A história do Brasil compreende grandes assaltos a bancos, todos seguindo o mesmo padrão: meses de planejamento, investimento financeiro e muitos criminosos envolvidos. De alguns anos para cá, o cibercrime também passou a ter as instituições bancárias como alvo.Em 2018, um vazamento de dados e chaves criptográficas atingiu o Banco Inter. Em 2022, um ransomware foi colocado no Banco BRB. No começo de 2025, dados de milhões de clientes do Banco Neon foram vazados. Agora, um ataque cibernético na C&M Software desviou recursos do sistema Pix mantidos pelo Banco Central que chegariam a R$ 1 bilhão.O Telegram foi peça-chave no quebra-cabeçaNa quinta-feira (09), o TecMundo recebeu um relatório técnico da empresa de cibersegurança ZenoX explicando pontos-chave do recente ataque. Por meio de análises, é possível afirmar que não houve falha técnica, brecha ou vulnerabilidade de sistema, mas sim uma exploração sofisticada da cadeia de suprimentos digital.Não só isso, o ataque cibernético foi planejado por diversas pessoas durante meses: elas também usaram o Telegram para recrutar funcionários de empresas com acesso privilegiado ao Banco Central.Entenda o que aconteceu: C&M: hackers invadem parceira do Banco Central e roubam R$ 1 bilhão“O ataque pode ter sido uma operação de fraude doméstica, facilitada por um insider, e não uma investida puramente externa”, declara a ZenoX. “Aparentemente, houve um recrutamento ativo em canais abertos meses antes do incidente, com o objetivo de corromper funcionários bancários com acesso às tesourarias. As mensagens indicavam planos explícitos para executar operações no BACEN que poderiam atingir o valor de R$ 1 bilhão. Além disso, nossa análise revela que este não foi um evento isolado, mas a culminação de uma série de ataques de menor escala que, ao longo do tempo, vinham explorando a mesma fragilidade processual em contas reserva em diversas instituições financeiras no Brasil”.São quatro os pontos principais que facilitaram o ataque:A ausência de um monitoramento estratégico do submundo da fraude no Brasil, que ignorou os sinais claros de planejamento;A confiança cega na segurança da cadeia de suprimentos, sem a devida verificação contínua;Uma cultura de silêncio no setor financeiro, que impede o compartilhamento de inteligência entre as vítimas e fortalece os criminosos;A falta de uma inteligência centralizada para conectar os pontos entre incidentes aparentemente isolados e transformá-los em um alerta preditivo Como aconteceu o ataque: Pix de R$ 18 milhões na madrugada: bastidores do maior roubo da história do sistema financeiro brasileiro “Entendemos que este incidente não deve ser encarado como um caso isolado, mas sim como o sintoma mais agudo de um problema muito mais amplo: a crescente sofisticação da fraude financeira e a profissionalização do cibercrime (...) o colapso foi menos resultado de uma vulnerabilidade de software e mais consequência da exploração de falhas sistêmicas: o risco não gerenciado da cadeia de suprimentos, a ameaça apresentada por insiders e, acima de tudo, a incapacidade de operacionalizar informações de inteligência já disponíveis”, afirma a empresa.Em seu relatório, a Zenox realiza uma análise profunda sobre como a cadeia de suprimentos foi atacada e você pode conferir mais detalhes técnicos aqui.A oportunidade fez o ladrão?Não houve oportunidade neste ataque: ele foi planejado para acontecer e facilitado por insiders. Obviamente, a ZenoX não descarta a participação de algum agente internacional na ação, contudo, ela deixa claro que a estrutura do golpe apresenta fortes indícios de uma fraude com componentes essencialmente nacionais.Isso porque existe um nível alto de conhecimento necessário para transitar entre as burocracias do SPB (Sistema de Pagamentos Brasileiro). Entre essas burocracias, estão os gargalos em processos de liquidação e a compreensão da dinâmica de confiança entre PSTIs (Provedor de Serviços de Tecnologia da Informação) e o Banco Central.É interessante perceber, também, a suspeita de que nem os próprios cibercriminosos esperavam tal sucesso na ação: “A aparente dificuldade na fase de lavagem dos recursos, com a pulverização de valores que acabou gerando alertas em exchanges, e o valor supostamente pago ao insider, que embora elevado, parece desproporcional ao montante final subtraído, sugerem a possibilidade de um plano que ganhou escala de forma oportunista”.Recrutamento realizado em maio para encontrar insider no BACENO insider citado seria João Nazareno Roque, de 48 anos, preso em sua própria casa na região de Taipas, na zona norte de São Paulo. Roque era funcionário de TI na C&M e foi encontrado por agentes da 2ª Divisão de Crimes Cibernéticos (DCCiber) e do Departamento Estadual de Investigações Criminais (Deic).Para a polícia, Roque conta que vendeu sua senha aos hackers por R$ 5 mil e depois cobrou mais de R$ 10 mil para criar um sistema que permitisse o desvio do dinheiro — e, estranhamente, trocava de aparelho celular a cada duas semanas para conversar com os operadores, uma conta que não fecha. “Cremos que o plano sempre foi extrair o maior valor possível que as contas reserva pudessem suportar. A falha na etapa de lavagem, portanto, pode ter sido fruto de um erro de cálculo logístico — e não de uma surpresa com o volume obtido”, diz a empresa.Recrutamento realizado em maio para encontrar insider no BACENPena de pato, bico de pato e asa de pato. O que é?O cibercrime brasileiro permeia todas as redes sociais e aplicativos de mensagens, mas o Telegram é uma das casas favoritas. A movimentação de grupos no mensageiro costuma revelar não apenas vendas cibercriminosas, mas também o recrutamento de interessados em ações fraudulentas.A ZenoX, em sua análise, não confirma uma ligação direta de grupos no Telegram com o ataque ao Banco Central. Contudo, os indícios são muito fortes para descartá-los: foram encontrados grupos que recrutavam funcionários envolvidos com operações no Banco Central desde maio de 2025.A busca envolvia “gerentes bancários de grandes bancos físicos com acesso direto às contas da tesouraria”, com “capacidade de realizar transferências (TEDs) a partir de R$ 50 milhões até R$ 1 bilhão”. Além disso, os recrutadores prometiam uma “operação rápida e discreta junto com ao pessoal do Bacen”.A ideia era encontrar algum funcionário malicioso dentro do Banco CentralUma das diferenças, contudo, envolve o pagamento ao funcionário malicioso: R$ 30 milhões, sendo R$ 5 milhões para intermediários e R$ 25 milhões para gerentes.“A estratégia de recrutar funcionários de alto escalão em bancos e, possivelmente, no próprio órgão regulador para a execução de fraudes bilionárias não é mera especulação”, explica a ZenoX. “Trata-se de um plano real, que já estava em fase de recrutamento no ambiente underground. O ataque de 30 de junho pode ter sido, ou não, a concretização bem-sucedida de um desses esquemas que vinham sendo articulados de forma aberta”.Como você pode notar nas imagens acima, o recrutamento capturado nos grupos de Telegram aconteceu em maio. Especificamente, a ideia era encontrar algum funcionário malicioso dentro do Banco Central. Para a polícia, o insider João Nazareno Roque notou que foi cooptado em março, indicando que ele foi o ponto de partida da ação.João Roque (Fonte: TV Globo)Essa história não é novaNão é a primeira vez que funcionários são recrutados para abrirem as portas para cibercriminosos. Um grupo que fez bastante barulho e se valia deste modus operandi era o Lapsus. Entrevistei o líder do Lapsus em 2022 com o seguinte alerta: “um novo modus operandi de ataque cibernético está nascendo”.Na reportagem “Cibercrime e o espetáculo por reconhecimento: uma entrevista com Lapsus”, explico melhor quem é o grupo que pagava funcionários para ter acesso não-autorizado em sistemas. A diferença entre eles e os responsáveis pelo ataque ao Pix envolve pontos como investimento e vaidade. A vaidade, por exemplo, não existiu entre os cibercriminosos que atacaram o BACEN — pelo menos, não até o momento.A empresa de cibersegurança Zenox afirma o mesmo sobre o caso atual. “Tudo indica que ele seja a culminação de uma série de ataques menores que vêm sendo executados nos últimos meses. Nossas pesquisas e inteligências apontam que incidentes com características semelhantes foram reportados às autoridades em diferentes estados do país”, revelam.Em São Paulo, teriam ocorrido pelo menos três ataques recentes a instituições financeiras distintas, todos explorando a mesma brecha fundamental: a transferência de valores a partir de contas reserva, nota a empresa.“O que torna esse padrão ainda mais preocupante é a diversidade dos vetores de entrada observados nos casos anteriores. Alguns exploraram falhas técnicas em sistemas, outros utilizaram meios distintos de acesso não autorizado. A semelhança entre eles não estava no modo de entrada, mas no objetivo final: uma vez dentro da rede, o foco era sempre o mesmo. Isso nos leva a uma hipótese crítica: um ou mais grupos de ameaça teriam identificado — e começado a explorar sistematicamente — uma possível fragilidade nas regras de negócio que regulam as transferências a partir de contas reserva no Brasil. Essa não seria uma vulnerabilidade de software, no sentido tradicional, passível de correção com um patch”.Dessa maneira, é possível concluir que tudo indica uma falha de processo e ausência de verificações robustas.“Sob essa ótica, o ataque contra a C&M Software não representaria a descoberta da falha — mas sim sua industrialização. Em vez de atacar bancos individualmente, os criminosos teriam mirado um alvo muito mais estratégico: um provedor de tecnologia (PSTI) que lhes daria acesso simultâneo às contas reserva de diversas instituições (...) Foi a consequência inevitável de um conjunto de falhas sistêmicas, culturais e estratégicas que há muito tempo fragilizam o ecossistema financeiro brasileiro”.Ao final de seu relatório, a ZenoX indica algumas conclusões que ajudaram a criar esse cenário. Uma delas chama a atenção: a cultura do silêncio. Aliás, assunto este que o TecMundo é vocal há mais de 10 anos.“No setor financeiro, a reputação é um ativo valioso. Por receio de prejuízos à imagem, penalidades regulatórias ou perda de confiança do mercado, é comum que instituições financeiras que sofrem ataques escolham o silêncio. Esse isolamento enfraquece a capacidade coletiva de resposta. As táticas, técnicas e procedimentos (TTPs) utilizados pelos atacantes acabam ficando restritos à instituição que sofreu o ataque, impedindo que outras se preparem ou aprendam com o ocorrido”, comentam.“Essa cultura do silêncio cria o ambiente ideal para os criminosos. Eles atacam uma instituição, aprendem com os erros e repetem a estratégia na próxima, que permanece completamente alheia ao risco iminente. Essa falta de compartilhamento de informações impede a criação de uma defesa coletiva mais robusta — algo que poderia funcionar como uma espécie de “imunidade de rebanho” cibernética”.É claro que as instituições financeiras, principalmente, com medo de arranhar a própria imagem acabam desgastando a cibersegurança e criam um cenário vazio de trocas.Como combater a nova ameaça de funcionários maliciososFuncionários cooptados pelo cibercrime são a nova ameaça, de fato. O modus operandi tem se revelado muito mais lucrativo e menos técnico — apesar de esta última ação contra o Banco Central ser mais sofisticada.Por isso, acompanhe abaixo os passos recomendados para combater funcionários que sejam cooptados pelo crime:Adoção de Inteligência de Ameaças Acionável (CTI) com monitoramento Contínuo do Submundo da Fraude;Inteligência Focada em Insiders e Credenciais Vazadas;Plataformas de CTI;Diligência Prévia ao Monitoramento Contínuo;Mandato Contratual e Auditoria de Controles Essenciais;Revisão do Modelo de Acesso a Contas Reserva;Criação de um Ecossistema de Inteligência Colaborativa;Há ainda um pedido ao setor: união de instituições. Para isso é necessária a criação de ecossistema de inteligência colaborativa, um hub centralizado de compartilhamento de ameaças. Segundo a ZenoX, “o Banco Central ou uma entidade como a FEBRABAN” seria fundamental para esse trabalho, além da emissão de alertas em tempo real para todo o setor.“A anonimização e padronização de dados para vencer a resistência ao compartilhamento e o desenvolvimento de playbooks de resposta coordenada com base nas informações compartilhadas” são essenciais para o setor de cibersegurança superar o novo modus operandi de ameaças.