O Brasil acaba de registrar o maior caso de fraude cibernética de sua história, com prejuízos estimados entre R$ 800 milhões e R$ 3 bilhões. O alvo foi a C&M Software, empresa nacional que presta serviços essenciais ao sistema financeiro, utilizada por pelo menos seis instituições para operações de liquidação interbancária no Banco Central.
O ataque ocorreu na madrugada de 30 de junho e, segundo relatório da Apura Cyber Intelligence, começou com um ponto frágil: o vazamento de credenciais de um desenvolvedor júnior, identificado como João Nazareno Roque. A partir desse acesso inicial, o grupo criminoso mapeou a infraestrutura da C&M, obteve novas credenciais e certificados digitais, e realizou dezenas de transferências fraudulentas via PIX no Sistema de Pagamentos Instantâneo (SPI).
As transações foram feitas fora do horário comercial, direcionadas a contas em instituições de menor porte - mais vulneráveis em controles de prevenção a fraudes, e rapidamente convertidas em criptomoedas como USDT e Bitcoin, dificultando o rastreio.
O relatório de quase 30 páginas da Apura detalha a sequência da invasão:
Acesso inicial – aliciamento do funcionário e uso de credenciais legítimas.
Reconhecimento e mapeamento – levantamento da infraestrutura e coleta de novas chaves e certificados.
Execução – transações PIX fraudulentas em nome das instituições.
Dispersão dos fundos – envio para dezenas de contas e conversão em criptomoedas.
A Apura classificou o caso como inédito no país pela ousadia e complexidade técnica, destacando que o episódio representa um novo nível de risco para o sistema financeiro. Entre as medidas sugeridas para prevenção, estão:
Fortalecimento proativo das defesas para reduzir a superfície de ataque.
Capacidade avançada de detecção e resposta para agir rapidamente diante de ameaças.
Inteligência acionável de ameaças para antecipar e rastrear ataques.
Gestão de riscos na cadeia de suprimentos com controles rigorosos sobre fornecedores.
Para o especialista Anchises Moraes, da Apura, a cibersegurança não se limita à tecnologia:
“Boa parte do risco está no fator humano. É preciso investir em conscientização, gestão de identidades e inteligência de ameaças para adaptar-se rapidamente a novos cenários”.
A Polícia Federal conduz as investigações com apoio do Banco Central, enquanto a Polícia Civil de São Paulo apura ramificações do crime. A C&M Software segue temporariamente desligada do Sistema de Pagamentos Brasileiro (SPB).