Ataque hacker desviou R$ 800 mi de instituições financeiras e afetou conexão com o Pix; entenda

Clientes de uma série de bancos ficaram sem acesso ao Pix após um ataque hacker à C&M Software, empresa de tecnologia que conectava os sistemas das instituições financeiras aos do Banco Central (BC), desviar recursos de contas em oito instituições, no valor de cerca de R$ 800 milhões, de acordo com relatos de pessoas a par do assunto. O ataque cibernético já é considerado o maior da história dentro do BC.

Segundo matéria do jornal O Globo, assim que foi informado do incidente, o BC desligou as conexões da C&M aos sistemas do Pix. Por conta disso, os clientes das instituições financeiras afetadas ficaram sem acesso à funcionalidade e terão de buscar, por ora, outros prestadores de serviço para que se conectem aos sistemas da autarquia.

“A C&M Software, prestadora de serviços de tecnologia para instituições provedoras de contas transacionais que não possuem meios de conexão própria, comunicou ataque à sua infraestrutura tecnológica. O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, disse o BC, em nota, sem informar o nome dos bancos envolvidos.

A C&M atende a instituições financeiras de pequeno porte, que não têm acesso direto aos sistemas do Pix. A empresa realizava conexão para 22 bancos, instituições de pagamento, cooperativas e sociedades de crédito.

De acordo com fontes, o ataque teria sido possibilitado por meio de uma provável brecha de segurança no sistema da empresa de tecnologia e por possíveis controles frouxos nas instituições que foram afetadas pelo ataque.

Apesar da magnitude do ataque, nenhum sistema do BC foi atingido, e o sistema Pix segue funcionado normalmente.

Nenhum sistema do BC foi atingido, e o Pix funciona normalmente. O regulador está investigando o ocorrido. De acordo com informações do g1, a Polícia Federal também instaurou inquérito para investigar o ataque.

Ataque ‘sofisticado’

O diretor técnico da CLM na América Latina, Pedro Diógenes, que atua no setor de segurança da informação, explica que, assim que uma instituição emite uma ordem de pagamento, a empresa de software é responsável por transmitir a mensagem na linguagem padronizada para melhor compreensão do BC e do Sistema de Pagamento Brasileiro (SPB). “Foi um ataque muito sofisticado”, afirmou.

O Banco Paulista, uma das instituições afetadas pelo ataque, informou que “uma falha no provedor terceirizado” causou uma interrupção temporária do Pix em diversas instituições. O banco informou que está atuando com o BC para reestabelecer seus serviços.

“A falha foi externa, não comprometeu dados sensíveis nem gerou movimentações indevidas”, afirmou o Banco Paulista, em nota.

Além da interrupção no funcionamento do Pix dos bancos afetados, houve também o desvio de recursos de contas das instituições financeiras. Uma das prejudicadas, a BMP afirmou que o incidente permitiu um acesso indevido a contas reserva de seis instituições financeiras. Estas contas reserva são mantidas diretamente pela autarquia e usadas para a liquidação de operações entre os bancos, sem qualquer relação com as contas dos clientes ou com saldos mantidos na BMP.

“Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados”, disse, em nota. “A instituição adotou todas as medidas operacionais e legais cabíveis e conta com colaterais suficientes para cobrir integralmente o valor impactado, sem prejuízo a sua operação ou a seus parceiros comerciais.”

Ao portal g1, o diretor comercial da C&M, Kamal Zogheib, afirmou que a empresa foi vítima de uma ação criminosa que envolveu o uso indevido de credenciais dos clientes para tentar acessar seus sistemas e serviços de forma fraudulenta.

“A CMSW confirma que colabora ativamente com as autoridades competentes, incluindo o Banco Central e a Polícia Civil de São Paulo, nas investigações em andamento”, afirmou, em nota. Zogheib ainda defendeu que, apesar do ataque, todos os sistemas críticos da companhia permanecem “íntegros e operacionais”.

Controle mais rígido

O diretor do Instituto de Defesa Cibernética (IDCiber), Augusto Barros, aponta que, mesmo com o ataque, o setor financeiro é um dos que mais investem em tecnologia, o que diminuiu o impacto sobre os usuários e permitiu que a resposta fosse rápida.

“Acredito que o grande impacto será no próprio setor, que deverá buscar mitigar os riscos com mais efetividade”, declarou.

Diógenes, da CLM, acredita que, após o ataque, a regulamentação do BC pode ficar ainda mais rígida.