A Polícia Civil de São Paulo confirmou nesta sexta (4) que o técnico de tecnologia da informação preso na noite de quinta (3) vendeu as informações de acesso que tinha ao sistema de pagamentos do Banco Central para a organização criminosa que desviou mais de R$ 500 milhões de instituições financeiras na madrugada da última terça (1º).
João Nazareno Roque é funcionário da C&M Software, empresa responsável por intermediar transações Pix entre fintechs e o BC, e foi cooptado pelos criminosos em meados de março, segundo apontou a investigação do Departamento de Investigação Criminal (Deic).
“Eles [a organização criminosa] cooptaram o funcionário de dentro da empresa. João tem formação em TI, tem pós-graduação em TI e foi cooptado pelo crime. Forneceu as credenciais, a senha, foi a primeira porta que facilitou a entrada do grupo criminoso [no sistema do banco], disse o delegado Paulo Barbosa, da Divisão de Crimes Cibernéticos do Deic.
Segundo o Deic, este pode ser considerado o maior golpe já sofrido por instituições financeiras brasileiras pela internet. O montante de R$ 500 milhões se refere apenas a um banco que reportou as perdas, o BMP, que se manifestou sobre o ataque e pediu a investigação policial.
Barbosa afirmou que, neste momento, não é possível estimar a cifra exata de prejuízo, já que mais instituições financeiras podem ter sido atingidas. A C&M prestava serviços para 23 empresas, o que amplia a possibilidade de mais prejuízos.
A cooptação de Nazareno, segundo relatou à polícia, ocorreu quando foi abordado por um desconhecido na saída de um bar na capital paulista. O homem, que demonstrava conhecimento sobre seu trabalho, ofereceu dinheiro em troca das credenciais. João teria recebido R$ 5 mil inicialmente, e depois mais R$ 10 mil, além de chips de celular descartáveis para evitar rastreamento.
“João é um insider, fruto de engenharia social por parte dos criminosos”, frisou o delegado.
Desvio na madrugada
A fraude foi realizada exclusivamente por meio de transferências via Pix, concentradas entre 4h30 e 7h da manhã. O delegado Renato Topan explicou que os hackers simularam ordens de transferência em nome do banco BMP e autorizaram centenas de transações simultâneas.
“Eles emitiram uma ordem falsa de Pix. Se passavam pela empresa vítima, que é o [banco] BMP, dizendo ‘olha eu quero, estou determinando uma transferência Pix para outras empresas’. Isso foi uma sequência em massa de transferências via Pix”, relatou.
Topan disse ainda que Nazareno manteve contato com quatro integrantes do grupo hacker no dia da fraude, todos jovens, mas nunca os viu pessoalmente. As conversas, relatou, ocorriam apenas por mensagens e ligação de aplicativo. O único que ele viu o rosto, diz, foi o primeiro o abordou.
A operação da fraude, segundo a polícia, mostra que ocorreu por conta de ação humana, e não de uma falha no sistema bancário em si.
O Banco Central afirmou, em nota à reportagem, que a C&M, seus representantes e empregados não atuam como terceirizados da instituição ou mantêm vínculo contratual de qualquer espécie, como vem sendo noticiado pela mídia. “A empresa é uma prestadora de serviços para instituições provedoras de contas transacionais”, completou.
Invasão não atingiu grandes bancos
O delegado-geral Artur Dian explicou que a C&M Software presta serviços principalmente para fintechs e bancos de menor porte que não possuem estrutura de intermediação de pagamentos. Era uma espécie de “cheque assinado” ao Banco Central.
“As grandes instituições financeiras do Brasil não precisam ter uma empresa terceirizada, elas têm a própria operação. Mas empresas menores, fintechs e outras instituições financeiras pequenas necessitam de empresas como essa C&M para viabilizar operações no Banco Central”, pontuou.
Além de prender o técnico, a polícia também conseguiu bloquear uma das contas utilizadas na fraude, que continha R$ 270 milhões.
A fraude que atingiu o sistema de pagamentos do Banco Central na madrugada da última terça (1º) é investigada por uma força-tarefa da Divisão de Crimes Cibernéticos do Departamento Estadual de Investigações Criminais (Deic), a Polícia Federal e o Ministério Público.
Uma força-tarefa agora trabalha para identificar os demais envolvidos, rastrear as transações e tentar reaver os valores desviados. O inquérito aponta que os hackers envolvidos são de São Paulo, com base na abordagem presencial feita ao técnico e nas conexões locais.
* Com informações da Gazeta do Povo.