Engenharia social, 'insider' e venda de senha: entenda o desvio milionário do sistema do Pix

04 de julho de 2025 às 14:23
GOLPE NO PIX

Foto: reprodução

Por redação com O Globo

O golpe que desviou cifras milionárias de bancos por meio da invasão ao sistema Pix teve início com uma abordagem de um funcionário de uma empresa de tecnologia em março por criminosos. É o que apontam as investigações iniciais da Polícia Civil de São Paulo, que prendeu, nesta quinta-feira (3), João Nazareno Roque, que trabalhava na C&M Softwares, uma empresa que conecta o sistema de pagamentos Pix a instituições financeiras menores.

Inicialmente, a suspeita era de que se tratava de um ataque hacker, mas na realidade foi um golpe facilitado pelo funcionário da C&M Softwares, que acessou o sistema com suas credenciais após ser cooptado por um grupo criminoso. Segundo a Polícia paulista, trata-se do maior golpe digital sofrido por instituições financeiras no país.

O caso ocorreu na madrugada da última segunda-feira (30), por volta das 4h da manhã, e chegou ao conhecimento da polícia após a BMP Instituição de Pagamento S/A registrar um boletim de ocorrência. A BMP era uma das clientes da C&M e, até o momento, a única que registrou ter sido afetada pelo golpe.

Tudo começou em março, quando João Roque, funcionário da C&M Softwares, foi abordado na rua por um homem que sabia onde ele trabalhava. Na abordagem, segundo o depoimento que ele deu à Polícia Civil, o homem perguntou detalhes sobre sua função na empresa e ofereceu-lhe um pagamento inicial de R$ 5 mil para que ele desse acesso, com suas credenciais, para o sistema de transferências de sua empresa. Depois, conforme o depoimento de João, ele receberia mais R$ 10 mil dos homens quando o acesso fosse executado.

Na madrugada do dia 30 de junho, João acessou o sistema da C&M com suas credenciais e começou a fazer transferências em massa da conta do BMP para outras contas. Ao todo, o valor superou os R$ 500 milhões. As transferências começaram por volta das 4h e seguiram até 7h. Renato Topam, delegado da Delegacia de Crimes Cibernéticos, explicou que o responsável financeiro do BMP foi acionado por uma outra empresa, que disse que havia recebido dinheiro por engano do banco.

— Ele disse “veio um dinheiro de vocês para nós”. Então o responsável do BMP foi até a sede da empresa, mas como foi durante a madrugada, não foi parado na hora. Essa transferência foi até 7h da manhã, a partir das 7h acabam essa transferências, aí eles (banco) tentam entender, fazem reunião para entender a dinâmica de como foi a fraude — disse o delegado, durante coletiva nesta sexta-feira.

João Roque foi o responsável por entrar na plataforma com suas credenciais de funcionário e executar os comandos dentro da plataforma, seguindo as orientações de quatro homens que estariam o orientando.

Em sua confissão à polícia, segundo os delegados do Departamento Estadual de Investigações Criminais (DEIC), o suspeito disse que só conversava com o grupo de quatro homens por mensagens e ligação, e que só viu um deles pessoalmente, no dia da abordagem na rua, e não sabia o nome deles.

O suspeito ainda não constituiu advogado e os responsáveis pela investigação afirmam que as diligências continuam, em conjunto com o Ministério Público e com a Polícia Federal, para encontrar os outros envolvidos no crime. Além de identificar os responsáveis pela ação, as forças de segurança atuam para recuperar o dinheiro desviado.

Até o momento, R$ 15 milhões em criptoativos foram bloqueados, e esse dinheiro será rastreado para tentar encontrar os demais agentes, segundo as autoridades policiais.

O delegado Paulo Barbosa, da Delegacia de Crimes Cibernéticos, afirmou que tratou-se de um furto fruto de “engenharia social”, um tipo de golpe em que não há invasão a um sistema digital, mas a cooptação de pessoas que têm esses dados para acessar plataformas por meio de credenciais legítimas.

— O João é um insider, é fruto de engenharia social por parte dos criminosos, eles cooptam os funcionários da empresa, esse João tem formação em TI e forneceu as credenciais, a senha, foi a primeira porta que facilitou a entrada do grupo criminoso — explicou.

Em nota, a instituição de pagamentos BMP confirmou que o golpe comprometeu a infraestrutura da C&M e permitiu o acesso indevido a contas de reserva de seis instituições financeiras, incluindo a BMP. As contas de reserva são contas que os bancos e instituições financeiras mantêm no BC e são utilizadas para processar as movimentações financeiras das instituições.

No entanto, a empresa assegurou que nenhum cliente foi impactado ou teve seus recursos acessados diretamente em suas contas correntes, e que a BMP possui reservas suficientes para cobrir o valor impactado sem prejuízo à sua operação ou aos parceiros comerciais.

"No caso da BMP, o ataque envolveu recursos diretamente depositados em sua conta reserva no Banco Central usadas exclusivamente para liquidação interbancária. A instituição já adotou todas as medidas operacionais e conta com colaterais suficientes para cobrir o valor impactado sem prejuízo à sua operação ou a seus parceiros comerciais", informou a empresa, sem entretanto divulgar qual foi o impacto financeiro do incidente.

Segundo a nota, a BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção de seus clientes e a transparência nas suas comunicações.

De eletricista a desenvolvedor

Em seu perfil no Linkedin, João Nazareno Roque identifica-se como desenvolvedor Back-End Junior, profissional que faz programação e gerenciamento de banco de dados. Ele destaca, entretanto, que sua maior experiência profissional foi como eletricista predial e residencial.

"Chamo-me João, tenho 20 anos de experiência como eletricista predial e residencial, leitura e interpretação de projetos no AutoCad, 4 anos como técnico de instalação de TV a cabo (NET) e 1 ano como técnico de alarme de incêndio. Tenho também uma pequena experiência com a tecnologia, relacionada a ligação de câmeras, computadores e distribuição de ramais na suite de rede", explica ele em seu perfil.

Ele conta que aos 42 anos viu a necessidade de investir em um curso superior, e disse que atualmente estuda Tecnologia da Informação. Ele cita o filme O Estagiário (em que o personagem Ben Whittaker Robert de Niro), um aposentado de 70 anos), torna-se um estagiário para voltar ao mercado de trabalho. Nazareno diz identificar-se com o enredo.

"Não me chamo Ben e ainda não tenho 70 anos, mas já tenho idade onde muitos esperam já estar em cargos c-level e eu estou aqui com muita vontade de recomeçar com o brilho nos olhos e disposição de um menino para dar o meu melhor, bem como aprender tudo o que puder", escreveu.