O ataque cibernético que desviou tapume de R$ 1 bilhão de recursos mantidos no Banco Mediano na madrugada de segunda-feira (30) explorou dados de chegada de clientes, diz a empresa claro dos criminosos, a C&M Software. A companhia é responsável pela notícia de 22 instituições financeiras com o BC, sobretudo no contextura do sistema Pix.
Ainda não há pareceres oficiais da poder monetária ou das polícias Federalista e Social do estado de São Paulo que investigam o caso. Para juntar as peças por trás do maior incidente cibernético já registrado no Brasil, a reportagem consultou especialistas em cibersegurança.
Uma vez que não houve menção a programas comprometidos, por secção das companhias envolvidas no caso, foi descartado um ataque do tipo ‘dia zero’, em que o criminoso descobre uma brecha no código do sistema para acessá-lo mesmo sem ter permissão. Assim, a tese de que os criminosos obtiveram chegada privilegiado ganhou força.
Os técnicos também descartam falhas no sistema de pagamentos instantâneos do BC. “O Pix só processou as transferências que pareciam legítimas”, diz o engenheiro sênior da multinacional de cibersegurança Netscout, Kleber Carriello.
COMO FUNCIONA SEGURANÇA BANCÁRIA
A maior sofisticação das barreiras dos sistemas bancários levantou um debate se o ataque envolveu um chegada às máquinas da C&M Software ou se foi uma nequice no servidor.
As empresas do setor financeiro adotam medidas de segurança que ultrapassam os tradicionais usuário e senha. Isso inclui autenticação multifator (com envio de mensagens ou chave física), certificados digitais e mensagens cifradas (as chamadas chaves API).
No caso de grandes bancos e companhias mais consolidadas, é geral a adoção de aparelhos para armazenar as chaves e os certificados de segurança, os chamados módulos de segurança física. Trata-se de uma espécie de HD extrínseco com as informações de chegada.
“Esses dispositivos são projetados para evitar extração ou uso não autorizado das chaves, com controles físicos e lógicos rígidos”, explica Isabel Silva, diretora da empresa de cibersegurança Add Value.
Caso a C&M Software use essa tecnologia, seria necessário os criminosos terem a posse desse equipamento e fazerem o chegada a um computador da empresa, antes de conseguir chegada.
A empresa de tecnologia disse que não comenta detalhes do caso por orientação jurídica e em saudação ao sigilo das apurações. “As medidas previstas nos protocolos de segurança foram integralmente executadas.”
O problema, de pacto com Marco Zanini, CEO da companhia de cibersegurança Dinamo Networks, é que a maioria das prestadoras de serviço para bancos menores, porquê é o caso da C&M Software, não guardam as chaves criptográficas em dispositivos físicos.
ATAQUES COSTUMAM APROVEITAR VULNERABILIDADES
As chaves de segurança podem permanecer armazenadas em servidores ou repositórios vulneráveis, permitindo o chegada do grupo criminoso aos sistemas da vítima. “Se um invasor obtém essas credenciais privilegiadas, ele consegue executar operações reais no sistema bancário porquê se fosse a empresa, movimentando valores e instruindo transferências legítimas”, diz Silva, da Add Value.
Mesmo que o vazamento de credenciais tenha sido o vetor inicial, as autoridades ainda devem apurar se os criminosos conseguiram explorar outras vulnerabilidades para concretizar as movimentações financeiras.
“Pode ter falhas em sistemas internos ou permissões excessivas para determinados usuários, permitindo que quem obtém um chegada restringido consiga continuar até depreender sistemas críticos”, exemplifica a profissional.
Ainda assim, os criminosos conseguiram movimentar contas reservas de oito dos 22 clientes da C&M Software. Esse é um sinal de que os invasores foram barrados pelos mecanismos de proteção de secção das instituições financeiras.
CRIMINOSOS CONHECIAM SISTEMA DO BC, DIZ ESPECIALISTA
“Os responsáveis pelo ataque demonstraram conhecimento profundo e granular do funcionamento do Sistema de Pagamentos Brasílico”, analisou Carriello, da Netscout. Eles miraram as contas reservas, utilizadas exclusivamente para a liquidação de transações entre as instituições financeiras —em universal, de basta valor.
“A escolha desse claro indica um planejamento minusioso, para maximizar o proveito financeiro em uma única operação e explorar o coração do mecanismo de liquidez do sistema”, afirmou Carriello.
De pacto com ele, o incidente indica que falta monitoramento em tempo real sobre o tráfico de valores no sistema de pagamento. “Mesmo com credenciais válidas, deveria ter alertas para padrões de movimentação anômalos, porquê acessos fora do horário habitual, transações com volumes atípicos ou mudanças súbitas no comportamento de sistemas.”
COMO FOI LAVAGEM DE DINHEIRO
Depois de saquear as contas reservas das instituições financeiras, os criminosos espalharam as quantias por contas laranjas em mais de 40 instituições.
Os recursos, depois, foram usados para comprar criptomoedas, de pacto com Rocelo Lopes, o CEO da SmartPay, uma startup que integra o sistema Pix a plataformas de criptomoedas. Os invasores tentaram usar a própria SmartPay para obter criptoativos.
Ao notar uma explosão de introdução de contas em sua fintech e uma demanda supra do normal por USDT, uma criptomoeda que usa o dólar porquê âncora de preço, e bitcoins, Rocelo decidiu bloquear movimentações ainda na madrugada de segunda-feira, quando aconteceu o ataque.
Os criminosos costumam usar essas duas criptomoedas mais conhecidas para obter outros criptoativos de difícil rastreio, porquê a monero.
Interlocutores do Banco Mediano disseram à Folha sob exigência de anonimato que, apesar de uma parcela do R$ 1 bilhão desviado já ter sido bloqueada em instituições do sistema Pix, o devolvido até agora é irrelevante.
