Invasão que transferiu R$ 18 milhões em Pix na madrugada “limpou” contas de instituições financeiras clientes de prestadora de serviços de tecnologia; BMP foi a mais afetada.
Aos poucos, surgem novas informações sobre o colossal roubo que pode ter atingido até R$ 1 bilhão, envolvendo uma empresa prestadora de serviços de tecnologia para várias instituições financeiras brasileiras e ligada ao Banco Central do Brasil. Relatos recentes trazem detalhes sobre o início do ataque e como as companhias afetadas foram alertadas.
O Brazil Journal conversou com fontes, incluindo o fundador da BMP, Carlos Eduardo Benitez, para desvendar como a invasão foi registrada e quais as consequências imediatas desse audacioso crime. O caso ainda apresenta muitas pontas soltas, e a maior parte do dinheiro ainda não foi recuperada, mas já é possível compreender, ao menos, a dinâmica da invasão.
Como o Ciberataque Financeiro se Desenrolou
A operação criminosa teve início na madrugada da segunda-feira, 30 de junho:
- Por volta das 4 horas da manhã, um executivo da BMP foi alertado por telefone sobre uma movimentação atípica: R$ 18 milhões foram transferidos de uma só vez via Pix de uma conta da empresa para um banco.
- Já no escritório, ao contatar a C&M – prestadora de serviços de tecnologia para essa e outras instituições financeiras –, o executivo percebeu que algo estava seriamente errado com as operações.
- Em “questão de minutos”, outras transferências de alto valor via Pix foram realizadas da conta da BMP, que se tornou uma das companhias mais afetadas no ataque, registrando um prejuízo de R$ 400 milhões.
- Os invasores encontraram brechas no sistema de “mensagem” da C&M com as fintechs clientes, o que permitiu o acesso às contas das instituições e a realização das transferências, tudo isso enquanto passavam despercebidos por mecanismos de segurança internos.
- Pelo menos seis instituições tiveram “acesso não autorizado às contas reserva”, que são mantidas pelas empresas e não têm relação direta com o dinheiro dos clientes. As estimativas mais atuais apontam um prejuízo total de R$ 800 milhões, mas esse valor pode chegar a até R$ 1 bilhão.
- Quase simultaneamente, a SmartPay também detectou uma atividade suspeita que, posteriormente, foi confirmada como parte do ataque: um aumento repentino em compras de alto valor da stablecoin USDT (baseada no dólar dos Estados Unidos) e em Bitcoin.
- Essas criptomoedas foram utilizadas para ajudar a ocultar o dinheiro roubado e diluir a quantia em múltiplas contas e moedas. A SmartPay informou que conseguiu congelar “grandes somas” movimentadas e devolver o valor às companhias afetadas.
Quem Foi Invadido e a Situação Atual
Segundo a avaliação inicial do caso, os sistemas da BMP e do Banco Central do Brasil não foram invadidos e permanecem seguros. O problema, segundo as investigações até o momento, residia na própria C&M, que atua como intermediária no setor financeiro, oferecendo APIs e sistemas de acesso a funções de pagamento oficiais do Brasil, como Pix e TED.
As “mensagerias”, como são chamadas as empresas de comunicação como a C&M, já apresentaram vulnerabilidades anteriormente, mas alguns desses casos teriam sido abafados e pouco divulgados. Em teoria, esse tipo de companhia deveria possuir mecanismos mais robustos para impedir transações consideradas suspeitas, como movimentações de grandes somas e em horários incomuns, como a madrugada.
Após suspender temporariamente operações como o envio de Pix, a C&M voltou a atuar na quinta-feira (3) com o aval do Banco Central, após garantir que seus sistemas estavam protegidos. Já a BMP conseguiu recuperar ao menos R$ 130 milhões do dinheiro roubado. No entanto, o valor que ainda está em posse dos cibercriminosos permanece significativo e representa um desafio considerável para a liquidez da empresa.
