Ataque hacker na Sinqia desvia milhões do Pix. - Imagem: iStock
Em menos de dois meses, o sistema financeiro brasileiro sofreu dois assaltos dignos de filme de espionagem — só que, desta vez, sem coletes à prova de balas, apenas algumas linhas de código. Hackers exploraram brechas de segurança e conseguiram desviar centenas de milhões de reais em dois ataques cibernéticos distintos contra a rede do Pix.
O primeiro episódio ocorreu em 1º de julho, com o emblemático ataque à C&M Software, que, segundo estimativas, resultou no desvio de mais de R$ 1 bilhão de diversas instituições financeiras. O golpe foi tão grande que ficou batizado de “o roubo do século” no noticiário brasileiro.
Já o segundo ataque ocorreu há poucos dias, desta vez mirando contas de clientes da Sinqia. Embora tenham tentado levar mais de R$ 1 bilhão, no fim das contas, o golpe rendeu “apenas” cerca de R$ 670 milhões aos hackers, de acordo com fontes próximas à investigação, que conversaram com o Seu Dinheiro.
O Banco Central conseguiu bloquear aproximadamente R$ 366 milhões, evitando que a quantia fosse parar nas mãos dos assaltantes. Mas alguns bons milhões escaparam…
Ao que se sabe até agora, houve duas vítimas principais no ataque à Sinqia: o banco HSBC, que perdeu cerca de R$ 630 milhões, e a sociedade de crédito direto Artta, com aproximadamente R$ 40 milhões desviados.
Fontes do setor também informaram à reportagem que diversas fintechs menores também são alvos frequentes dos hackers, embora muitas prefiram absorver prejuízos menores — que vão de cifras entre R$ 4 milhões e R$ 20 milhões — sem dar publicidade aos incidentes, evitando escândalos e danos à imagem das empresas.
“Essas fintechs são empresas pequenas. A lógica é que, se elas perdem R$ 5 milhões, tiram o sistema do ar e absorvem o prejuízo, em vez de mostrar fragilidade para o cliente. Muitas adotam a omissão, e muito dinheiro some sem ser divulgado, sempre por baixo”, disse um especialista no tema.
Mas por que esses assaltos digitais vêm se espalhando? O Seu Dinheiro foi atrás de especialistas para entender a dinâmica dos ataques hackers e as fragilidades do sistema financeiro brasileiro.
Por trás dos assaltos digitais milionários
Os ataques à C&M e à Sinqia têm uma lógica estratégica relativamente simples.
Os criminosos não miram diretamente nos bancos — conhecidos por sua segurança robusta —, mas sim em empresas que funcionam como pontes tecnológicas entre o Banco Central e as instituições financeiras.
A C&M e a Sinqia fazem parte do seleto grupo de sete empresas autorizadas pelo BC a prestar serviços de tecnologia para o sistema financeiro, conhecidas como PSTIs. Essas companhias oferecem processamento de dados para operações financeiras, incluindo o Pix, além de outras transferências de valores.
Para especialistas em cibersegurança, parte das razões que permitiram que as fraudes acontecessem foi a negligência em pontos críticos do sistema.
“Existem indícios de que dois pilares foram negligenciados na C&M, e continuam sendo negligenciados: um do lado do cliente final, que é o banco, e outro do lado do prestador, a empresa que operava", disse Marco Zanini, CEO da Dinamo Networks, especialista em cibersegurança, em entrevista ao Seu Dinheiro.
"Os bandidos chegaram à conclusão que é mais fácil roubar dessa forma do que de outros jeitos. A operação na C&M levou R$ 1 bilhão; agora, foram centenas de milhões. Então, parece que o pessoal do 'lado ruim da força' está se preparando melhor do que o 'lado de cá'”, disse Zanini.
Para Alberto Leite, CEO do Grupo FS, os ataques vêm se tornando cada vez mais sofisticados, complexos e frequentes. “De 2020 a 2030, a profundidade desses ataques vai crescer, e o potencial de destruição também, porque a caixa de ferramentas dos criminosos é enorme”, disse.
Como os ataques hackers na Sinqia e na C&M aconteceram
O modo exato como o ataque hacker à Sinqia se desenrolou ainda é um mistério. Mas especialistas acreditam que ele tenha seguido o mesmo padrão do assalto à C&M.
Inclusive, não há nada que garanta que ambos os ataques não tenham sido desenhados juntos, segundo o CEO da Dinamo.
“Eu diria que, quando aconteceu aquele ataque, este também já estava em preparação. Acredito que os hackers já estavam trabalhando nisso, se é que não estão desenhando também outros golpes enquanto falamos”, disse Zanini.
Para ele, tudo indica que houve roubo de credenciais de clientes da Sinqia — chaves de acesso que autorizam transações entre a empresa de tecnologia e o Banco Central. Essas credenciais são essenciais para o BC confirmar se uma operação é legítima.
A Sinqia não confirma a veracidade das suposições. Questionada pela reportagem sobre uma possível brecha de segurança ou vazamento de chaves, a empresa preferiu não comentar.
Mas, se as suspeitas se confirmarem, a origem do ataque seria um inside job: algum funcionário ou ex-funcionário fornecendo acesso ao sistema para os hackers.
“Esse é um erro clássico e provavelmente aconteceu aqui também. Não me parece uma brecha de segurança técnica, como a instalação de um software malicioso na máquina dos operadores. É mais fácil que alguém tenha fornecido a credencial”, afirmou o CEO da Dinamo.
O CEO do Grupo FS, Alberto Leite, também vê boas chances de “conluio interno”.“A probabilidade de um insider não é pequena. É muito difícil que essas coisas aconteçam sem a participação de funcionários atuais, de fornecedores desse provedor de tecnologia ou de ex-funcionários.”
Então, de quem é a culpa por mais um ataque hacker?
Para Zanini, da Dinamo, não dá para jogar toda a responsabilidade pelos incidentes apenas na Sinqia e na C&M, as provedoras de tecnologia. Mas o executivo alerta: “quando dois raios caem no mesmo lugar, há algo errado, e é preciso agir rápido”.
"Como até então nunca havia acontecido esse problema, eles acham que essa fraude é muito sofisticada. Mas não é. Tecnologicamente, é uma fraude simples. O que acontece é que as empresas não agem preventivamente, porque acham que ninguém nunca conseguirá entrar no ambiente interno delas e realizar essa operação."
Segundo o especialista, as duas empresas aparentemente seguiam protocolos de segurança bastante parecidos. Ele supõe que uma das primeiras falhas críticas é que os certificados digitais dos bancos e instituições clientes potencialmente já estavam sob custódia das PSTIs, e não dos próprios bancos.
“Na minha opinião, é um protocolo de segurança quebrado. Isso deveria estar em posse e custódia do próprio cliente, o banco. Te afirmo com 99% de certeza que a chave que assina a transação pelo banco estava em poder da Sinqia."
A potencial segunda falha decisiva, de acordo com ele, é que o controle de acesso à aplicação dentro do fornecedor seria fraco. Bastaria uma senha comprometida ou um cavalo de troia para que hackers invadissem o sistema com relativa facilidade.
"Os criminosos acharam um caminho e estão explorando uma brecha. E essa brecha está muito fácil. Isso poderia ser mais sofisticado. Já temos protocolos de segurança hoje que evitariam esse tipo de coisa, tanto do ponto de vista de custódia de chaves quanto de múltiplas autenticações para quem vai entrar no sistema. Há uma certa negligência da parte das PSTIs em relação a implementar todas as medidas de segurança possíveis, porque investir em segurança é um custo a mais", afirmou.
O papel do Banco Central na luta contra novos ataques hackers
Para Alberto Leite, do Grupo FS, o Brasil precisa de uma “política nacional de cibersegurança urgente”, com penalidades severas, padrões globais de proteção e educação cibernética.
"Eu não consigo dizer que o sistema financeiro brasileiro é fraco ou vulnerável. O sistema é robusto, mas é preciso aperfeiçoamento. Todas as PSTIs precisam revisar a arquitetura geral de cibersegurança, as invadidas e as não invadidas, e padronizar isso com nível de maturidade máximo. O nível de sofisticação dos hackers está aumentando muito, então você precisa também ter linhas de defesa que evoluam na mesma medida.”
Apesar dos incidentes milionários, especialistas destacam que a agilidade do Banco Central em bloquear boa parte dos recursos desviados pelos hackers — especialmente no caso da Sinqia — mostra que a autarquia vem aprendendo a lidar com os crimes cibernéticos.
“A notícia boa é a velocidade de detecção, então foi possível recuperar uma quantidade importante de dinheiro. Mas houve valores que não foram recuperados, e é isso que incentiva os grupos hackers a fazer mais”, afirmou Leite.
Para onde foi o dinheiro levado no ataque hacker à Sinqia?
Desde o caso da C&M, a instituição acompanha transações de grande volume e, ao identificar movimentações suspeitas na Sinqia, avisou imediatamente a empresa.
Não demorou para que o acesso da Sinqia ao Sistema Financeiro Nacional fosse temporariamente suspenso — estratégia semelhante à utilizada na C&M. Os serviços da provedora de tecnologia seguem desligados.
Além disso, com o mecanismo de bloqueio do Pix já ativo, o BC conseguiu impedir que os hackers transferissem o dinheiro para outros lugares. No total, foram R$ 366 milhões bloqueados até o momento.
“Desta vez, não deu tempo de os criminosos transferirem dinheiro para exchanges de criptomoedas, porque houve uma reação rápida do Banco Central. O BC bloqueou o dinheiro antes que os caras conseguissem fazer qualquer coisa. Mas milhões de reais escaparam. Meu palpite é que tenham sido transferidos para exchanges não reguladas, porque é o lugar menos rastreável possível”, explicou Zanini.
É por isso que o CEO da Dinamo prevê que o BC tomará medidas em breve para regular todas as exchanges de criptomoedas, garantindo que hackers não desapareçam com valores desviados para ambientes fora da jurisdição da autoridade monetária.
Já o CEO do Grupo FS avalia que o destino do dinheiro roubado no ataque hacker à Sinqia foi “um pouco diferente do que foi no assalto à C&M”. “Neste caso, os hackers usaram empresas relativamente antigas, mas que estavam paradas, há muito tempo sem atividade, e desviaram o dinheiro para elas”, afirmou Leite.
Na visão dos especialistas, neste momento, o Banco Central deve estar discutindo internamente como regular essas questões.
Por ora, a autoridade monetária não se manifestou oficialmente sobre o ataque hacker à Sinqia nem sobre a fiscalização de crimes cibernéticos no sistema financeiro.
A expectativa é que qualquer posicionamento ocorra somente após definição concreta de novas regras, garantindo que mudanças não precisem ser alteradas ou revogadas depois.
