Com acréscimos: o maior hacker brasileiro analisa o golpe contra o Banco Central

Ampliado às 21:20

Siga o Jornal GGN no Google e receba as principais notícias do Brasil e do Mundo

Seguir no Google

Wanderley Abreu, o Storm, é uma lenda entre os hackers brasileiros. Com 19 anos, conseguiu hackear os sistemas da Nasa. Houve uma investigação que chegou até ele. Em vez de punição, foi convidado a trabalhar em testes de segurança dos sistemas. Hoje tem uma empresa especializada em segurança cibernética.

É dele a avaliação a seguir, sobre o roubo de R$ 1 bilhão do Banco Central.

O primeiro ponto a se considerar é que não houve o golpe tradicional, hackeamento, exploração de bugs, mas sim a facilitação interna por um funcionário da empresa C&M Software, que forneceu as chaves de acesso aos golpistas, por módicos R$ 10 mil.

A C&M é uma das provedoras de software do Pix. Com acesso privilegiado ao Sistema, os  criminosos criaram novas chaves de transação para movimentar valores sem origem rastreável. O software permitia a criação de transações não reconhecidas pelo Banco Central. O controle sobre o sistema possibilitou manipulações sofisticadas e discretas.

O golpe envolveu a criação de transações fictícias entre contas, sem retirar valores reais de contas específicas. O bug inserido permitia transferências para contas de criminosos sem origem legítima dos fundos. O dinheiro extra não era debitado de nenhuma conta real, sendo criado no processo. Apenas parte do valor existia de fato; o restante foi gerado artificialmente pelo sistema.

A arte toda está na distribuição do dinheiro roubado. Para transformar o dinheiro roubado em moeda utilizável, os criminosos precisariam superar bloqueios e rastreamentos.

O dinheiro foi distribuído em várias carteiras de criptomoedas para dificultar o rastreamento.  Não foram utilizadas plataformas de exchange descentralizadas (DEX), pois estas marcam ativos suspeitos.  Plataformas como Binance e Robinhood podem bloquear ativos identificados como roubados.

Provavelmente os criminosos converteram os valores em diferentes criptomoedas, priorizando as menos conhecidas e, por isso mesmo, menos monitoradas e menos suscetíveis de serem marcadas como suspeitas.

O ataque à C&M resultou em um desvio de aproximadamente 541 milhões de reais. 

Parte do dinheiro desviado era virtual, ou seja, foi criado artificialmente no sistema. Dos valores desviados, 270 milhões foram bloqueados e recuperados.

As dúvidas sobre o golpe

Outra fonte, bem informada sobre as investigações, traz algumas correções e hipóteses sobre o golpe.

A C&M é prestadora de serviço para instituições de pagamento menores, de contas transnacionais. Em geral, essas instituições não tem backoffice, e contratam empresas terceirizadas. A C&M, que presta serviços até ao FED nos Estados Unidos, mas não é grande no Brasil.

Mas todo sistema tem um duplo controle. O correntista vai fazer pagamento, a empresa terceirizada preenche. Mas o agente financeiro, supervisionado pelo Banco Central, tem que assinar e colocar o seu código. Esse duplo controle vale para todas as operações. Se um pedaço das credenciais está na nuvem, o outro tem que estar no hardware. Esse duplo controle vale para a instituição e vale quando a operação passa para outra. No caso do golpe, a C&M preenchia o operacional, mas a BMP precisava colocar a senha. A primeira grande questão é; porque a BMP deu a senha.

É esta a dúvida principal. O dinheiro roubado estava na conta reserva que a BMP mantém no Banco Central. Era dinheiro da própria instituição, utilizado para operacionalizar os pagamentos.  As reservas eram 5 ou 6 vezes maior do que o que foi levado. Mas não houve nenhum recurso do BC envolvido.

A segunda questão é sobre os comportamento das instituições que receberam o pagamento. Porque nem todas bloquearam?

Na última semana, o BC suspendeu quantidade significativa dessas empresas que receberam dinheiro. A C&M suspensa temporariamente e ainda não entendeu  o que aconteceu na BMP. O curioso é que não se viu nenhuma reclamação de pessoas físicas ou jurídicas correntistas dessas empresas. O que aumenta a suspeita de que poderiam fazer parte de uma rede específica para lavagem de dinheiro.

O grande problema foi a epidemia de instyituições de pagamento. Nos últimos anos, 1.500 instituições foram autorizadas a operar. E o BC tem um terço da fiscalização de dez anos atrás.

Com a Lei de Liberdade Econômica, se o BC não autoriza em determinado período,  a empresa pode começar a funcionar sem autorização. E há dificuldades em suspender as operações.

Outra obviedade: é evidente que o técnico que passou as senhas para o grupo nao o fez por 10 mil reais. A hipótese mais provável é que tenha sido ameaçado.

NO final da linha, é bem possível que se chegue ao PCC, que prosperou violentamente graças à esbórnia com fintech e bets,

Leia também: