A Polícia Civil de São Paulo revelou nesta quinta-feira, 4, detalhes do que já é considerado o maior ataque hacker da história do país, com prejuízo estimado em até R$ 800 milhões. O principal suspeito, João Nazareno Roque, de 48 anos, era funcionário da empresa C&M Software, responsável por interligar instituições financeiras menores ao sistema PIX do Banco Central. Segundo os investigadores, ele vendeu suas credenciais de acesso ao sistema e colaborou diretamente com os criminosos.
Roque, que atuava como desenvolvedor júnior na companhia há três anos, teria sido abordado ainda em março por um homem que sabia onde ele trabalhava. Dias depois, aceitou R$ 5 mil para fornecer sua senha de acesso. Em seguida, recebeu mais R$ 10 mil para executar comandos maliciosos que permitiram aos criminosos emitir ordens falsas de transferência em nome do banco BMP, um dos clientes da C&M.
Golpe foi planejado e executado em etapas
De acordo com o depoimento do suspeito à polícia, as ações foram realizadas em etapas. Primeiro, ele permitiu que o grupo criminoso tivesse acesso ao sistema da empresa. Depois, executou comandos internos que viabilizaram a emissão de transferências fraudulentas.
As transações simulavam ordens legítimas do BMP, direcionando recursos para contas externas via PIX. Apenas essa instituição financeira declarou um prejuízo de R$ 541 milhões. A C&M confirmou que pelo menos outras cinco empresas foram atingidas, embora seus nomes ainda não tenham sido revelados. Fontes da TV Globo estimam que o prejuízo total possa alcançar R$ 800 milhões.
Engenharia social e vulnerabilidade interna
A C&M Software afirma que não houve falha técnica nos sistemas da empresa. Segundo nota oficial, os hackers utilizaram técnicas de engenharia social para manipular o funcionário e obter suas credenciais. O Banco Central, por sua vez, confirmou que as contas atingidas eram contas de reserva, usadas por instituições financeiras para operações obrigatórias com o BC, como transferências, aplicações e liquidez.
Durante as investigações, Roque declarou que trocou mensagens e ligações com quatro pessoas, mas só teve contato visual com uma delas. Os demais, segundo ele, se comunicavam por aplicativos e não revelaram identidade.
A Polícia Civil agora concentra esforços na identificação dos outros envolvidos e no rastreamento dos valores desviados. As apurações estão a cargo da Divisão de Crimes Cibernéticos (DCCIBER), e o inquérito segue em andamento.