Desvio de recursos em ataque hacker ao Pix sobe a R$ 710 milhões; maior parte foi bloqueada
Em nota, a Sinqia afirmou que as transações não autorizadas teriam sido introduzidas por meio da exploração de credenciais legítimas de fornecedores de TI
O volume de recursos desviado do Pix no ataque hacker à empresa de tecnologia Sinqia já chega a cerca de R$ 710 milhões — inicialmente, estimava-se R$ 420 milhões. Foram R$ 669 milhões do HSBC e R$ 41 milhões da sociedade de crédito direto (SCD) Artta.
Desse montante, R$ 589 milhões já foram bloqueados pelo Banco Central, 83% do valor, segundo informações obtidas pelo Globo.
A ação criminosa no sistema da Sinqia, empresa que faz a ligação tecnológica entre a rede do BC e de bancos e fintechs, aconteceu na tarde da última sexta-feira. Foi o segundo roubo milionário em dois meses.
No final de junho, criminosos desviaram mais de R$ 800 milhões do Pix via C&M Software, que atua no mesmo ramo da Sinqia.
Nos dois casos, o sistema do BC não foi comprometido e os clientes dos bancos e fintechs não foram afetados, já que o ataque ocorreu nas contas que as instituições mantêm para liquidação bancária.
No BC, técnicos ouvidos sob reserva admitem que o regulador já deveria ter tomado medidas mais contundentes para fechar as brechas do sistema que estão sendo aproveitadas por grupos criminosos.
Isso vale tanto para os ataques ao Pix quanto para os casos de infiltração em instituições reguladas para ocultação de valores ilícitos, como mostram as receitas operações da Polícia Federal.
Como mostrou o Globo, o BC deve focar em medidas de segurança mais restritivas nos próximos meses e deixar outras agendas em segundo plano.
A avaliação é de que, sem perspectiva de avanço rápido na ampliação da autonomia do BC, será preciso concentrar todos os recursos financeiros e de pessoal nessa agenda de fortalecimento da regulação.
Segundo técnicos, é necessária uma mudança ampla nas regras que regem o Pix, as instituições de pagamento e as instituições financeiras em geral. A intenção, porém, é dar mais um passo na equalização de regras entre fintechs e bancos, embora também deva ter aperto de regras para as instituições tradicionais.
No Pix, uma ideia estudada é diferenciar o período de liquidação a depender do valor da transação.
O regulador pode estabelecer um prazo maior para transferências maiores, na casa dos milhões, para ter mais tempo de análise da licitude da operação, por exemplo. As transações Pix demoram normalmente 10 segundos.
O novo ataque ao Pix também reforçou a percepção de que as prestadoras de serviço de tecnologia estão se provando um elo fraco e vulnerável do sistema. Segundos interlocutores, nos dois ataques, as ordens de transferência começaram nas próprias empresas de tecnologia, em vez de nas instituições afetadas.
Suspeita-se que as prestadoras de serviços, que deveriam se ater à integração de sistemas, estão tendo acesso às chaves de transação, que dá início à transferência, que é de posse exclusiva das instituições reguladas pelo BC.
De acordo com pessoas com conhecimento no assunto, o ideal, do ponto de vista da segurança, seria que cada instituição tivesse sua própria ligação com o BC, mas seria inviável do ponto de vista do custo.
Em nota, a Sinqia afirmou que resultados preliminares da investigação forense da empresa indicam que as transações não autorizadas foram introduzidas ao ambiente Pix por meio da exploração de credenciais legítimas de fornecedores de TI da Sinqia. A Sinqia encerrou o acesso a estas credenciais.
"Ao detectar esse incidente, e agindo de acordo com seus protocolos de resposta, a Sinqia suspendeu o processamento de transações em seu ambiente Pix e começou a trabalhar com especialistas de cibersegurança externos. A Empresa está trabalhando diligentemente para obter aprovação para retomar o processamento de transações no Sistema de Pagamentos Brasileiro (SPB) e do Pix."
Em relação ao destino das transferências, no caso da Sinqia, ao contrário do ataque via C&M, a maioria foi para contas de grandes bancos, um indicativo de que é necessário apertar a regra para todos, não só para fintechs, explicam os interlocutores.
O que dizem empresas afetadas
No sábado, a Artta confirmou o ataque em nota, e declarou que o incidente atingiu as contas que mantém diretamente no Banco Central para liquidação interbancária, sem impacto para os clientes.
"Não houve ataque ao ambiente da Artta nem às contas de nossos clientes. As contas envolvidas são mantidas junto ao Banco Central e utilizadas exclusivamente para liquidação interbancária", afirmou a instituição.
Após crise do Pix: Receita inclui em norma sobre fintechs que objetivo é combater crime organizado
"O banco esclarece ainda que medidas foram tomadas para bloquear essas transações no ambiente do provedor. O HSBC reafirma o compromisso com a segurança de dados e está à disposição das autoridades para colaborar com as investigações", afirmou em nota.
O ataque ocorreu pouco tempo depois de outra ação de grandes proporções, registrada em julho, quando hackers desviaram quase R$ 1 bilhão explorando vulnerabilidades da C&M Software, outra provedora de serviços tecnológicos usada por bancos e corretoras. Na ocasião, valores que estavam em contas no Banco Central foram transferidos de forma irregular.
Mecanismos de devolução
Um dia antes do ataque, o BC realizou alterações no Pix que aperfeiçoam, nos próximos meses, o mecanismo de segurança que permite a devolução de recursos para a vítima de fraudes, golpes ou coerção.
A instituição lembra que, pelas regras atuais, a devolução dos recursos é feita apenas a partir da conta originalmente utilizada na fraude. Mas observa que os fraudadores, normalmente, conseguem retirar rapidamente os recursos dessa conta e transferi-los para outras contas.
"Assim, quando o cliente faz a reclamação é comum que essa conta já não possua fundos para viabilizar a devolução", explicou o Banco Central.