O sistema financeiro nacional foi novamente alvo de um ataque hacker. No último domingo (19/10), foi a vez da fintech FictorPay sofrer a ação de criminosos, que roubaram pelo menos R$ 26 milhões da instituição financeira.
A fintech é controlada pela holding Fictor, uma empresa de participações e gestão que atua nos setores de indústria alimentícia, serviços financeiros e infraestrutura. A empresa, fundada em 2007, conta com cerca de 4 mil funcionários. A informação sobre o novo ataque hacker foi publicada inicialmente pelo PlatôBR.
Como foi o ataque
Para atacar a FictorPay, os hackers se valeram de uma brecha em aplicativos internos da companhia e efetuaram pelo menos 280 transações via Pix para cerca de 270 “contas-laranja” em vários bancos e outras fintechs.
Por meio dessa vulnerabilidade no sistema, os criminosos acessaram a conta de uma prestadora de serviço da fintech, o que possibilitou os saques. Essas transferências não estiveram sujeitas à limitação de valores imposta pelo Banco Central (BC) – a FictorPay não é participante do Pix.
A empresa se conecta ao sistema por meio de prestadoras de serviço que, em tese, se enquadram nas regras da autoridade monetária brasileira e não tiveram seus sistemas atingidos.
Uma das companhias que prestam serviço à FictorPay é a Celcoin. Ao PlatôBR, a empresa informou que não houve qualquer invasão ou comprometimento de sua infraestrutura de tecnologia, mas uma “movimentação atípica” na conta de um cliente.
“Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente. As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo ‘white label’ utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente”, disse a empresa.
“Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, mantendo contato direto com as autoridades competentes. Reafirmamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil”, completa a empresa.
Até o momento, o BC não se manifestou sobre o incidente.
Leia também
-
Quem é o hacker que se passou por CEO e causou prejuízo de R$ 1 milhão
-
Hacker invade sistema de empresa e causa prejuízo de R$ 1 milhão
-
BC emite alerta sobre novo ataque hacker a instituição de pagamento
-
Novo ataque: hackers desviam quase R$ 5 milhões de fintech
O novo episódio se soma a outros quatro ataques hackers contra o sistema financeiro do país registrados nos últimos três meses, que tiveram como principais alvos a C&M Software e a Sinqia, além da fintech gaúcha Monetarie (cujo nome-fantasia é Monbank) e da E2 Pay, mais recentemente.
Essas empresas interligam instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo BC em 2020 e amplamente utilizado pelos brasileiros.
Nos casos envolvendo C&M e Sinqia, os hackers também atingiram contas de reserva de instituições financeiras que usavam os sistemas das respectivas provedoras de serviços de tecnologia da informação (PSTIs). Essas contas são mantidas pelo BC e funcionam para a liquidação de operações interbancárias, como Pix, TEDs (Transferências Eletrônicas Disponíveis) e boletos.
Novas normas do BC
No início de setembro, o BC anunciou uma série de normas para reforçar a segurança do Sistema Financeiro Nacional (SFN), alvo de recentes ataques promovidos por grupos criminosos, para combater a atuação do crime organizado no sistema financeiro.
O BC fixou um teto de R$ 15 mil em operações via TED e Pix para instituições de pagamentos não autorizadas e as que se conectam ao SFN por meio de prestadores de serviços de tecnologia de informação (PSTI).
Essa limitação poderá ser removida assim que o participante e o respectivo prestador de serviços “atenderem aos novos processos de controle de segurança” previstos pelo Banco Central. Os participantes que comprovarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias.
O BC também prevê que, a partir de agora, “nenhuma instituição de pagamento poderá começar a operar sem prévia autorização” da autoridade monetária. As que já operam precisam solicitar autorização ao BC até maio de 2026.
Além disso, a instituição de pagamento que estiver prestando serviços e tenha o pedido de autorização indeferido deverá encerrar as atividades em até 30 dias, conforme determinação do BC.
Casos recentes
O registro de mais um ataque hacker contra o sistema financeiro do Brasil acontece cerca de 50 dias depois de a Sinqia – empresa de tecnologia que presta serviços para instituições financeiras – ter sido alvo da ação de criminosos digitais. Por meio de nota, a empresa estimou em cerca de R$ 710 milhões o tamanho do rombo.
Estima-se que o BC tenha conseguido bloquear, até aqui, cerca de R$ 360 milhões do montante desviado no caso da Sinqia. A autoridade monetária ainda não se manifestou sobre o caso. De acordo com a Sinqia, foi identificada uma atividade não autorizada em seu ambiente que acessa o sistema do Pix.
“Ao detectar esse incidente, e agindo de acordo com seus protocolos de resposta, a Sinqia suspendeu o processamento de transações em seu ambiente Pix e começou a trabalhar com especialistas de cibersegurança externos”, disse a empresa, na época.
A Sinqia afirmou ainda que, segundo uma investigação preliminar, as transações não autorizadas ocorreram por meio da exploração de credenciais legítimas de fornecedores de Tecnologia da Informação (TI) da empresa. Após o incidente, todos os acessos a essas credenciais foram encerrados.
Em junho, o ataque hacker à C&M Software gerou repercussão nacional e resultou em um prejuízo estimado em mais de R$ 1 bilhão. Na ocasião, a Polícia Civil de São Paulo investigou a atuação ilegal de um funcionário da empresa, João Nazareno Roque, que teria negociado credenciais de acesso ao sistema aos criminosos. Ele está preso.
Os criminosos invadiram os sistemas da C&M e tiveram acesso a inúmeras contas. Uma das instituições mais afetadas foi a BMP, uma provedora de serviços de “banking as a service” que está em operação desde 1999 e perdeu pelo menos R$ 541 milhões. O episódio é considerado o maior ataque hacker da história do país no setor financeiro.
Em setembro, foi a vez de a fintech Monetaire ser alvo dos hackers. Os criminosos deviaram cerca de R$ 4,9 milhões de uma conta de reserva da empresa.
Também no mês passado, o BC emitiu um alerta de segurança informando sobre a ocorrência de um novo ataque hacker contra uma instituição de pagamento não autorizada a funcionar pela autoridade monetária.