O ataque hacker, que resultou no desvio de milhões de reais de contas mantidas por instituições financeiras no Banco Central (BC), não envolveu o vazamento ou extração de dados de clientes e bancos. A informação foi divulgada nesta quinta-feira (3) pela C&M Software, empresa de tecnologia homologada pelo BC.
De acordo com a companhia, os criminosos simularam transações em nome de instituições financeiras, sem invadir os sistemas da empresa. A ação ocorreu na noite de terça-feira (1º), quando os invasores utilizaram credenciais bancárias para desviar recursos das contas reservas das instituições no BC — montante usado para atender a exigências regulatórias. A ocorrência foi divulgada apenas na quarta-feira (2).
O ataque não afetou contas de correntistas. Os recursos desviados foram transferidos via Pix para corretoras de criptomoedas. A Empresa Brasil de Comunicação (EBC) confirmou que o prejuízo chega a, pelo menos, R$ 400 milhões.
Segundo a C&M, a fraude foi possível por meio de uma simulação de integração com uso de credenciais legítimas de um cliente, o que permitiu o acesso ao sistema como se fosse uma instituição autorizada. A empresa informou que está revisando as políticas de acesso externo e de APIs — sistemas que permitem a integração entre diferentes plataformas.
A principal hipótese é de que a brecha ocorreu devido à ausência de protocolos completos de segurança. A empresa afirmou que oferece medidas adicionais de proteção, como instâncias múltiplas de aprovação, restrições por canal e horário, autenticação em múltiplos fatores e controle total de acesso às contas reservas.
Apesar dessas opções, a C&M destacou que as instituições financeiras têm autonomia para configurar seus próprios níveis de segurança, podendo optar por desativar algumas camadas de proteção.
A empresa não informou o valor exato já recuperado, mas afirmou que parte dos recursos foi devolvida por meio do Mecanismo Especial de Devolução (MED), criado em 2021 para ressarcir fraudes ou falhas operacionais em transações via Pix.
Ainda segundo a empresa, a taxa de devolução foi superior à média do mercado devido à rápida identificação do ataque. A C&M declarou que está colaborando com a Polícia Federal, o Banco Central e a Polícia Civil de São Paulo.
Foto: MCTI/divulgação
Copyright © 2023 Bahia Economica - Todos os direitos reservados.
