Os mais de R$ 26 milhões desviados no mais recente ataque hacker com transações via Pix foram distribuídos em contas mantidas em 30 instituições financeiras e de pagamento. De acordo com a lista, à qual o Finsiders Brasil teve acesso, a maior parte dos valores se concentrou em seis instituições: Caixa Econômica Federal, Corpx Bank, Will Financeira, BTG Pactual, C6 Bank e Mercado Bitcoin. Cerca de R$ 10,3 milhões (ou quase 40% dos recursos) foram parar em contas na Caixa.
Os dados mostram que o restante das transferências foi fragmentado em valores menores, distribuídos entre bancos tradicionais, cooperativas de crédito e fintechs [veja relação completa ao final da matéria]. O que não se sabe ainda é quais contas foram apenas “usadas” e quais – ou se – realmente faziam parte do esquema do golpe.
Segundo informações do site PlatôBR, o roubo dos R$ 26 milhões da FictorPay envolveu 282 transações por Pix para 271 contas laranjas. Mas o número de instituições afetadas pode ser maior e o valor, chegar a R$ 40 milhões. Isso porque o incidente atingiu uma fornecedora da FictorPay, a Diletta, como revelou o Finsiders Brasil. Trata-se de uma empresa de Campinas (SP) especializada em softwares white label (com a marca do parceiro) para o setor financeiro. Procurada, a Diletta confirmou ter sido vítima de um ataque cibernético. Porém, não deu mais detalhes sobre o caso.
O caso
De acordo com fontes a par do assunto, o ataque teria ocorrido de forma semelhante aos episódios envolvendo C&M Software e Sinqia, ambas Provedoras de Serviço de Tecnologia da Informação (PSTIs) junto ao Banco Central (BC). Ou seja, os criminosos teriam comandado a invasão aos sistemas da Diletta mediante credenciais de acesso cedidas por um funcionário da empresa.
Leia também
A diferença crucial em relação aos casos anteriores é que a Diletta é uma fabricante de softwares, e não tem conexão com o BC. A empresa faz parcerias com instituições reguladas que operam no modelo de Banking as a Service (BaaS). Ou seja, um ataque desse tipo acaba sendo bastante difícil de ser “rastreado” pelo regulador. Pelo menos até que se tenha regras claras para o BaaS.
No caso da FictorPay, por exemplo, um de seus parceiros é a Celcoin, empresa de infraestrutura financeira autorizada pelo BC. Ambas as empresas negaram impacto em seus sistemas.
O novo ataque ocorre em meio a um esforço recente do BC para reforçar a segurança do ecossistema financeiro. Na visão de especialistas e executivos, o momento exige cooperação. O endurecimento das normas, embora necessário, não basta. É preciso união entre os players, e controles em múltiplas camadas para reforçar a confiança.
O Finsiders Brasil procurou Caixa, Corpx Bank, Will Financeira, BTG Pactual, C6 Bank e Mercado Bitcoin, mas até o momento da publicação da reportagem não obteve retorno.
