Desvio milionário do PIX: como sistemas foram burlados manipulando pessoas
O roubo milionário de contas reservas de bancos levantou preocupação sobre o nível de segurança usadas por operadoras do Pix. Neste caso em específico, segundo apurações preliminares, o problema todo foi de uso de engenharia social: uma técnica de manipulação para obter informações confidenciais.
O que aconteceu
C&M Software foi alvo de acesso indevido, o que permitiu a transferência de milhões de contas reservas de bancos atendidas pela empresa. A própria empresa admite em nota que "as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso". A fornecedora de tecnologia para fintechs nega violação nos sistemas ou na tecnologia de software.
De forma resumida, a C&M Software conecta vários bancos ao sistema Pix do Banco Central. A empresa faz a intermediação das operações de 23 instituições financeiras para liquidar operações instantâneas. O roubo foi de contas reservas de clientes da companhia de tecnologia.
Engenharia social é uma técnica de manipulação para fazer com que pessoas revelem informações confidenciais ou que comprometam sua segurança. Pode ser feita por e-mails ou mensagens chamativas que roubam informações (phishing) ou por meio da persuasão de uma pessoa, por exemplo.
No caso da C&M Software, um funcionário foi cooptado a ceder seu login e senha em troca de R$ 15 mil. Em depoimento à polícia, o suspeito disse que "foi seduzido pela proposta" e "alegou que não sabia o que iria acontecer". Ele foi abordado na saída de um bar, em março, por um homem que disse querer conhecer o sistema da companhia onde ele trabalhava.
A participação de alguém de dentro, seja colaborando ativamente, vazando informações ou sendo coagido, em incidentes de segurança representam de 20% a 30% de incidentes graves em segurança corporativa. No caso da C&M Software, foi um ataque de supply chain [direcionado a uma fornecedora de tecnologia para bancos], e eles são bem menos comuns, mas costumam ter danos desproporcionais
Hiago Kin, presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos)
Kin ressalta que em ambientes financeiros regulados, como o brasileiro, um ataque como o ocorrido é "raro". Segundo o especialista, não há registros públicos recentes que combinassem aceso a contas reservas e transferências milionárias.
Falha de controle de acesso e de monitoramento permitiram as movimentações financeiras. Segundo Rodrigo Takao, diretor de tecnologia da informação da empresa de serviços financeiros Gokei, foi um ataque sofisticado a ponto de estudarem a arquitetura do sistema de transferência, além de possivelmente mapear as credenciais acessíveis de clientes da C&M.
Ataques ao setor financeiro são frequentes. Porém, ataques com elemento interno --seja por colaboração intencional ou coação-- são críticos e menos comuns
Rodrigo Takao, diretor de tecnologia da informação da empresa de serviços financeiros Gokei
A estimativa inicial de desvio de ao menos R$ 541 milhões, mas nenhuma pessoa física foi prejudicada, nem o Banco Central, segundo a polícia. O valor estimado diz respeito somente ao prejuízo do BMP, um banco que usava os serviços da C&M, assim como outras 23 instituições —ainda não há detalhes de que outros bancos e fintechs tenham sofrido desvios.
Evitar ataques como o da C&M Software exigiria um modelo de segurança "em que não se deve confiar em ninguém". De acordo com o presidente do Ibrinc, a empresa deveria ter sistema de verificação de identidade a cada tentativa de acesso a sistemas, arquivos ou aplicativos, e garantir que cada pessoa só acesse o que é necessário para executar suas tarefas.
Após o incidente, o Banco Central retomou parcialmente o acesso da C&M Software à infraestrutura do Pix. Dessa forma, clientes da companhia de tecnologia voltaram a poder fazer transferências instantâneas de dinheiro.
Deixe seu comentário
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Leia as Regras de Uso do UOL.