O país acabou de sofrer o maior ataque digital da história. Perto de R$ 1 bilhão foi desviado. A ação atingiu o coração do SPB (Sistema de Pagamentos Brasileiro), que são as contas reserva que as instituições financeiras mantêm diretamente junto ao Banco Central.
Quando transferimos dinheiro para alguém, nossa conta bancária é uma abstração. As transferências de fato são feitas entre instituições financeiras, usando as contas reserva. Apura-se quanto cada uma recebeu ou dela saiu, faz-se a compensação e os valores são então efetivamente transferidos. Foram contas como essas que o bandido atacou.
Na semana passada a Polícia Federal prendeu um suspeito de participar do ataque. Trata-se de um funcionário administrativo da empresa C&M, que presta serviços para bancos pequenos e médios. A empresa é credenciada justamente para intermediar o acesso deles com o Banco Central, permitindo que operem o Pix e TEDs por meio de suas contas reserva.
O funcionário teria recebido R$ 15 mil para fornecer sua credencial de acesso para os bandidos (tal como login e senha). De posse da credencial, os bandidos entraram no sistema da C&M e acessaram as contas reserva mantidas no Bacen por clientes da empresa. Tudo resolvido e situação explicada, certo?
Nada disso. Essa explicação é insuficiente. Ela levanta mais perguntas do que respostas. E pior. Se for verdadeira, é um sinal de alerta de que algo vai muito mal. A primeira questão é: como um funcionário administrativo tem uma credencial que permite movimentar centenas de milhões de reais? Isso em si já é uma falha grave.
A segunda pergunta é se a C&M não usava um sistema de Multisig, que exige múltiplas assinaturas de pessoas diferentes para que transações dessa magnitude sejam completadas. Essa é uma prática básica para esse tipo de operação.
Outra questão é quantos fatores de autenticação eram necessários para acessar essa credencial. Dois, três, quatro? Ela exigia biometria, impedindo que fosse transferida a outra pessoa? A credencial era criptografada, ou possuía um item de hardware para certificar o acesso? Tudo isso são itens elementares, primários até, de cibersegurança que deveriam estar presentes.
E a pergunta mais relevante: por que o sistema não alertou e bloqueou essas ações totalmente fora do padrão, realizadas inclusive durante a madrugada? Caro leitor, experimente acordar às 4 da manhã e enviar um Pix de R$ 5 mil da sua conta. O sistema do seu banco provavelmente irá impedir que isso aconteça. Como o sistema interbancário não percebeu a movimentação anômala, e a congelou na raiz? Que tipo de auditoria e padrões de segurança o Bacen aplica para empresas como a C&M e outras integrantes do SPB?
Ironicamente, foi uma startup de criptomoedas que deu o alarme. O bandido tentou transferir R$ 6 milhões para ela de madrugada. A empresa detectou a anomalia, bloqueou os fundos e começou a avisar as instituições financeiras.
Tudo isso mostra que cibersegurança é um assunto negligenciado no Brasil. Não dá mais para ser assim.
Já era – roubar bancos fisicamente
Já é – epidemia de golpes com números de celular forjados
Já vem – ataques crescentes à cadeia de fornecedores (“supply chain attacks”)
