A Polícia Civil de São Paulo prendeu nesta quarta-feira (3) um funcionário suspeito de facilitar o maior ataque hacker já registrado contra o sistema de transferências via pix no país.

Ele foi detido no bairro City Jaraguá, na zona norte da capital, e é acusado de entregar senhas e credenciais que permitiram o desvio de R$ 541 milhões em transferências fraudulentas da empresa BMP Instituição de Pagamentos S/A, segundo a Polícia Civil de São Paulo.

O ataque cibernético que afetou pelo menos seis instituições financeiras causou alvoroço no mercado financeiro na quarta-feira (2).

De acordo com os investigadores, o preso é funcionário de uma empresa terceirizada que deu acesso pela máquina dele ao sistema sigiloso do banco para os hackers que efetuaram o ataque.

O suspeito de facilitar o ataque hacker tem 20 anos de experiência como eletricista predial e residencial, leitura e interpretação de projetos no autoCad, segundo perfil na rede social Linkedin. Ele também atuou durante quatro anos como técnico de instalação de TV a cabo NET.

Em seu perfil, diz que tem uma ‘pequena experiência com tecnologia, relacionada a ligação de câmeras, computadores e distribuição de ramais na suíte de rede’ e que iniciou um curso de Tecnologia da Informação aos 42 anos.

João confirmou informalmente à polícia que entregou a senha de acesso para terceiros, que cometeram a fraude.

Segundo a polícia, ele confessou que foi abordado por criminosos interessados em acessar o sistema e, em troca de pagamentos via motoboy, entregou login e senha de uso interno da empresa.

Suspeito recebeu R$ 15 mil

Em depoimento ao DEIC, João afirmou que o primeiro contato aconteceu em março, quando um homem o abordou na rua e demonstrou conhecer detalhes sobre seu trabalho.

Dias depois, ele recebeu uma ligação via WhatsApp com a proposta de entregar suas credenciais em troca de R$ 5 mil. Após o pagamento, João forneceu login e senha corporativos. Duas semanas depois, criou uma conta na plataforma Notion para receber instruções sobre como operar o sistema remotamente e, em seguida, passou a executar comandos a partir do próprio computador.

De acordo com o depoimento de João Nazareno Roque, ele recebeu dois pagamentos:

• R$ 5 mil pelo fornecimento do login e senha corporativos da empresa C&M. O pagamento foi feito via motoboy, que também recolheu os dados de acesso.





• R$ 10 mil por continuar inserindo comandos no sistema a partir do próprio computador, a serviço do grupo criminoso. Esse segundo valor também foi pago em notas de R$ 100,00, novamente via Motoboy.

O que diz a C&M Software

A empregadora do suspeito informou em nota que segue colaborando com as autoridades competentes nas investigações.

“Desde o primeiro momento, foram adotadas todas as medidas técnicas e legais cabíveis, mantendo os sistemas da empresa sob rigoroso monitoramento e controle de segurança”, diz trecho do comunicado.

Segundo a empresa, a estrutura de proteção da CMSW foi decisiva para identificar a origem do acesso indevido e contribuir com o avanço das apurações em curso.

“Até o momento, as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da CMSW. Reforçamos que a CMSW não foi a origem do incidente e permanece plenamente operacional, com todos os seus produtos e serviços funcionando normalmente”, completou a C&M na nota.

Portal Diário do RN