[Segurança] Eventos de segurança no segundo semestre de 2025

Já estamos em Setembro e passou da hora de compartilhar os eventos de segurança desse segundo semestre de 2025, não é?

Disclaimer: Seguindo a tradição destes meus posts sobre os eventos do semestre, aqui eu listo apenas os eventos na área de segurança que eu considero serem os mais relevantes para o nosso mercado, que eu gosto e que merecem uma visita. Geralmente dou preferência para os eventos da comunidade e para os mais tradicionais, e pouca importância para os eventos comerciais, pois prefiro apoiar os eventos que eu acredito que trazem conteúdo de qualidade ou que, pelo menos, tem relevância para o mercado.

Para facilitar, antes de compartilhar a minha tradicional lista comentada de eventos, dessa vez vou começar o post com uma lista simples, dos eventos que são os meus preferidos e mais relevantes (na minha opinião, claro), a partir de setembro:

• 13 de Setembro de 2025: XibéSec (Belém, PA)
• 16 a 18 de Setembro de 2025: RNPSeg e Fórum RNP
• 16 a 18 de Setembro de 2025: Mind The Sec
• 20 de Setembro de 2025: BSides João Pessoa (BSidesJP) (João Pessoa, PB)
• 27 de Setembro de 2025: Hacking na Web Day Rio de Janeiro (Rio de Janeiro, RJ)
• 04 de Outubro de 2025: HackBahia (cfp) (Salvador, BA)
• 22 e 23 de Outubro de 2025: Security Leaders Nacional
• 22 a 25 de Outubro de 2025: Latinoware (Foz do Iguaçu, PR)
• 25 de Outubro de 2025: Hacking na Web Day São Paulo
• 01 de Novembro de 2025: 8.8 Brasil
• 01 de Novembro de 2025: BSides Brasília (@bsidesbsb) (cfp) (Brasília, DF)
• 08 de Novembro de 2025: Nullbyte Security Conference (Salvador, BA) 
• 06 e 07 de Dezembro de 2025: BHACK (@bhack) (Belo Horizonte, MG)
• 13 e 14 de Dezembro de 2025: H2HC
• 15 e 16 de Dezembro de 2025: GTS e GTER

Ah, não deixe de ir nos eventos "city sec" na sua cidade, como o Sampasec, Conecta21 (no Rio de Janeiro), CapitalSec (em Brasília), CangaSec (Recife), etc. Não tem um? Junte uma galera e faça! #ficaadica

Deu para ver que Setembro está insano, não é? Teremos quase um evento por semana!!! Mas outubro não fica tão diferente assim... não sei o que aconteceu, mas uma galera gostou da idéia de fazer eventos próximos ao Mind The Sec! OMG!!!

Ah, outra coisa: comparando com as agendas dos anos anteriores, você verá que a Campus Party Brasil, que há quase 2 décadas acontecia em São Paulo, acabou! E o fim do Roadsec, pelo jeito, está sacramentado #RIP :(

Agora sim, acompanhe abaixo quais são os eventos que eu considero serem os mais relevantes no mercado e na comunidade de cibersegurança. Exceto quando indicado o contrário, o evento será realizado presencialmente em São Paulo.

Anote então na sua agenda os principais eventos dessa segunda metade do ano:

• Julho/2025
  
  • 18 e 19/07: CajuSec (Aracaju-SE) - Mais uma edição desse evento em Aracaju, consolidando sua relevância para a comunidade local de segurança, agora ocupando dois dias de programação!
  • 28 a 30/07: 13º Fórum Brasileiro de CSIRTs - Evento gratuito e presencial organizado pelo NIC.br e CERT.br, direcionado para os profissionais que trabalham em resposta a incidentes de segurança, SOC e Threat Intelligence. São 2 dias de palestras seguidos por um terceiro dia (30/07), dedicado para um workshops gratuito sobre MISP, com várias palestras sobre o assunto;
  • 31/07 a 03/08: Hack Town (Santa Rita do Sapucaí, MG) - Grande evento de tecnologia que acontece na cidade mineira de Santa Rita do Sapucaí. Por 4 dias, a cidade é tomada por diversas atividades, oficinas, workshops e muito mais. No meio desse caldeirão, sempre brotam algumas atividades de segurança, fique de olho!
• Agosto/2025
  
  • 01/08: MBConf - Evento gratuito da comunidade Mente Binária, criado em parceria com o Google. Foco em um mix de palestras teóricas e atividades hands-on, focado para profissionais que estão iniciando na carreira;
  • 04/08: BRHueCon (Las Vegas, EUA) - Ponto de encontro dos Brasileiros que vão para Las Vegas curtir a maratona de BSidesLV, Black Hat e Defcon. Uma mistura de happy hour, networking e palestras, em um ambiente descontraído. Alguns brasileiros aproveitam para mostrar, em primeira mão, as palestras que irão apresentar nos próximos eventos;
  • 05 e 06/08: Conferência Gartner Segurança & Gestão de Risco - Após sair do Brasil durante a pandemia do Coronavírus, finalmente a conferência do Gartner volta à São Paulo. Não se engane, esse é um evento voltado para os CISOs "de verdade", o queridinho dos C-levels e dos patrocinadores. O valor do ingresso já foi escolhido para espantar os mortais (mais de R$ 10 mil);
  • 08 e 09 de Agosto de 2025: CyberSecGO (@CyberSecGO) (Goiânia, GO) - Evento de dois dias da comunidade do Centro Oeste, já no seu segundo ano;
  • 13/08: Security Leaders Recife (Recife, PE)  - Versão local do Security Leaders. Evento repleto de painéis e palestras de patrocinadores;
  • 16/08: Hacking na Web Day Florianópolis (Florianópolis, SC) - A caravana do Hacking na Web Day chega à bela Floripa! Um evento descontraído, foco mais técnico, criado em volta da figura do Rafael "Hacking na Web", e organizado com capricho pela Hekate;
  • 18 e 19/08: Global Risk Meeting - Evento focado no universo de GRC, organizado pela Daryus, com painéis e palestras sobre o tema;
  • 23/08: bxsec (Santos, SP) - Neste ano, a 6ª edição da Bxsec Security Conference dá mais um salto de qualidade e terá 3 trilhas de palestras: Blue Team, Red Team e uma sala gerencial, com a formada principalmente por painéis. Também conta com uma competição de CTF organizado pela comunidade Hack in Cariri, uma área para as comunidades e um espaço de patrocinadores;
  • 25 a 27/08: 16o Seminário de Proteção à Privacidade e aos Dados Pessoais - Evento gratuito, presencial e com transmissão online, organizado pelo Nic.br e CGI.br. A transmissão pode ser vista no canal do NIC.br no YouTube;
  • 28/08: Security Leaders Salvador (Recife, PE) - Versão baiana do Security Leaders. Evento repleto de painéis e palestras de patrocinadores;
  • 30/08: Human Risk Management Conference Brazil - Evento focado sobre Conscientização em segurança, criado e organizado com muito capricho pelo Rodrigo Jorge;
• Setembro/2025
  
  • 01 a 04/09: XXV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg) (Foz do Iguaçu, PR) - Principal evento acadêmico sobre segurança da informação no Brasil. A cada ano ele é realizado em uma cidade diferente;
  • 08/09: Digital Privacy Summit - Antigo Congresso de Direito Digital, Tecnologia e Proteção de Dados organizado pela Opice Blum Academy. Um evento com foco maior em privacidade e direito eletrônico;
  • 10/09: Security Leaders Fortaleza (Fortaleza, CE) - Mais uma edição regional no road tour do Security Leaders. Evento focado em gestores, repleto de painéis e palestras de patrocinadores;
  • 13/09: XibéSec (Belém, PA) - Terceira edição desse evento de segurança organizado pela comunidade local e com o apoio e organização caprichado da Hekate. Até hoje é o único evento de segurança na região Norte!!!
  • 15/09: RNPSeg (@caisRNP) (Brasília, DF) - Evento executivo sobre cibersegurança organizado pelo CAIS/RNP em formato de painel sobre um tema relevante na área com convidados na platéia. O evento acontece junto com o Fórum RNP, geralmente no primeiro dia (no site não consta a data, mas estou arriscando chutar ela aqui na lista!). Ele é online, gratuito e pode ser acompanhado pelo canal no Youtube;
  • 15 a 18/08: Fórum RNP (@RedeRNP) (Brasília, DF) - Grande evento executivo da RNP, direcionado aos gestores das instituições de ensino que fazem parte da RNP. O evento é híbrido, presencial e com transmissão online, pelo canal no Youtube;
  • 16 a 18/09: Mind the Sec (MTS) (@mindthesec) - Principal e maior evento de segurança brasileiro, direcionado ao público profissional e executivo. O evento atrai uma grande quantidade de patrocinadores em uma área de exposição gigante, no Transamérica Expo. Também tem trilhas de palestras - algumas acessíveis na área de exposições e outras limitadas para os congressistas. É um evento em que a visita é obrigatória para manter o seu networking, para você ver e ser visto. No final dos dias, sempre rola happy hour em vários estandes, uma boa forma de se distrair enquanto espera o trânsito absurdo daquela região diminuir;
  • 17 a 19/09: TDC São Paulo (@TheDevConf) (cfp) - O TDC São Paulo é o principal evento do mercado de desenvolvimento, gigante e tradicional, e sempre tem uma trilha com palestras sobre segurança e privacidade. A trilha de "Software Security" acontecerá na sexta-feira, dia 19/09;
  • 20/09: BSides João Pessoa (BSidesJP) (@BSidesJP) (João Pessoa, PB) - Evento bem organizado pela comunidade local e com palestras de excelente qualidade;
  • 27/09: Hacking na Web Day Rio (@hackingnawebday) (Rio de Janeiro, RJ) - Evento da comunidade Hacking na Web, que segue o seu "roadshow" pelo Brasil. A temática é mais técnica, perfeito para o público que está iniciando na área;
  • 30/09 a 02/10: Futurecom - Tradicional evento do setor de telecomunicações e conectividade, que passou a ter uma trilha focada em segurança, a Future Cyber;
• Outubro/2025
  
• 04/10: HackBahia (Salvador, BA) - Evento da comunidade de segurança em Salvador;
• 11/10: CriptoFrevo (Recife, PE) - Um evento gratuito, aberto e colaborativo para pensar e experimentar a relação entre tecnologia e cultura;
• 22 e 23/10: Security Leaders Nacional - Principal edição do tradicional Congresso Security Leaders, que encerra o seu tour nacional em São Paulo - que passou por 9 cidades! Um evento voltado principalmente para gestores de segurança (média e alta gerência, e alguns CISOs), com uma área de exposição, palestras de patrocinadores e painéis organizados pelos patrocinadores;
• 22 a 25/10: Latinoware (@latinoware) (cfp) (Foz do Iguaçu, PR) - Tradicional conferência gigante da comunidade de software livre, que volta a ser realizado no Parque Tecnológico de Itaipú. Apesar do foco em software livre, costuma ter várias palestras sobre segurança;
• 24 e 25/10: AlligatorCON Brazilzilzil (Recife, PE) - Depois de uma pausa provocada pela pandemia, os jacarés da Alligator (com dois Ls) voltam para sua terra de origem. Evento super exclusivo, somente para convidados, mais exclusivo do que o You Sh0t the Sheriff. Se você não sabe o que é a Alligator, então você não deveria mesmo ir - e acredite, é melhor assim. Se você sabe, provavelmente deve fazer parte da galera que nunca foi, e nunca será convidada, rs;
• 25/10: Hacking na Web Day São Paulo (@hackingnawebday) - Evento da comunidade Hacking na Web, que fecha a programação do ano em São Paulo, depois do "roadshow" com em algumas cidades brasileiras (Brasília, Recife, BH, Floripa e Rio). A temática é mais técnica, focado no público que está iniciando na área;
• 27 e 28/10: Cyber Security Summit (CCSB) - Evento voltado para os gestores de segurança (média e alta gerência), com algumas palestras e painéis, além de uma área de exposições com patrocinadores. O evento, na minha opinião, tem a vantagem de ter um tamanho médio, aonde você foge da muvuca dos grandes eventos, além de conseguir "furar a bolha" e trazer muita gente que normalmente você não encontra em outros eventos da área;
• Novembro/2025
  
• 01/11: BSides Brasília (@bsidesbsb) (cfp) (Brasília, DF): Primeira edição da conferência BSides em Brasília!
• 01/11: 8.8 Brasil: Spoiler alert: o principal evento de segurança do Chile, a 8.8, pretende fazer uma edição aqui em São Paulo neste ano!

• 08/11: Nullbyte Security Conference (cfp) (Salvador, BA) - Um dos eventos mais importantes da nossa comunidade de segurança, que acontece anualmente em Salvador. O evento sempre tem excelentes palestras técnicas e participação dos principais pesquisadores da comunidade brasileira;
• 29 e 30/11: Gambiconf (@gambiconf) - Evento técnico para quem gosta de gambiarra, rs... voltado inicialmente para a comunidade de desenvolvimento, ela acaba tendo várias palestras relacionadas a segurança. Pela própria característica descontraída do evento, acaba trazendo temas bem interessantes e que valem a visita. O primeiro dia é voltado para palestras e o segundo dia (domingo) para treinamentos, com um debate no final. O evento é presencial, com uma pequena taxa de inscrição, mas com streaming gratuito no YouTube;
• Dezembro/2025
• 05/12: Security Leaders Premiação;
• 06 e 07/12: BHACK (@bhack) (Belo Horizonte, MG) - Evento tradicional da comunidade de segurança de BH, um dos principais com foco técnico e em pesquisa. Sempre com ótimas palestras técnicas e presença da comunidade;
• 13 e 14/12: H2HC (@h2hconference) - O evento mais importante da comunidade brasileira de segurança, que tem crescido bastante nos últimos anos e investido em espaço para as Villages temáticas - sem perder a grandiosa qualidade técnica das palestras das 2 trilhas do evento;
• 15 e 16/12: GTS-40 (Grupo de Trabalho em Segurança de Redes) (@gtergts) - Tradicional evento de segurança do Comitê Gestor da Internet (CGI.br), com palestras técnicas, transmissão online (desde muito antes disso ser comum) e gratuito. Acontece na véspera do GTER-54 e junto com a 15a Semana de Infraestrutura da Internet no Brasil. Ao mesmo tempo presencial e com transmissão online, neste ano o evento será na Centro de Convenções Rebouças.

Ainda não descobri as datas de alguns eventos:

• Dia Internacional da Segurança da Informação (DISI)
• Simpósio de Segurança Digital (SSD)

Eu não gosto dos eventos com "CISO" no nome. Tenho um preconceito de que podem ser eventos de conteúdo com baixa qualidade, que funcionem só como "caça-níquel", para atrair patrocinadores em troca de uma falsa proposta de conectá-los com CISOs. Sem falar que, aqui no Brasil, infelizmente ainda temos muitos CISOs que na realidade são gerentes ou, com sorte, diretores em vez de "C-Level" de verdade. Mas, se você gosta desse tipo de evento, tem alguns:

• sem data: CISO Forum
• 22 a 25409: Conferência Gartner CIO & IT Executive (*)
• 08 a 10/10: CSO Network

(*) Esse é opara quem é C-level de verdade! rs...

Planeja ir em alguns eventos internacionais neste ano? Os principais e mais interessantes eventos nesse semestre, na minha opinião, são os seguintes:

• 04 de Agosto de 2025: BRHueCon (Las Vegas, EUA)
• 05 e 06 de Agosto de 2025: BSidesLV (Las Vegas, EUA)
• 06 a 07 de Agosto de 2025: Black Hat US (Las Vegas, EUA)
• 07 a 10 de Agosto de 2025: Defcon 33 (Las Vegas, EUA)
• 02 e 03 de Outubro de 2025: 8.8 Matrix (Chile)
• 08 e 09 de Outubro de 2025: 2025 FIRST Regional Symposium Latin America & Caribbean (El Salvador)
• 22 a 24 de Outubro de 2025: Ekoparty (Buenos Aires, Argentina)
• Em Dezembro, na semana entre o Natal e o Ano Novo, tradicionalmente acontece o Caos Computer Club Congress (CCC), na Alemanha.

E que tal já ir planejando a jornada de eventos em 2026? Alguns eventos já divulgaram sua programação para o ano que vem:

• 31 de Janeiro de 2026: Oxum Sec (Salvador, BA)
• 07 de Março de 2026: Hack in Cariri (Juazeiro do Norte - CE)
• 18 à 20 de Março de 2026: SecOps Summit (Porto Alegre, RS)
• 21 de Março de 2026: Hacking na Web Day Brasília (Brasília, DF)
• 23 a 26 de Março de 2026: RSA Conference (São Francisco, EUA)
• 28 de Março de 2026: BSides Rio de Janeiro (BSidesRJ) (Rio de Janeiro, RJ) (cfp)
• 11 de Abril de 2026: 0x3 Hacker Conference (Maceió, AL)
• 25 de Abril de 2026: Fortalsec (Fortaleza, CE)
• 14 de Maio de 2026: Sirena Conference (@sirena.conference)
• 16 e 17 de Maio de 2026:  Security BSides São Paulo (@BSidesSP) 
• 18 de Maio de 2026: You Sh0t the Sheriff (YSTS) (@ystscon)
• 13 de Junho de 2026: BSides VIX (Vitória, ES) (@bsidesvitoria)
• 04 de Julho de 2026: Hacking na Web Day Recife (Recife, PE)
• 22 de Agosto de 2026: bxsec (Santos, SP)
• 19 de Setembro de 2026: XibéSec (Belém, PA)
• 24 de Outubro de 2026: Hacking na Web Day São Paulo
• 28 e 29 de Novembro de 2026: BHACK (@bhack) (Belo Horizonte, MG)

Cá entre nós, achei muito estranho a Defcon e a Black Hat não terem anunciado publicamente a data deles em 2026. Geralmente eles anunciam logo que acaba a edição do ano atual.

Se eu esqueci de algum evento brasileiro importante, me avisem.

OBS:

1. Veja aqui no blog:
• O meu post com a minha opinião pessoal sobre como foram os eventos de segurança em 2024;
• Minha lista de eventos no início desse ano: Eventos de Segurança no primeiro semestre de 2025;
2. Olha que legal esse site com os eventos de segurança em um mapa: InfoSecMap;
3. Surgiram algumas listas novas de eventos de segurança, vamos ficar de olho:
• O Eduardo Fedorowicz mantém sua lista no Linkedin há vários anos: Eventos de Tecnologia (2025)
• Um "linktree" com os eventos de Cyber: https://linktr.ee/eventoscyber
• Lista de eventos em 2024 e 2025: Eventos de Segurança
• Lista de datas comemorativas e eventos de cibersegurança da Hekate
• Lista da Axur: 2025 Cybersecurity and Tech Events
• O Sickeira (RIP) postou sua lista de Eventos 2025;
• O site Infosec Conferences tem uma lista de eventos em todo o mundo (não é muito completa, mas ajuda bastante): https://infosec-conferences.com;

Disclaimer importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só destaco os eventos que eu considero serem os mais relevantes para o mercado. Não incluo eventos organizados exclusivamente por fabricantes nem aqueles que eu acredito que possam representar um desvio da comunidade ou uma exploração financeira da imagem dos profissionais da área (nem eventos "de hacker" nem "de CISO"). Se algum evento não foi citado, ou é porque eu esqueci, não conheço ou porque considero que nem vale a pena escrever sobre ele.

PS: Post atualizado em 05/09.

PS/2: Imagem desse post gerada por IA, pelo Zapzinho.

[Segurança] Terceiro ataque ao sistema financeiro brasileiro!

Ainda nem deu tempo de conhecermos os detalhes sobre o ataque à Sinqia nessa última sexta-feira (29/08) e, agora há pouco, tomamos conhecimento de um novo ataque. Desta vez, até aonde se sabe, foi uma tentativa de fraude diretamente contra uma instituição, em vez de atacarem um terceiro, provedor de tecnologia bancária.

A nova vítima, a Monbank (ou Monetarie) é uma sociedade de crédito baseada em Porto Alegre, que hoje sofreu uma tentativa de fraude, aparentemente de R$ 5 milhões.

Um alerta circulou hoje mais cedo entre as instituições financeiras, e agora a tarde a empresa colocou uma notificação oficial em seu site.

Segundo a Monbank, hoje de manhã (02/09), eles identificaram movimentações suspeitas no ambiente digital, na própria conta de reserva institucional do banco. Não foram afetadas as contas privadas dos clientes. O time de segurança cibernética do Monbank identificou o ataque e imediatamente interrompeu as operações da empresa - e comunicou aos órgãos oficiais competentes. Foram detectadas tentativas de invasão envolvendo o sistema STR (utilizado para transferências bancárias, como TEDs) e o sistema PIX. 

O Monbank alega que conseguiu recuperar R$ 4,7 milhões dos R$ 4,9 milhões desviados.

Como destacou muito bem o portal O Bastidor, um dos primeiros a noticiar o caso, "Os três ataques apresentam semelhanças no modo de operação. O acesso ocorre a partir do uso de credenciais válidas — logins de funcionários de bancos e empresas, vendidos a grupos criminosos. Com elas, os hackers manipulam o sistema de mensageria do Pix, responsável pela comunicação entre instituições financeiras e o Banco Central e, em alguns casos, entre bancos e intermediadoras. A partir daí, fazem múltiplas transferências para contas de laranjas em diferentes instituições, em sequência rápida, para dificultar o rastreamento da origem dos recursos. Por fim, os valores são convertidos em criptomoedas.".

Para saber mais:

• Comunicado oficial: Monbank identifica e neutraliza ataque hacker sem prejuízos a clientes
• O terceiro roubo
• Monbank sofre ciberataque ao sistema PIX e tem R$ 4,9 milhões desviados
• Veja também, aqui no blog:
• Novo golpe milionário contra o sistema financeiro brasileiro! (com meme)
• O maior crime cibernético da história do Brasil (com memes)

[Cibercultura] A Obsolescência Programada

O canal Ciência Todo Dia publicou recentemente um vídeo excelente sobre a "obsolescência programada", um conceito que faz parte do nosso dia-a-dia, e para o bem ou mal, ajuda a movimentar a economia:

Você já reparou que...

• Sai mais barato trocar o monitor do computador, sua TV ou celular quebrado, do que consertá-lo?
• Você gasta muito mais com cartucho de tinta do que comprando a impressora?
• Com que frequência você troca a sua lâmina de barbear?
• Com que frequência você troca as lâmpadas da sua casa? (*)

(*) A propósito, já percebeu como as lâmpadas de LED duram muuuuuito mais do que as lâmpatas tradicionais de filamento?  Mas na verdade não precisava ser assim!!! A lâmpada de filamento poderia durar uma centena de anos, se os fabricantes assim quisessem!

Com sua didática e precisão que são peculiares, o Pedro Loos apresenta, no vídeo Por que tudo QUEBRA tão rápido hoje em dia?, o conceito de obsolescência programada, algo que na verdade vem do início do século 20, no início da era industrial moderna.

A obsolescência programada envolve a criação de produtos com um tempo de vida útil bem menor do que seria tecnicamente possível, para forçar a sua quebra e a compra frequente pelos consumidores. Também envolve a criação de truques para dificultar a manutenção de equipamentos, fazendo com que muitas vezes seja mais fácil e mais barato trocar um equipamento do que consertar (ou seja a única forma viável).

A teoria da obsolescência programada, portanto, defende que os produtos modernos são intencionalmente feitos para terem uma vida útil curta, com o objetivo de estimular o consumo constante através da necessidade de substituição frequente dos bens. Acaba sendo uma necessidade artificial, forçada, que é produzida intencionalmente pela indústria ao utilizar componentes de menor vida útil, plantar falhas técnicas que aparecem depois de um tempo de uso, forçar a desatualização tecnológica ou plantar uma sensação de obsolescência no consumidor.

Os exemplos são vários à nossa volta, e o Pedro comenta de alguns no vídeo dele.

O resultado: gastos desnecessários movimentando a economia, desperdício e geração de resíduos.

Para saber mais:

• Aqui no blog:
• Obsolescência programada (post de 2013)
• Retrospectiva: Hackeando trens
• Já citei aí em cima, mas segue: de novo o link para o vídeo Por que tudo QUEBRA tão rápido hoje em dia?
• Essa treta causou muita revolta, na época, e fez com que a Apple se tornasse, praticamente, um sinônimo de "obsolescência programada": De novo! Apple é acusada de reduzir propositalmente autonomia de iPhones com iOS 14.5;
• Conheça a Centennial Bulb, uma lâmpada que está acesa desde 1901!!! Aproveite e mate saudades dos sites de 1990, pois essa página é bem a cara de que foi criado na época do Geocities! (rs)

[Segurança] Novo golpe milionário contra o sistema financeiro brasileiro! (com meme)

Déjà vu???

Na tarde de sexta-feira, 29/08 começou a circular em alguns grupos de WhatsApp da galera de cibersegurança uma mensagem supostamente enviada pelo Banco Central, direcionada às instituições financeiras, alertando sobre um suposto novo ataque ao sistema financeiro, aparentemente direcionado ao banco HSBC:

#URGENTE#
Ataque ao Banco HSBC BANCO 269 ISPB 53518684
Após às 11:00 saíram PIX de valores expressivos
Devido ataque a essa instituição
O PIX foi tirado do ar com isso não será possível devolução via MED nesse momento
Peço pfv a todos comunicar ao monitoramento para bloqueio dos valores recebidos Observação Bradesco adquiriu o HSBC que se tornou Kirton Bank

#sextafeiradamaldade

Muita preocupação começou a surgir na sexta-feira e logo no sábado de manhã veio a bomba!!! Conforme reportado primeiro pelo portal Neofeed, cibercriminosos invadiram os sistemas da Sinqia, uma das principais provedoras de sistemas de core bancário, e conseguiram desviar milhões de reais via diversas transferências via PIX. Até aquele momento, foram identificados desvios em contas do banco HSBC. A reportagem compartilhou uma nota oficial da Sinqia, que dizia entre outras coisas:

No dia 29 de agosto, a Sinqia detectou atividade suspeita no ambiente Pix. Nossa equipe agiu rapidamente e iniciou uma investigação para determinar a causa do incidente. Estamos trabalhando com o apoio dos melhores especialistas forenses nisto. Já estamos em contato com clientes afetados, que compreendem um número limitado de instituições financeiras.
Neste momento, verificamos que o incidente se limita apenas ao ambiente Pix. Não há evidências de atividade suspeita em nenhum outro sistema da Sinqia além do Pix e esse problema afeta apenas a Sinqia no Brasil. Além disso, neste momento, não temos indicação de que quaisquer dados pessoais tenham sido comprometidos.
Enquanto nossa investigação ainda está em andamento, colocamos em prática um plano detalhado para alcançar uma restauração completa. Primeiro, isolamos o ambiente Pix de todos os outros sistemas da Sinqia e o desconectamos proativamente do Banco Central, enquanto conduzimos nossa análise.
Em segundo lugar, por precaução, estamos trabalhando ativamente para reconstruir os sistemas afetados em um novo ambiente com monitoramento e controles aprimorados. Também estamos trabalhando com especialistas externos adicionais para nos ajudar a acelerar esse processo e complementar os recursos de nossa própria equipe. Depois que o ambiente for reconstruído e estivermos confiantes de que está pronto para ser colocado de volta em funcionamento, o Banco Central irá revisá-lo e aprová-lo antes de colocá-lo novamente online. (...)

Sim, prestes a completar 2 meses após o caso da C&M Software, o golpe bilionário ocorrido no final de julho, vemos o cenário se repetir! Esse novo ataque envolvendo a Sinqia em muito se assemelha ao ataque à C&M software - embora ainda não há informações suficientes para conectar os dois casos.

Mais esse caso de ataque milionário às empresas que fornecem tecnologia para o sistema financeiro está deixando a galera da área desesperada!

O HSBC confirmou o incidente em nota oficial:

Os relatos variam entre 400 milhões de reais, R$ 670 milhões, 800 milhões ou até 1 bilhão de reais. Olha que curioso: em 2023 a Sinqia foi comprada pela porto-riquenha Evertec, em uma transação de R$ 2,5 bilhões - ou seja, o prejuízo do golpe pode representar quase metade do valor da compania!

Segundo uma reportagem no G1, o ataque provocou o desvio de cerca de R$ 420 milhões por meio de transferências realizadas via Pix, sendo desviados R$ 380 milhões do banco HSBC e outros R$ 40 milhões da instituição financeira Artta. O Banco Central conseguiu bloquear R$ 350 milhões desse total desviado.

Nota oficial da Artta, divulgada em 30/08:

Mas uma matéria publicada no portal Neofeed, o primeiro a noticiar esse novo grande golpe milionário contra o sistema financeiro brasileiro, "há indícios de que pelo menos R$ 800 milhões estiveram no alvo dos criminosos e 20 instituições foram afetadas."

Provando que não existe nada sigiloso que não apareça nos grupos de whatsapp, já circulou inclusive uma suposta lista com as instituições financeiras que foram roubadas!

As investigações ainda estão em andamento e vou atualizar esse post sempre que surgir alguma novidade relevante.

Em paralelo, o Banco Central está prometendo aumentar a eficiência do MED e e a Receita Federal vai aumentar os controles sobre as Fintechs. O MED, na verdade, nunca teve utilidade prática mesmo pois os criminosos movimentam o dihneiro mais rápido do que a vítima consegue denunciar e o banco consegue investigar. Nem mesmo o próprio Banco Central conseguiu usar o MED para recuperar o dinheiro roubado no ataque da C&M Software, rs.

Uma matéria publicada em 02/09 no jornal Valor traz novas informações baseadas em uma nota oficial da Sinqia, que começam a trazer mais luzes sobre o ocorrido:

• Aproximadamente R$ 710 milhões em transações foram processadas indevidamente, impactando duas instituições financeiras clientes da Sinqia;
• Os resultados preliminares da investigação forense da empresa indicam que as transações não autorizadas foram introduzidas ao ambiente Pix por meio da exploração de credenciais legítimas de fornecedores de tecnologia da informação da Sinqia;
• A empresa acredita que o incidente se limitou ao ambiente Pix da Sinqia e não identificou nenhuma atividade não autorizada em nenhum outro sistema.

Essas informações constam no Relatório "8-K" enviado pela Evertec à SEC (a Comissão de Valores Mobiliários dos Estados Unidos) em 02/09. A Evertec é controladora da Sinqia.

Como resumiu muito bem o InfoMoney: "O volume de recursos desviados do Pix no ataque hacker à empresa de tecnologia Sinqia já chega a cerca de R$ 710 milhões — inicialmente, estimava-se R$ 420 milhões. Foram R$ 669 milhões desviados do HSBC e R$ 41 milhões da sociedade de crédito direto (SCD) Artta. Desse montante, R$ 589 milhões já foram bloqueados pelo Banco Central, o que corresponde a 83% do valor."

O InfoMoney também destaca algo interessante: "Em relação ao destino das transferências, no caso da Sinqia, ao contrário do ataque via C&M, a maioria dos valores foi para contas em grandes bancos, um indicativo de que é necessário apertar as regras para todos, e não apenas para fintechs, explicam interlocutores."

A Apura divulgou um mapeamento baseado no MITRE ATT&CK:

Uma reportagem do jornal Valor, publicada em 04/09, entre outras coisas disse que, segundo o Banco Central, as credenciais de autenticação das instituições financeiras, necessárias para aprovar as transações PIX, estavam em poder das PSTIs (aparentemente, no caso da C&M e da Sinqia).

O Felipe Pr0teus fez um questionamento bem provocativo em seu Linkedin: se duas das 7 PSTIs ativas, segundo o Banco Central, já foram invadidas e causaram prejuízos milionários, será que as demais também já não estão comprometidas?

Meme? Já temos!

Referências:

• Aqui no blog:
• O maior crime cibernético da história do Brasil (com memes)
• A Apura publicou um relatório de inteligência sobre o incidente: Déjà vu: Novo ataque milionário ao sistema financeiro brasileiro
• EXCLUSIVO: R$ 400 milhões (por baixo) roubados do HSBC em ataque hacker que envolve a Sinqia
• Hackers atacam ambiente de Pix do HSBC e roubam pelo menos R$ 400 mi
• Ataque hacker em empresa que opera o sistema Pix desvia R$ 420 milhões; BC bloqueia R$ 350 milhões
• Hackers desviam R$ 670 milhões após invadirem o ambiente Pix da Sinqia
• No ataque à Sinqia, os valores podem chegar a R$ 1 bilhão
• Nota oficial do banco HSBC: Transações suspeitas via PIX no ambiente de um provedor de serviços
• Nota oficial da Artta: Comunicado Oficial Artta
• Mais 400 milhões
• Chega de bagunça
• Como ataque hacker explorou brecha do sistema financeiro para tentar desviar mais de R$ 1 bilhão da rede Pix — e roubou quase R$ 700 milhões da Sinqia
• Sinqia diz que R$ 710 milhões foram desviados em ataque hacker a sistema do Pix
• Ataque hacker desviou R$ 710 milhões, diz empresa que opera sistema PIX
• Relatório "8-K" enviado pela Evertec à SEC (Security and Exchange Commission dos EUA) (em PDF) - fonte aqui
• Desvio de recursos em ataque hacker ao Pix vai a R$ 710 mi; maior parte foi bloqueada
• BC identifica brechas que permitiram ataque hacker e prepara medidas

PS: Pequena atualização em 01/09. Atualizado com dados relevantes em 02/09. Nova atualização em 03 e 05/09.

PS/2: O Banco Central tem uma página com as informações técnicas sobre o sistema financeiro, que inclui também a lista com as 7 PSTIs aprovadas e as 2 homologadas pela instituição: ABBC, C&M Software, cokei, JD Consultores, MAPS, Sinqia, Stark, Tivit e Topaz.

PS3: Em 02/09 soubemos de mais um golpe contra uma instituição financeira, envolvendo desvios da conta reserva, mas que aparentemente não está relacionado à invasão da C&M Software nem da Sinqia. Veja aqui no blog: Terceiro ataque ao sistema financeiro brasileiro!

#corramparaasmontanhas