Um ataque cibernético a uma empresa que presta serviços de banking-as-a-service (BaaS) no Brasil gerou um rombo bilionário.
O alvo foi a C&M, empresa que fornece infraestrutura bancária para outras companhias, como a BMP Money Plus. Os hackers conseguiram acessar as contas de reserva dessas instituições — mantidas no ambiente do Banco Central — e realizar transferências não autorizadas em larga escala. Além da BMP, também foram afetados Bradesco e Credsystem.
O modelo BaaS permite que empresas ofereçam serviços bancários, como contas, transferências e emissão de boletos, sem serem bancos de fato. Elas terceirizam toda a infraestrutura para plataformas como a C&M, que intermedeiam o relacionamento com o Banco Central, mantendo conexão direta com o Sistema de Pagamentos Brasileiro (SPB).
Essas contas de reserva funcionam como instrumentos operacionais para liquidação interbancária e não são ligadas diretamente a contas de clientes finais. No entanto, seu acesso exige protocolos rígidos de segurança, justamente pelo risco sistêmico em caso de falha.
Quando uma dessas plataformas sofre um ataque, os impactos se espalham em efeito dominó. Como são elas que acessam diretamente o SPB, qualquer brecha ou fraude pode comprometer uma cadeia inteira de operações.
A reação do Banco Central, após identificar o ataque, foi ordenar o desligamento imediato da C&M de seus sistemas. A medida teve o intuito de proteger a integridade do SPB e evitar novos desvios.
Apesar disso, o BC não divulgou o valor total do prejuízo e limitou-se a informar que está monitorando o caso e apurando responsabilidades. Ainda assim, fontes ligadas à investigação já tratam esse como o maior ataque hacker da história do sistema financeiro nacional. A Polícia Federal também acompanha o caso.
O desligamento da C&M impede temporariamente que ela movimente recursos via SPB. Caso fique comprovado o envolvimento da empresa por negligência ou falhas graves, ela pode enfrentar sanções regulatórias.
Um ponto que chamou atenção dos investigadores é o destino dos recursos desviados. Parte do valor foi movimentado para plataformas de criptoativos integradas ao Pix, como exchanges, gateways e mesas OTC. O objetivo dos golpistas era converter os valores em USDT e bitcoin, dificultando o rastreio.
.jpg)
Nenhum comentário:
Postar um comentário