Apesar da polícia ter identificado como os criminosos obtiveram acesso aos sistemas das instituições financeiras, as notícias compartilhadas até o momento nos permitem ter uma visão e entendimento muito pequenos sobre como ocorreu o ataque e a fraude. Em resumo, "um funcionário da C&M deu acesso ao grupo criminoso que, dessa forma, conseguiu inserir transações fraudulentas nos sistemas da empresa, em nome de seus clientes."
Mas muitas informações e detalhes ainda continuam em aberto, e as investigações estão em andamento. Após uma primeira semana de muitas novidades e especulações, agora as notícias surgem a conta-gotas. Mas talvez nós nunca saberemos a verdade.
Seguem algumas perguntas que eu acho importante:
- Quais são todas as vítimas? Das pelo menos 6 instituições financeiras que tiveram dinheiro desviado, somente a BMP Money Plus foi citada abertamente.
- Qual foi o valor total desviado de todas as vítimas? Sabe-se, por enquanto, apenas do total desviado da BMP, R$ 541 milhões.
- Qual foi o tempo total de planejamento do golpe? Se o funcionário da C&M foi abordado em março desse ano, os criminosos gastaram pelo menos 4 meses planejando o golpe.
- Quem é o grupo criminoso responsável pelo ataque?
- Quantas pessoas? Sabemos que são no mínimo 5: a pessoa que aliciou o funcionário da C&M e 4 que falaram com ele.
- Elas tinham experiência e conhecimento prévio sobre o sistema financeiro? Aparentemente sim. Mas... Será que alguns dos criminosos trabalha ou trabalhou em empresas do setor ou em bancos?
- Será que o grupo está ligado ao crime organizado?
- Sobre o funcionário da C&M Software, será que ele simplesmente vendeu a credencial mesmo ou a relação dele com o grupo seria maior do que sabemos?
- Será que ele foi "plantado" dentro da empresa? (é pouco provável, pois parece que ele trabalhava lá há 2 ou 3 anos)
- Sobre a invasão na C&M Software:
- Os criminosos tiveram acesso remoto aos sistemas da C&M para realizar as transações fraudulentas? Se sim, como conseguiram isso?
- Quais comandos foram dados pelo funcionário da C&M Software em maio para permitir, efetivamente, o acesso dos criminosos e a realização da fraude?
- Foi explorada alguma vulnerabilidade nos sistemas da C&M Software para permitir o acesso não autorizado aos seus sistemas?
- Foi explorada alguma vulnerabilidade nos sistemas da C&M Software para permitir a inserção de transações PIX fraudulentas no SPI?
- Sobre o roubo de dinheiro em si:
- As transações PIX fraudulentas foram inseridas manualmente ou de forma automatizada, por comandos via shell ou API?
- Foram usadas credenciais em nome das empresas fraudadas (ex, a credencial da BMP)? Ou a fraude foi feita manipulando a aplicação da C&M Software?
- As chaves privadas de criptografia, que são necessárias para assinar as mensagens de transações PIX entre os bancos, foram comprometidas? Elas estavam armazenadas de forma segura?
- Sobre a identificação da fraude:
- Porque as instituições financeiras envolvidas demoraram tanto para identificar a fraude?
- Porque o Banco Central não monitorou e identificou que milhões de reais estavam sendo enviados das contas de reserva, já que elas ficam sob sua custódia? No caso da BMP, por exemplo, foram desviados R$ 541 milhões de sua conta reserva, que é de R$ 600 milhões - ou seja, em apenas 5 horas, foi transferido o equivalente a 90% de seu saldo.
- Se, entre as instituições de pagamentos que receberam parte dos fundos roubados, haviam algumas com histórico de fraude e/ou em nome de laranjas, porque elas não foram identificadas e suspensas antes, pelo Banco Central?
- A minha "cereja do bolo": Se o Banco Central diz para a população usar o MED para recuperar seu dinheiro enviado via PIX após cair em golpes, porque ele mesmo não recuperou 100% dos valores roubados usando o MED?
Para saber mais:
- Veja aqui no blog:
- O maior crime cibernético da história do Brasil (com memes)
- Linha do tempo do ataque bilionário ao setor financeiro
- O G1 quer saber: Para onde foi o dinheiro? Qual o total roubado? O BC está atualizado? As perguntas não respondidas sobre o ataque hacker
PS: Post atualizado em 23/07.
Um comentário:
Mais duas perguntas (que eu acho que nunca serão respondidas): (1) o funcionário (Jr) tinha acesso muito amplo ou foram roubados/comprados acessos de outros funcionários ou ocorreu uma elevação de privilégios (2) quais proteções existiam contra o acesso remoto aos sistemas? Infelizmente acho que vai prevalecer a vontade de esconder as falhas (por vergonha) sobre a necessidade de divulgá-las para que as demais empresas se previnam.
Postar um comentário