Por Redação do Jornal O Sul | 13 de julho de 2025
A história do Brasil compreende grandes assaltos a bancos, todos seguindo o mesmo padrão: meses de planejamento, investimento financeiro e muitos criminosos envolvidos. De alguns anos para cá, o cibercrime também passou a ter as instituições bancárias como alvo.
Em 2018, um vazamento de dados e chaves criptográficas atingiu o Banco Inter. Em 2022, um ransomware foi colocado no Banco BRB. No começo de 2025, dados de milhões de clientes do Banco Neon foram vazados. Agora, um ataque cibernético na C&M Software desviou recursos do sistema Pix mantidos pelo Banco Central que chegariam a R$ 1 bilhão.
Na última quinta-feira (10), um relatório técnico da empresa de cibersegurança ZenoX explicou pontos-chave do recente ataque. Por meio de análises, é possível afirmar que não houve falha técnica, brecha ou vulnerabilidade de sistema, mas sim uma exploração sofisticada da cadeia de suprimentos digital.
Não só isso, o ataque cibernético foi planejado por diversas pessoas durante meses: elas também usaram o Telegram para recrutar funcionários de empresas com acesso privilegiado ao Banco Central.
“O ataque pode ter sido uma operação de fraude doméstica, facilitada por um insider, e não uma investida puramente externa”, declara a ZenoX. “Aparentemente, houve um recrutamento ativo em canais abertos meses antes do incidente, com o objetivo de corromper funcionários bancários com acesso às tesourarias. As mensagens indicavam planos explícitos para executar operações no BACEN que poderiam atingir o valor de R$ 1 bilhão. Além disso, nossa análise revela que este não foi um evento isolado, mas a culminação de uma série de ataques de menor escala que, ao longo do tempo, vinham explorando a mesma fragilidade processual em contas reserva em diversas instituições financeiras no Brasil”.
São quatro os pontos principais que facilitaram o ataque:
* A ausência de um monitoramento estratégico do submundo da fraude no Brasil, que ignorou os sinais claros de planejamento;
* A confiança cega na segurança da cadeia de suprimentos, sem a devida verificação contínua;
* Uma cultura de silêncio no setor financeiro, que impede o compartilhamento de inteligência entre as vítimas e fortalece os criminosos;
* A falta de uma inteligência centralizada para conectar os pontos entre incidentes aparentemente isolados e transformá-los em um alerta preditivo.
“Entendemos que este incidente não deve ser encarado como um caso isolado, mas sim como o sintoma mais agudo de um problema muito mais amplo: a crescente sofisticação da fraude financeira e a profissionalização do cibercrime (…) o colapso foi menos resultado de uma vulnerabilidade de software e mais consequência da exploração de falhas sistêmicas: o risco não gerenciado da cadeia de suprimentos, a ameaça apresentada por insiders e, acima de tudo, a incapacidade de operacionalizar informações de inteligência já disponíveis”, afirma a empresa.
Em seu relatório, a Zenox realiza uma análise profunda sobre como a cadeia de suprimentos foi atacada.
Oportunidade
Não houve oportunidade neste ataque: ele foi planejado para acontecer e facilitado por insiders. Obviamente, a ZenoX não descarta a participação de algum agente internacional na ação, contudo, ela deixa claro que a estrutura do golpe apresenta fortes indícios de uma fraude com componentes essencialmente nacionais.
Isso porque existe um nível alto de conhecimento necessário para transitar entre as burocracias do SPB (Sistema de Pagamentos Brasileiro). Entre essas burocracias, estão os gargalos em processos de liquidação e a compreensão da dinâmica de confiança entre PSTIs (Provedor de Serviços de Tecnologia da Informação) e o Banco Central.
É interessante perceber, também, a suspeita de que nem os próprios cibercriminosos esperavam tal sucesso na ação: “A aparente dificuldade na fase de lavagem dos recursos, com a pulverização de valores que acabou gerando alertas em exchanges, e o valor supostamente pago ao insider, que embora elevado, parece desproporcional ao montante final subtraído, sugerem a possibilidade de um plano que ganhou escala de forma oportunista”.
O insider citado seria João Nazareno Roque, de 48 anos, preso em sua própria casa na região de Taipas, na zona norte de São Paulo. Roque era funcionário de TI na C&M e foi encontrado por agentes da 2ª Divisão de Crimes Cibernéticos (DCCiber) e do Departamento Estadual de Investigações Criminais (Deic).
Para a polícia, Roque conta que vendeu sua senha aos hackers por R$ 5 mil e depois cobrou mais de R$ 10 mil para criar um sistema que permitisse o desvio do dinheiro — e, estranhamente, trocava de aparelho celular a cada duas semanas para conversar com os operadores, uma conta que não fecha.
“Cremos que o plano sempre foi extrair o maior valor possível que as contas reserva pudessem suportar. A falha na etapa de lavagem, portanto, pode ter sido fruto de um erro de cálculo logístico — e não de uma surpresa com o volume obtido”, diz a empresa. (Com informações do portal TecMundo)
