Engenharia social, 'insider' e venda de senha: entenda o desvio milionário do sistema do Pix

Inicialmente, a suspeita era de que se tratava de um ataque hacker, mas na realidade foi um golpe facilitado pelo funcionário da C&M Softwares, que acessou o sistema com suas credenciais após ser cooptado por um grupo criminoso. Segundo a Polícia paulista, trata-se do maior golpe digital sofrido por instituições financeiras no país.

O caso ocorreu na madrugada da última segunda-feira (30), por volta das 4h da manhã, e chegou ao conhecimento da polícia após a BMP Instituição de Pagamento S/A registrar um boletim de ocorrência. A BMP era uma das clientes da C&M e, até o momento, a única que registrou ter sido afetada pelo golpe.

Tudo começou em março, quando João Roque, funcionário da C&M Softwares, foi abordado na rua por um homem que sabia onde ele trabalhava. Na abordagem, segundo o depoimento que ele deu à Polícia Civil, o homem perguntou detalhes sobre sua função na empresa e ofereceu-lhe um pagamento inicial de R$ 5 mil para que ele desse acesso, com suas credenciais, para o sistema de transferências de sua empresa. Depois, conforme o depoimento de João, ele receberia mais R$ 10 mil dos homens quando o acesso fosse executado.

Na madrugada do dia 30 de junho, João acessou o sistema da C&M com suas credenciais e começou a fazer transferências em massa da conta do BMP para outras contas. Ao todo, o valor superou os R$ 500 milhões. As transferências começaram por volta das 4h e seguiram até 7h. Renato Topam, delegado da Delegacia de Crimes Cibernéticos, explicou que o responsável financeiro do BMP foi acionado por uma outra empresa, que disse que havia recebido dinheiro por engano do banco.

— Ele disse “veio um dinheiro de vocês para nós”. Então o responsável do BMP foi até a sede da empresa, mas como foi durante a madrugada, não foi parado na hora. Essa transferência foi até 7h da manhã, a partir das 7h acabam essa transferências, aí eles (banco) tentam entender, fazem reunião para entender a dinâmica de como foi a fraude — disse o delegado, durante coletiva nesta sexta-feira.

João Roque foi o responsável por entrar na plataforma com suas credenciais de funcionário e executar os comandos dentro da plataforma, seguindo as orientações de quatro homens que estariam o orientando.

Em sua confissão à polícia, segundo os delegados do Departamento Estadual de Investigações Criminais (DEIC), o suspeito disse que só conversava com o grupo de quatro homens por mensagens e ligação, e que só viu um deles pessoalmente, no dia da abordagem na rua, e não sabia o nome deles.

O suspeito ainda não constituiu advogado e os responsáveis pela investigação afirmam que as diligências continuam, em conjunto com o Ministério Público e com a Polícia Federal, para encontrar os outros envolvidos no crime. Além de identificar os responsáveis pela ação, as forças de segurança atuam para recuperar o dinheiro desviado.

Até o momento, R$ 15 milhões em criptoativos foram bloqueados, e esse dinheiro será rastreado para tentar encontrar os demais agentes, segundo as autoridades policiais.

O delegado Paulo Barbosa, da Delegacia de Crimes Cibernéticos, afirmou que tratou-se de um furto fruto de “engenharia social”, um tipo de golpe em que não há invasão a um sistema digital, mas a cooptação de pessoas que têm esses dados para acessar plataformas por meio de credenciais legítimas.

— O João é um insider, é fruto de engenharia social por parte dos criminosos, eles cooptam os funcionários da empresa, esse João tem formação em TI e forneceu as credenciais, a senha, foi a primeira porta que facilitou a entrada do grupo criminoso — explicou.

Em nota, a instituição de pagamentos BMP confirmou que o golpe comprometeu a infraestrutura da C&M e permitiu o acesso indevido a contas de reserva de seis instituições financeiras, incluindo a BMP. As contas de reserva são contas que os bancos e instituições financeiras mantêm no BC e são utilizadas para processar as movimentações financeiras das instituições.

No entanto, a empresa assegurou que nenhum cliente foi impactado ou teve seus recursos acessados diretamente em suas contas correntes, e que a BMP possui reservas suficientes para cobrir o valor impactado sem prejuízo à sua operação ou aos parceiros comerciais.

"No caso da BMP, o ataque envolveu recursos diretamente depositados em sua conta reserva no Banco Central usadas exclusivamente para liquidação interbancária. A instituição já adotou todas as medidas operacionais e conta com colaterais suficientes para cobrir o valor impactado sem prejuízo à sua operação ou a seus parceiros comerciais", informou a empresa, sem entretanto divulgar qual foi o impacto financeiro do incidente.

Segundo a nota, a BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção de seus clientes e a transparência nas suas comunicações.

Em seu perfil no Linkedin, João Nazareno Roque identifica-se como desenvolvedor Back-End Junior, profissional que faz programação e gerenciamento de banco de dados. Ele destaca, entretanto, que sua maior experiência profissional foi como eletricista predial e residencial.

"Chamo-me João, tenho 20 anos de experiência como eletricista predial e residencial, leitura e interpretação de projetos no AutoCad, 4 anos como técnico de instalação de TV a cabo (NET) e 1 ano como técnico de alarme de incêndio. Tenho também uma pequena experiência com a tecnologia, relacionada a ligação de câmeras, computadores e distribuição de ramais na suite de rede", explica ele em seu perfil.

Ele conta que aos 42 anos viu a necessidade de investir em um curso superior, e disse que atualmente estuda Tecnologia da Informação. Ele cita o filme O Estagiário (em que o personagem Ben Whittaker Robert de Niro), um aposentado de 70 anos), torna-se um estagiário para voltar ao mercado de trabalho. Nazareno diz identificar-se com o enredo.