100% dos valores roubados usando o MED?
Para saber mais:
Nenhum comentário:
Postar um comentário