A Polícia Civil prendeu na noite de quinta-feira (3) João Nazareno Roque, suspeito de envolvimento no ataque hacker aos sistemas da C&M Software. A empresa atua como ponte tecnológica entre o Banco Central (BC) e instituições financeiras. Roque, ex-operador terceirizado, é apontado como coautor do que pode ser o maior roubo cibernético da história do Brasil, com valores desviados estimados entre R$ 500 milhões e R$ 3 bilhões. A prisão foi confirmada na manhã de hoje (4) pelo Departamento Estadual de Investigações Criminais (Deic).
O Departamento Estadual de Investigações Criminais (Deic) anunciou o bloqueio de R$ 270 milhões em uma conta utilizada para receber parte dos valores desviados. Em depoimento, João Roque confessou ter recebido cerca de R$ 15 mil para facilitar o ataque. Ele é investigado por associação criminosa e furto qualificado mediante fraude e abuso de confiança.
Como o golpe bilionário foi orquestrado?
O ataque cibernético à C&M Software não se deu por uma invasão direta aos seus sistemas. Segundo a empresa, ocorreu um “uso indevido de integrações legítimas, por meio de credenciais comprometidas de terceiros”. Especialistas consultados pelo Seu Dinheiro afirmam que a ação criminosa se baseou em um roubo de credenciais de clientes da C&M, usadas nas transações com o Banco Central.
Marcos Zanini, CEO da Dinamo Networks e especialista em cibersegurança, explicou que os certificados digitais roubados são a única forma de o Banco Central (BC) assegurar a legitimidade de uma operação. “O único jeito do Banco Central saber disso é quando o banco assina a transação com o certificado digital dele. A essência desse negócio é proteger essa chave em um lugar que ninguém possa ter acesso.”
A Polícia aponta que João Roque foi abordado em março por um homem interessado nos sistemas da C&M. Posteriormente, ele teria trocado mensagens com outras quatro pessoas e, então, entregue sua própria senha do sistema, permitindo o acesso dos hackers e a realização de transferências Pix. Com as chaves em mãos, o fraudador se comunicou com o BC na madrugada de domingo para segunda-feira, executando uma série de transações.
Para o Banco Central, as transações pareciam legítimas. Marcos Zanini aponta que houve negligência por parte da C&M na proteção das credenciais dos clientes. A fintech BMP, usuária dos serviços da C&M, perdeu cerca de R$ 400 milhões no ataque, dos quais apenas R$ 150 milhões foram recuperados até o momento.
“Você não vê esse tipo de problema acontecer em grandes bancos, porque possuem infraestrutura de proteção dessas chaves dentro de hardwares, com criptografia, que não permite invasão. Se você não se proteger desse jeito, fica vulnerável e essas chaves podem ser copiadas por alguém. Nesse caso, foi pura negligência da C&M”, afirmou Zanini.
O especialista ainda pondera que, juridicamente, se o vazamento das chaves for comprovado dentro da C&M, a responsabilidade e a obrigação de arcar com o prejuízo recairão sobre a empresa. O dinheiro desviado foi, em grande parte, convertido em criptomoedas, como bitcoin (BTC) e Tether (USDt), para garantir liquidez rápida.
Na madrugada de 30 de junho, Rocelo Lopes, CEO da SmartPay e criador da carteira Truther, detectou movimentos atípicos. Sua ação rápida, elevando filtros de validação, permitiu reter grandes somas e iniciar a devolução de valores às instituições afetadas.
