Encontre matérias e conteúdos da Gazeta do Povo
Ataque hacker de R$ 1 bi

Como a defesa do Pix falhou e qual a lição para o Banco Central

Ecossistema digital que protege o Pix falhou em ataque hacker de quase R$ 1 bi e pode ser melhorado com novas normas pelo Banco Central.
Ecossistema digital que protege o Pix falhou em ataque hacker de quase R$ 1 bihão e pode ser melhorado. Novas normas pelo Banco Central devem ser implementadas para evitar risco sistêmico. (Foto: Imagem criada utilizando ChatGPT/Gazeta do Povo a partir de foto original de Rafa Neddermeyer/Agência Brasil)

Ouça este conteúdo

Os prejuízos ainda estão sendo contabilizados, uma pessoa já foi presa, mas exatamente o que aconteceu e como ainda é investigado pela Polícia Civil de São Paulo e pela Polícia Federal (PF). Três dias após o maior ataque hacker na história do Brasil utilizar credenciais de acesso válidas e invadir os sistemas da C&M — uma empresa de tecnologia que faz a intermediação do acesso de bancos e fintechs de pequeno porte aos sistemas do Banco Central, incluindo o Pix — o sistema financeiro nacional como um todo ainda se recupera do choque e tenta entender melhor o tamanho do golpe.

O desfalque pode chegar a mais de R$ 1 bilhão — apenas o BMP, um banco digital que é uma das seis empresas clientes da C&M afetadas, relatou à polícia paulista o roubo de R$ 541 milhões. A princípio, o dinheiro não afetou os clientes e saiu das contas de reserva das instituições financeiras no Banco Central. 

Seja como for, de acordo com especialistas ouvidos pela Gazeta do Povo, existem ações práticas e relativamente simples que podem e devem ser tomadas tanto pelas instituições financeiras e suas prestadoras de serviço quanto pelo Banco Central daqui para a frente, para evitar que este tipo de ataque se repita e gere um risco sistêmico para o mercado financeiro nacional. A maioria das medidas já existe e tem adeptos nos grandes bancos e empresas, mas não são obrigatórias — daí a responsabilidade do Banco Central de apertar essa regulamentação, além de criar mais travas internas.

“Aparentemente, utilizaram logins e senhas válidas de uma empresa intermediária para conseguir logins e senhas válidas das instituições financeiras clientes dessa empresa para aí, então, usarem essas informações para entrar e movimentar as contas de reserva dessas empresas no Banco Central”, afirma Micaella Ribeiro, especialista em identidades e acessos da IAM Brasil, empresa especializada em controles de acesso no geral. Ela ressalta que o caso é tratado sob enorme sigilo, então não há informações detalhadas sobre o que aconteceu. 

Ecossistema digital que protege o Pix precisa ter normas reforçadas para evitar risco sistêmico para o mercado financeiro nacional.

De acordo com a especialista, os sistemas do Banco Central são seguros. “A maioria dos ataques hacker usa acessos válidos para invadir um sistema, é muito difícil simplesmente quebrar a segurança e invadir sem credenciais válidas”, diz.

“Existem resoluções do Banco Central que exigem uma série de medidas de segurança das empresas para participar deste sistema. Os grandes bancos vão além disso e implementam além do exigido, mas talvez seja necessário especificar melhor algumas coisas para evitar mais problemas no futuro.”

VEJA TAMBÉM:

Única credencial e senha de acesso não poderiam ter tanto poder, opina especialista

Depois do ataque, quem trabalha no setor entende que pode ser o caso de apertar um pouco o cerco com normas que já estão previstas. “O manual do Banco Central para conectar nos seus sistemas é bastante abrangente e traz um panorama bem completo de medidas de segurança, mas algumas coisas bem importantes constam ali como recomendações ao invés de ser obrigatório", afirma Luiz Henrique Barbosa, diretor-executivo da Swarmy Tecnologia, empresa especializada em segurança e prevenção a fraudes digitais, com foco no mercado financeiro.

“O ecosistema das fintechs, onde deu-se o problema, possui uma regulação menos rígida que a dos grandes bancos, que conectam-se diretamente ao sistema do BC. Isso é desejável, pois é o que torna possível toda a inovação e concorrência que temos visto no setor, mas talvez precise de ajustes pontuais”, observa Barbosa.

O primeiro deles seria o Banco Central estabelecer regras mais rígidas, de acordo com a realidade de cada instituição financeira, e exigir a criação de diversas camadas de acesso e autorização dentro da instituição financeira e das empresas que fazem a ligação entre os bancos e o BC para que transferências de contas sensíveis, como a conta de reserva, fiquem mais protegidas em eventual vazamento de algum login e senha de acesso. 

“Eu me pergunto também como uma única credencial e senha de acesso na empresa intermediadora de sistemas podia ter tanto poder, a ponto de no fim conseguir através dela chegar na movimentação de tanto dinheiro dos clientes, onde estavam as barreiras de acesso e alarmes”, questiona Barbosa. 

Nesse esquema em “cebola”, cada acesso e movimentação financeira nas contas internas do banco ficam sujeitas à aprovação de alguém um nível acima, com notificações em tempo real nos celulares dos envolvidos, se for o caso — também é possível estabelecer limites de recursos que cada nível gerencial pode movimentar sem anuência dos gestores superiores, além de se exigir a participação de mais de uma credencial de acesso simultaneamente ou mesmo só autorizar transações mediante o uso de dispositivos físicos específicos e, assim, limitar os danos em caso de ataque.

VEJA TAMBÉM:

"Casa de Papel" brasileira no mundo digital

Em segundo lugar, tanto as intermediadoras de acesso aos sistemas do Banco Central quanto as instituições financeiras donas do dinheiro devem e podem estabelecer alertas de monitoramento em tempo real sobre as transações financeiras, que avisem os setores e profissionais responsáveis caso algo atípico esteja acontecendo com as contas no ato das transações, inclusive com travas automáticas até que a transação seja validada nos níveis competentes. 

Por fim, além de exigir mais rigor nisso tudo com edição de normas específicas, o próprio Banco Central pode impedir a saída de recursos das contas reservas pelo período da noite, por exemplo (como foi feito no ataque em questão), ou em desacordo com valores, contas pré-autorizadas e horários previamente cadastrados pelas instituições financeiras e suas prestadores de serviço junto ao Banco Central. 

“Resumindo, dá para melhorar em todas as pontas”, opina Micaella Ribeiro. “Esse caso mostra que o cibercrime veio para ficar e não ataca mais apenas pessoas físicas desavisadas em golpes pequenos na internet. Esse caso parece ser a ‘Casa de Papel’ brasileira, só que no mundo virtual, e deixa um alerta e lição muito grandes”, diz Luiz Henrique Barbosa.

VEJA TAMBÉM:

Use este espaço apenas para a comunicação de erros