No início da semana (30 de junho de 2025), hackers invadiram a infraestrutura da C&M Software, responsável por intermediar transações PIX entre o Banco Central (BC) e cerca de 22 instituições financeiras, ao utilizarem, possivelmente, credenciais legítimas obtidas indevidamente de clientes da empresa. Com esse acesso, os invasores direcionaram mais de R$ 400 milhões (alguns sites apontam que o valor desviado foi maior, ou seja, quase R$ 1 bilhão) para contas de reserva mantidas por seis instituições junto ao Banco Central. Em resposta, o BC suspendeu temporariamente o acesso da C&M ao Sistema de Pagamentos Brasileiro, interrompendo o PIX em bancos envolvidos até que medidas de segurança fossem reforçadas. Mas e o consumidor? Teve algum prejuízo financeiro? A resposta até agora é não, garante Raphael Soares, diretor da Trust Control, empresa especializada em cibersegurança e soluções contra ataques cibernéticos (confira abaixo entrevista completa com ele).
Desdobramentos
Após a interrupção, a C&M implementou ações emergenciais (como auditorias, monitoramento intensivo, alteração de credenciais e criptografia) e registrou formalmente o evento no Mecanismo Especial de Devolução para possível estorno dos recursos desviados, o que é praticamente impossivel visto que há suspeitas que a grande parte do que foi furtado foi transformado em criptomoedas.
Com o aval do Banco Central, a empresa recebeu autorização para retomar operações, mas ainda sob regime de produção controlada. Órgãos como a Polícia Federal, Polícia Civil de São Paulo e o próprio BC estão investigando o crime, que pode configurar furto mediante fraude, lavagem de dinheiro e organização criminosa.
Confira abaixo entrevista completa de Raphael Soares:
1 – DP Tech Trends: O que causou esse ataque?
Raphael Soares: Tem duas vertentes de pesquisa, de análise, de investigação hoje sobre como pode ter acontecido isso. A primeira aponta para uma falha de configuração em um módulo de hardware responsável pela parte de criptografia das conexões, que nós chamamos de HSM. Para essa linha de pesquisa é necessário um acesso interno, como se alguém de dentro da empresa que foi atacada participou da operação. Existe uma outra linha, essa mais provável, em um uso de credencial com alto nível de permissão através de engenharia, conseguir através de engenharia social ou uso de algum software malicioso para conseguir essa credencial e com ela conseguir realizar o ataque.
2 – DPTT: Onde foi a falha?
RS: A falha aconteceu na empresa C&M Software, que é uma empresa que atua no setor de pagamentos em tempo real. Ela é uma prestadora de serviços que atua como uma integradora de instituições financeiras ao sistema de PIX. Então, o problema aconteceu a partir da falha de privilégio de acesso que se tiveram a esse sistema, a essa empresa.
3. DPTT: O que fazer para evitar novos ataques desse tipo?
RS: Para minimizar a chance de novos ataques, tipo esse que aconteceu (nesse caso foram as empresas voltadas ao setor financeiro), mas serve para qualquer outra empresa, é ter uma política de gestão de risco de terceiros. Por quê? Porque hoje todas as empresas, inevitavelmente, estão conectadas entre si, para compartilhar, trocar, prestação de serviço, algum tipo. Então, uma falha que você tem, uma falha que aconteça em um parceiro ou fornecedor seu, que está diretamente conectado a você, pode resvalar em um ataque à sua empresa. Então, o ponto mais importante é rever como esses terceiros, eles estão hoje conectados, eles estão hoje protegidos, eles utilizam boas práticas de segurança, para, uma vez que essa falha, esse ataque aconteça, ele já consiga ser barrado. Na origem, que hoje tipo não foi o Banco Central que foi atacado, não foi os bancos que foram atacados, foi uma empresa terceira que faz a integração de instituições financeiras com o PIX que foi atacada e a partir daí com o acesso indevido se conseguiu acesso a contas das instituições financeiras.
4. DPTT: Há algum risco para os clientes das instituições?
RS: Sobre os clientes, até o momento do que foi divulgado, não existe nenhum tipo de impacto para eles. Como o roubo aconteceu, o ataque foi em cima de recursos financeiros que estavam reservados, guardados, isso não impactou em nada os clientes em si. Isso que foi divulgado. O mais importante nesse ataque que pode acontecer, que pode nos revelar como clientes, é a questão da liquidez da instituição financeira. O roubo ter sido grandioso de uma forma que aquela instituição não tem mais liquidez para poder honrar os pagamentos e transferências que nós, clientes, possamos fazer. Mas hoje todas as empresas, todas as instituições que tinham algum tipo de relação com a empresa que foi atacada, a C&M Software, já confirmaram que seus clientes podem ficar despreocupados. Nenhum dado foi roubado e muito menos recursos financeiros estão impactados, então nesse caso para nós clientes, vida que segue.
Image by Freepik
Um comentário