04/07/2025 - 8:24
As investigações para apurar a origem do maior ataque cibernético da história recente do sistema financeiro brasileiro vão avaliar se houve a participação de funcionários ou ex-colaboradores da C&M, empresa que opera transações via Pix em nome de terceiros. Na avaliação de fontes envolvidas no processo ouvidas pelo PlatôBR, essa é uma tese que não pode ser descartada, já que o nível de exigência de instituições que operam no SPI (Sistema de Pagamentos Instantâneos) incluem várias camadas de segurança que exigem conhecimentos específicos.
“Essa é uma opção crível. É possível que tenha sido malware ou insider. Não sabemos ainda”, diz a fonte, referindo-se a programas desenvolvidos para obter acessos não autorizados a sistemas e a participação de alguém de dentro da empresa. O ataque à C&M teria atingido apenas um dos vários servidores da empresa, que fornece toda infraestrutura de mensageria com o Banco Central para que fintechs e instituições não bancárias possam oferecer serviços de transferências instantâneas como o Pix.
+ Após ataque hacker, C&M Software recebe autorização para retomar serviços parcialmente
+ Roubo de R$ 1 bilhão: como hackers estão se adaptando para atacar ecossistema financeiro
“A C&M funciona como um benjamim. As empresas não conseguem se plugar na tomada do BC e se conectam por meio desse benjamim”, explicou a fonte. O modelo de negócio da empresa é conhecido do jargão do mercado como BaaS (Banking s a Service) e, com isso, cada servidor da C&M atende a um conjunto de cliente. Na madrugada da última segunda-feira, 3, apenas um desses servidores foi atacado. De lá, teriam saído as mensagens que chegaram ao Banco Central atendendo todos os protocolos de segurança e as transações começaram a ser realizadas.
Como os sistemas antifraudes devem funcionar do lado da instituição que está enviando os recursos e, também, da quem está recebendo, depósitos de alto volume durante a madrugada chamaram atenção de alguns bancos recebedores que fizeram o alerta, conforme antecipou o Brazil Journal. Por isso, pelo menos três instituições que não tiveram seus sistemas de alertas acionados ,apesar da grande quantia de dinheiro movimentada, foram retiradas do sistema Pix pelo BC e, agora, estão sob investigação.
“Um dos bancos recebedores percebeu, outros não perceberam, mesmo recebendo montantes muito elevados. Não dá para avaliar ainda se essas instituições são muito incompetentes nos sistemas antifraude ou se tem algo mais”, argumenta a fonte. Na avaliação de um especialista na área, sistemas que cumprem todos os protocolos exigidos pelo Banco Central têm uma biblioteca de segurança que não é simples romper. Por isso, “a desconfiança de que há alguém com conhecimento de dentro da empresa cresce”.
Leia mais em PlatôBR.