Aqui vai um argumento a favor da descentralização: hackers roubaram aproximadamente R$ 800 milhões (US$ 140 milhões) de bancos brasileiros após pagar a um funcionário de uma empresa de tecnologia apenas R$ 15 mil (US$ 2.760) por suas credenciais corporativas, segundo autoridades que investigam o que consideram o maior hack mirando bancos da história do país.O ataque teve como alvo a C&M Software, empresa com sede em São Paulo que conecta bancos menores e fintechs à infraestrutura do Banco Central do Brasil, incluindo o sistema de pagamentos instantâneos Pix. No dia 30 de junho, seis instituições financeiras tiveram acessos não autorizados às suas contas de reserva, com os criminosos esvaziando os fundos em menos de três horas.“Essa é a maior fraude sofrida por instituições financeiras pela internet”, afirmou o delegado Paulo Barbosa, responsável pela investigação da Polícia Civil de São Paulo, em coletiva de imprensa.O esquema começou em março, quando criminosos abordaram João Nazareno Roque, operador de TI da C&M, em um bar próximo à sua casa. Roque confessou ter vendido suas credenciais por R$ 5 mil inicialmente e recebido outros R$ 10 mil para ajudar a criar o software que possibilitou a invasão. A polícia prendeu ontem (3) o homem de 30 anos em sua residência no bairro Jaraguá.Entre 4h e 7h da manhã do dia 30 de junho, os invasores emitiram ordens fraudulentas de transferência via Pix, se passando pelas instituições afetadas. A BMP, empresa de banking-as-a-service, foi uma das mais atingidas, confirmando perdas de mais de R$ 400 milhões de sua conta de reservas no Banco Central. A empresa foi a primeira a registrar boletim de ocorrência, revelando o ataque em escala maior.Os criminosos começaram imediatamente a converter os reais roubados em criptomoedas por meio de mesas de balcão e corretoras da América Latina. Uma análise de blockchain feita pelo investigador cripto conhecido como ZachXBT indica que pelo menos US$ 30 milhões a US$ 40 milhões foram convertidos em Bitcoin, Ethereum e Tether (USDT) antes que as autoridades conseguissem congelar as contas. Uma carteira contendo R$ 270 milhões (US$ 49,8 milhões) já foi bloqueada.O investigador pseudônimo afirmou hoje, via Telegram, que está ajudando os investigadores a identificar e congelar os endereços de criptomoedas associados ao que descreveu como “um dos casos mais insanos do ano”.O que são Pix e C&M, e por que foram alvo?O Pix, plataforma de pagamentos instantâneos lançada em novembro de 2020, processa bilhões de transações por mês e se tornou o principal método de pagamento no Brasil. O sistema permite transferências instantâneas entre bancos 24 horas por dia, inclusive em fins de semana e feriados, com liquidação quase imediata.Sua ampla adoção se deve à possibilidade de vincular contas a identificadores familiares, como número de telefone, e-mail ou CPF. O Pix também permite pagamentos por QR Code e oferece funcionalidades que competem com operadoras de cartão de crédito, como parcelamento de compras.O sistema funciona interligando bancos e instituições financeiras diretamente à infraestrutura digital do Banco Central, permitindo que os fundos se movimentem instantaneamente entre contas. Quando um usuário inicia uma transferência via Pix, o pedido é encaminhado diretamente ao Banco Central, que valida e autoriza a transação em tempo real. Isso elimina os atrasos das transferências bancárias tradicionais, permitindo pagamentos em segundos a qualquer hora do dia.Há ainda tecnologias complementares no Brasil, como o monitoramento de transações entre bancos para avaliação de crédito.Diferentemente de ataques anteriores que visavam usuários individuais do Pix com malwares como o PixPirate, essa invasão explorou a infraestrutura que conecta as instituições financeiras ao Banco Central. Os invasores acessaram as contas de reserva que os bancos mantêm para liquidação de transações — não os depósitos dos clientes.“As análises feitas até agora não identificaram falhas técnicas ou vulnerabilidades nos sistemas da CMSW. O incidente ocorreu devido ao uso não autorizado de credenciais legítimas. Além das credenciais do funcionário, há indícios de que outros métodos de autenticação também foram explorados. A resposta rápida da empresa só foi possível graças à sua robusta arquitetura de segurança”, declarou a C&M em um comunicado oficial de perguntas e respostas.Fundada em 1992 por Orli Machado, a C&M fornece serviços de mensageria que permitem que cerca de 23 instituições financeiras menores acessem os sistemas de pagamento do Brasil sem precisar construir sua própria infraestrutura. O papel da empresa como intermediária a tornou um alvo atraente para criminosos que buscavam acesso simultâneo a vários bancos.O Banco Central do Brasil ordenou que a C&M se desconectasse de toda a infraestrutura financeira em 2 de julho, interrompendo temporariamente os serviços do Pix para diversas instituições. O Banco Paulista relatou uma “interrupção temporária” nos pagamentos instantâneos devido a uma “falha externa”, mas assegurou aos clientes que nenhum dado pessoal ou valor foi comprometido.O diretor-geral da Polícia Federal, Andrei Passos Rodrigues, afirmou que a corporação iniciou uma investigação imediata em coordenação com as autoridades do estado de São Paulo. Os investigadores analisam se o ataque tem ligação com redes sofisticadas de cibercriminosos no Brasil, que frequentemente se organizam por canais no Telegram e WhatsApp.Roque, o operador de TI comprometido, disse aos investigadores que conversou com pelo menos quatro vozes diferentes durante o ataque de 30 de junho, todas soando como homens jovens. Ele afirmou que trocava de celular a cada 15 dias para evitar ser rastreado e que nunca encontrou os outros conspiradores pessoalmente, exceto no primeiro encontro no bar.A invasão ocorreu apesar dos investimentos robustos do setor bancário brasileiro em cibersegurança após incidentes anteriores. A C&M declarou que implementou “todas as medidas técnicas e legais” após detectar a invasão e segue colaborando com as autoridades.A BMP garantiu aos clientes que os valores roubados estavam cobertos por garantias suficientes, evitando prejuízos aos usuários. O Banco Central confirmou ter recuperado parte dos fundos desviados por meio de entidades reguladas sob sua supervisão, embora os esforços de recuperação sejam mais limitados no caso de transferências para corretoras de criptomoedas estrangeiras não reguladas.A polícia segue analisando os dispositivos apreendidos na casa de Roque enquanto tenta identificar outros envolvidos. As autoridades criaram uma força-tarefa conjunta com a Polícia Federal e o Ministério Público para rastrear as transações em criptomoedas e, possivelmente, congelar novos ativos.* Traduzido e editado com autorização do Decrypt.Oportunidade de alto ganho na Super Quarta do MB! Até 26% ao ano e dinheiro na conta a partir de 5 meses. Acesse a página oficial para não perder essa chance exclusiva. Saiba mais!O post Como um hacker gastou apenas R$ 15 mil para roubar R$ 800 milhões de bancos do Brasil apareceu primeiro em Portal do Bitcoin.