Preso suspeito de colaborar com hacker no maior ataque da história do Brasil

Foi preso na noite de quinta-feira, em São Paulo, um suspeito de participar da invasão ao sistema da C&M Software (CMSW). João Nazareno Roque, de 48 anos, era funcionário terceirizado da empresa e prestava serviços como operador de TI e foi levado pela Polícia Civil do estado paulista (PC-SP), onde confessou que teria disponibilizado login e senha particulares do sistema a terceiros.

Nas redes sociais, ele se identifica como eletricista predial e residencial com mais de 20 anos de experiência, além de especialista em leitura e interpretação de projetos no AutoCad, quatro anos como técnico de instalação de TV a cabo e um ano como técnico de alarme de incêndio. À polícia, João revelou ter recebido R$ 15 mil pelos criminosos desde março, quando se encontrou pela primeira vez com um dos participantes da invasão.

• Leia também: Funcionário teria recebido R$ 15 mil para permitir invasão ao sistema da C&M

"Ele (João) disse que foi abordado em um bar da rua, que ele frequentava, próximo da casa dele, por pessoas que já sabiam que ele trabalhava nessa empresa", disse o delegado Renato Tupan, do Departamento Estadual de Investigações Criminais (Deic) da PC-SP, em coletiva de imprensa na sede da corporação. Segundo a Polícia Civil, o suspeito recebeu R$ 5 mil no momento em que foi cooptado pela primeira vez e, posteriormente, conseguiu mais R$ 10 mil dos criminosos. No dia da fraude, ele relatou que teria conversado com o grupo que, ao todo, teria pelo menos quatro integrantes com vozes de pessoas jovens.

As conversas ocorreram por mensagens e ligação, mas sem João conhecer o rosto ou os nomes verdadeiros dos hackers. "O único que ele viu, segundo contou, foi o que fez a abordagem, e aí no dia da fraude eles falaram o seguinte para ele: 'olha, deixamos a poeira baixar, e aí a gente volta a conversar por outros valores'. E aí eles perderam o contato", acrescentou o delegado.

De acordo com as investigações, a maior vítima até o momento é o banco BMP, que contratou o software da C&M para realizar suas operações. Além disso, há outros bancos que foram prejudicados, mas não foram informados pela PC-SP, por questões de sigilo. "Plenamente, a gente não tem dúvidas que o João é um dos co-autores do crime, ele responde por associação criminosa, no mínimo, e um furto qualificado mediante fraude e abuso de confiança", disse o delegado Paulo Barbosa, diretor da 2ª Divisão de Crimes Cibernéticos do DEIC.

• Leia também: BC flexibiliza suspensão de empresa que sofreu ataque hacker

Estima-se que os valores desviados podem superar a casa de bilhões de reais, apesar de ainda não haver confirmação tanto por parte do Banco Central, quanto da polícia. Segundo o delegado Topan, todas as transferências ocorreram via Pix, apesar de a empresa também oferecer serviços por TED. "Em relação à estimativa, a gente não pode afirmar hoje uma cifra exata. Mas é um valor muito alto. É o maior da história do Brasil", detalhou Barbosa.

A C&M Software é uma empresa que interliga algumas instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), inclusive o Pix. Em nota, a empresa afirmou que foi vítima de uma "ação criminosa externa", originada a partir da violação do ambiente de um cliente, cujas credenciais de integração foram indevidamente utilizadas. "Não houve invasão direta aos sistemas da CMSW. Os sistemas críticos seguem íntegros e operacionais", diz a empresa.

O Banco Central informou em nota que nem a C&M, nem os seus representantes e empregados, atuam como seus terceirizados  ou com ele mantêm vínculo contratual de qualquer espécie. A empresa é uma prestadora de serviços para instituições provedoras de contas transacionais.

Preocupações

Apesar da prisão do primeiro suspeito do roubo bilionário de clientes da CMSW, que era credenciada pelo Banco Central para intermediar operações financeiras com SPB da autoridade monetária, analistas levantam preocupações sobre a fragilidade do sistema.

Na avaliação deles, o Banco Central precisa explicar melhor o ocorrido e mostrar que o SPB é confiável para a população. Procurado, o BC reforçou que o problema não está relacionado com a instituição e que há "zero chance" de algum funcionário da autoridade monetária estar envolvido nesse roubo. 

O BC informou ainda que nem a C&M, "nem seus representantes e empregados, atuam como seus terceirizados ou com ele mantêm vínculo contratual de qualquer espécie". "A empresa é uma prestadora de serviços para instituições provedoras de contas transacionais", informou a nota da autoridade monetária.

Na avaliação dos especialistas, o roubo foi bem elaborado e executado por profissionais que conhecem muito bem o SPB. Para eles, essa quadrilha de criminosos deve ser nacional. Além disso, segundo os analistas, dentro desses bancos, as pessoas com credenciais para acesso a essa conta reserva são muito poucas e, geralmente, são cargos de confiança dentro da instituição.

• Leia também: Ataque Hacker pode ter desviado mais de R$ 1 bilhão de bancos

"Esse caso mostra um direcionamento do roubo, que não foi nas contas dos clientes das instituições financeiras, e sim nas reservas dos depósitos de bancos no BC",  afirmou Rodolfo Almeida, COO da ViperX, startup do grupo Dfense especializada em cibersegurança.

Anchises de Moraes, especialista da Apura Cyber Intelligence, destacou que esse ataque cibernético não é muito normal e não envolve o usuário final, que são as pessoas físicas e tem algumas particularidades que precisam ser bem investigadas pelas autoridades. "Um banco digital costuma ter um ou dois funcionários apenas com acesso a essa conta reserva no BC e geralmente é um executivo da área de negócios. O fato de o roubo ter ocorrido de madrugada de uma segunda-feira essas pessoas não tinham como serem avisadas. Acredito que o horário foi escolhido a dedo uma vez que o Pix funciona dia e noite e não tem interrupção", afirmou.

Moraes lembrou que esse sistema que foi atacado é muito específico e não é qualquer pessoa que tem conhecimento do SPB.  "O criminoso tinha que ter um conhecimento muito específico, porque essa conta reserva é bilionária e muito mais complexa", destacou.

O fato de os desvios terem começado de madrugada mostra também a fragilidade no monitoramento de operações suspeitas, tanto no BC quanto nas instituições financeiras clientes da CMSW que acabaram sendo vítimas. "O caso é diferente dos ataques mais comuns, porque mostrou uma vulnerabilidade tecnológica e os criminosos acabaram entrando pela porta da frente, via credenciais válidas com acesso ao fundo reserva no Banco Central. Não é qualquer pessoa que consegue ter esse tipo de acesso", afirmou Rodolfo Almeida. Ele lembrou que as cifras dos desvios ainda não estão totalmente conhecidas e podem chegar a R$ 3 bilhões.

"Um ponto interessante desse caso é que não houve monitoramento e a descoberta aconteceu porque uma corretora de criptomoedas considerou o volume de uma operação muito alto e fez o alerta a um dos clientes da CMSW", afirmou Almeida. Ele lembrou que o principal vetor do comprometimento foi via a CMSW e isso exige mais maturidade das empresas que contratam serviços de terceiro. "No ambiente corporativo, a principal recomendação é investimento em sistemas de testes desse tipo de ataque, com hackers do bem, é importante. Mas a conscientização também é importante, porque é a melhor maneira de entender como os fraudadores estão aptos a desenvolver técnicas cada vez mais avançadas para atacar empresas e pessoas físicas", alertou.

Paulo Kaneco, especialista em fraudes da Fico, empresa especializada em segurança cibernética, ressaltou que o BC precisa dar um posicionamento do ocorrido "para entendimento do volume e do modus operandi para que outras empresas possam fortalecer seus respectivos processos de segurança". "A C&M é uma empresa autorizada pelo BC para fazer a intermediação com o sistema de pagamentos do BC, e, portanto, ela atendia aos requisitos mínimos exigidos. E como o roubo foi feito nas reservas do BC, é preciso uma visão completa do ocorrido", explicou.

Kaneco lembrou que, para invadir o SPB, os cibercriminosos precisam ter um conhecimento técnico elevado para entender o fluxo do dinheiro desse sistema. "A ação foi muito bem orquestrada e um ponto importantíssimo das nossas investigações mostra que, poucos dias antes, houve um forte movimento de procura por contas laranjas, ou contas-mulas, na dark web, e isso é preciso analisar melhor", destacou.

O especialista em segurança reconhece que o Brasil é um dos países com maior número de crimes cibernéticos do mundo, o que não é motivo de orgulho. Contudo, ele reconhece que o ataque foi bem orquestrado e, agora, é preciso avaliar todos os níveis que os fraudadores usaram para conseguir as credenciais para acessar as contas reservas no BC, assim como os meios, tanto nos bancos fraudados como no próprio BC.

Moraes, da Apura, também lamentou o fato de o Brasil ser um dos países que lideram a lista de crimes cibernéticos devido às falhas estruturais, principalmente, que permitem uma forte expansão do crime organizado. "A criminalidade no Brasil é muito grande porque há uma sensação de impunidade que ajuda a aumentar esses índices. Nos outros países há terrorismo e espionagem, mas, por aqui, o crime organizado é gigantesco", lamentou.