A tentativa de invasão ao sistema da Caixa Econômica Federal, ocorrida em 12 de setembro, expôs a vulnerabilidade do PIX, sistema de pagamentos instantâneos que se tornou alvo crescente de criminosos. Nos últimos dois meses, ações coordenadas por hackers conseguiram desviar mais de R$ 1,2 bilhão de diversas instituições financeiras.
A Polícia Federal (PF) agiu rapidamente no caso da Caixa, prendendo oito suspeitos em flagrante e apreendendo um computador roubado da instituição. Investigações apontam que o grupo pode estar ligado a fraudes anteriores, tendo obtido acesso ao notebook e credenciais através do gerente de uma no Brás, em São Paulo. O banco chegou a alertar sobre o roubo do dispositivo, conforme apurado.
O modus operandi se assemelha aos ataques contra a C&M Software e a Sinqia, onde os criminosos acessaram senhas e sistemas internos para transferir fundos de contas de reserva das empresas, utilizadas para processar movimentações financeiras. Importante ressaltar que não houve invasão à estrutura do Banco Central nem desvio de dinheiro de contas de clientes bancários.
PIX na Mira: Ataques Bilionários Revelam Falhas
Especialistas apontam que o aumento da frequência desses ataques está ligado ao crescimento exponencial do PIX desde 2020, que o tornou um alvo mais atrativo para criminosos em busca de brechas de segurança. A ausência de padrões de segurança uniformes e elevados para todos os participantes do sistema, incluindo provedores de serviços de tecnologia da informação (PSTIs), também contribui para a vulnerabilidade.
Empresas como C&M Software e Sinqia atuam como intermediários, conectando instituições financeiras ao Banco Central. Nathália Carmo, especialista em segurança cibernética, destaca que a concentração de dependência em um único intermediário aumenta o risco de ataques, criando um ponto único de falha. Ela enfatiza a necessidade de monitoramento mais rigoroso sobre esses intermediários, cujos sistemas precisam estar em conformidade com os padrões de segurança.
Diante desse cenário, o Banco Central decidiu antecipar o prazo para que todas as instituições de pagamento solicitem autorização para operar, visando fortalecer o controle sobre os padrões de segurança das empresas e “separar o joio do trigo”. A expectativa é que, com a exigência de autorização, haja mais controle sobre padrões de segurança e políticas contra lavagem de dinheiro.
PIX na Mira
Além das novas regras, especialistas defendem a implementação de filtros mais robustos contra movimentações suspeitas, com o uso de inteligência artificial para identificar e bloquear transações fraudulentas. Geraldo Guazzelli, da Netscout, ressalta que a maior fragilidade reside no uso de credenciais legítimas obtidas por meio de roubo ou compra, combinada com a exploração de falhas nos sistemas.
