O ataque cibernético de grande porte que atingiu recentemente a C&M Software — empresa brasileira responsável por serviços financeiros essenciais — e resultou no desvio de fundos de pelo menos seis instituições do setor nos deixou lições preciosas sobre a importância da cibersegurança no sistema financeiro e a ousadia dos grupos criminosos. Este é considerado o maior caso de fraude cibernética na história do Brasil.
O incidente, ocorrido na madrugada de 30 de junho, envolveu o acesso indevido às contas reserva para liquidação interbancária no Banco Central de pelo menos seis instituições financeiras brasileiras, permitindo que o grupo criminoso movimentasse valores expressivos que, segundo estimativas preliminares, podem variar entre R$ 800 milhões e, até, R$ 3 bilhões. O ataque, que abalou o sistema financeiro brasileiro, teria origem no uso de credenciais vazadas de um simples funcionário e envolveu mais de uma centena de transações via PIX convertidas em criptomoedas, dificultando a recuperação do dinheiro. Em resposta, a C&M Software foi desligada temporariamente do Sistema de Pagamentos Brasileiro (SPB) e a Polícia Federal iniciou uma investigação com apoio do Banco Central, enquanto o caso também é apurado pela Polícia Civil de São Paulo.
Casos dessa magnitude levantam uma série de questões, como: “onde estava a falha?” até, “o que deve ser feito para aumentar os padrões de cibersegurança em sistemas tão vitais como o PIX?”.
Anchises Moraes, especialista da Apura Cyber Intelligence, explica em detalhes como esse tipo de evento movimenta o mundo da segurança digital.
“O primeiro passo é identificar a origem do problema para, a partir daí, entender onde estão as principais falhas nos sistemas de proteção e como mitigar essas brechas para minimizar as chances de um novo ataque”.
Entendendo o passo a passo
A Apura preparou um extenso relatório com quase 30 páginas sobre o incidente envolvendo a C&M Software. Com base em informações coletadas com suas ferramentas de análises, junto ao time de experts da empresa, em tempo recorde foi possível mapear o cenário sobre os principais tópicos relativos ao ataque. Assim, após entender a sequência de eventos, a empresa pôde entender as variáveis que possibilitaram o sucesso inicial dessa investida e entender os principais acontecimentos. Dessa maneira, um “mapa” do ataque foi criado.
Tudo começou quando os criminosos aliciaram João Nazareno Roque, desenvolvedor júnior da C&M Software, que forneceu suas credenciais de acesso ao sistema. Não há dúvidas, entre os especialistas da Apura, que esse foi o “vetor de acesso inicial” que permitiu o golpe bilionário. A partir daí, houve o “reconhecimento e mapeamento”, com os invasores mapeando a infraestrutura da C&M e o sistema de transferências PIX e, supostamente, tendo acesso a novas credenciais de acesso, chaves privadas e certificados digitais das instituições financeiras. Assim, usando a plataforma da C&M, eles realizaram transações fraudulentas via PIX no Sistema de Pagamentos Instantâneo (SPI) em nome das instituições financeiras. O golpe foi realizado fora do horário comercial, para evitar monitoramento.
Os recursos financeiros foram enviados a dezenas de contas, muitas das quais em instituições de menor porte, que geralmente possuem controles de prevenção à fraudes mais frágeis (KYC), facilitando o uso de laranjas para ocultar a origem dos fundos. Na sequência, o dinheiro foi disperso em pequenas transações e convertido em criptomoedas (USDT e Bitcoin), dificultando o rastreio.
Recomendações da Apura
Após mapear a “timeline” do ataque e apurar as ações das autoridades, ou seja, como foi a “caça” aos criminosos, a Apura colocou em seu relatório uma série de recomendações para que a segurança seja elevada frente à evolução do crime cibernético.
As análises descritas neste relatório evidenciam que os agentes de ameaça representam um risco estratégico significativo, com potencial para causar grandes prejuízos financeiros, impactos negativos à reputação da marca e severas interrupções operacionais. “Este ataque ao sistema financeiro é inédito, por sua ousadia e por sua complexidade técnica e operacional. Ele representa um novo cenário de risco a ser considerado pelas organizações imediatamente”, completa o especialista.
Como resposta a esse cenário, a Apura desenvolveu um conjunto de recomendações estratégicas para mitigação, dividido em quatro pilares essenciais, visando fortalecer a resiliência corporativa e proteger o valor do negócio:
- Fortalecimento Proativo das Defesas: Adoção de medidas preventivas para diminuir a superfície de ataque e dificultar o acesso inicial dos invasores.
- Capacidade Avançada de Detecção e Resposta: Implantação de tecnologias e processos que possibilitem identificar e conter rapidamente ameaças que consigam ultrapassar as barreiras de segurança.
- Inteligência Acionável de Ameaças: Uso de inteligência para antecipar e rastrear ameaças de maneira proativa.
- Gestão de Riscos na Cadeia de Suprimentos: Implementação de controles rigorosos para mitigar os riscos provenientes de parceiros e fornecedores de tecnologia.
“As pessoas podem achar que ‘cibersegurança’ se refere apenas a sistemas semelhantes a ‘antivírus’ ou relacionados às partes ‘tecnológicas’. Boa parte da cibersegurança também recai sobre os fatores humanos, que é onde reside muito perigo”, ressalta Anchises. “Nesse cenário, além de ações de conscientização, é necessário seguir as práticas tradicionais de gestão de identidades, segmentação de funções e, principalmente, contar com a inteligência de ameaças para conhecer os riscos e se adaptar rapidamente à novos cenários”, completa.
