Fintech é alvo de novo ataque hacker. Criminosos roubam R$ 26 milhões

O sistema financeiro nacional foi novamente alvo de um ataque hacker. No último domingo (19/10), foi a vez da fintech FictorPay sofrer a ação de criminosos, que roubaram pelo menos R$ 26 milhões da instituição financeira.

A fintech é controlada pela holding Fictor, uma empresa de participações e gestão que atua nos setores de indústria alimentícia, serviços financeiros e infraestrutura. A empresa, fundada em 2007, conta com cerca de 4 mil funcionários. A informação sobre o novo ataque hacker foi publicada inicialmente pelo PlatôBR.

Como foi o ataque

Para atacar a FictorPay, os hackers se valeram de uma brecha em aplicativos internos da companhia e efetuaram pelo menos 280 transações via Pix para cerca de 270 “contas-laranja” em vários bancos e outras fintechs.

Por meio dessa vulnerabilidade no sistema, os criminosos acessaram a conta de uma prestadora de serviço da fintech, o que possibilitou os saques. Essas transferências não estiveram sujeitas à limitação de valores imposta pelo Banco Central (BC) – a FictorPay não é participante do Pix.

A empresa se conecta ao sistema por meio de prestadoras de serviço que, em tese, se enquadram nas regras da autoridade monetária brasileira e não tiveram seus sistemas atingidos.

Uma das companhias que prestam serviço à FictorPay é a Celcoin. Em nota, a empresa informou que não houve qualquer invasão ou comprometimento de sua infraestrutura de tecnologia, mas uma “movimentação atípica” na conta de um cliente.

“Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente. As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo ‘white label’ utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente”, disse a empresa.

“Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, mantendo contato direto com as autoridades competentes. Reafirmamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil”, completa a empresa.

Até o momento, o BC não se manifestou sobre o incidente.

Em nota, a FictorPay disse que foi comunicada “sobre uma atividade irregular em ambiente tecnológico de um prestador de serviços que atende diversas companhias, entre elas a empresa”.

“A ocorrência está sendo apurada pela própria prestadora, com o apoio de especialistas em segurança da informação, e até o momento não há registro de qualquer impacto nos sistemas próprios da FictorPay”, diz a nota.

“A companhia compreende a gravidade do ocorrido e reafirma seu compromisso com a segurança e a integridade dos dados de seus clientes e parceiros. As medidas necessárias já estão sendo adotadas, e a empresa segue colaborando com as autoridades para o total esclarecimento dos fatos”, completa a FictorPay.

O novo episódio se soma a outros quatro ataques hackers contra o sistema financeiro do país registrados nos últimos três meses, que tiveram como principais alvos a C&M Software e a Sinqia, além da fintech gaúcha Monetarie (cujo nome-fantasia é Monbank) e da E2 Pay, mais recentemente.

Essas empresas interligam instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo BC em 2020 e amplamente utilizado pelos brasileiros.

Nos casos envolvendo C&M e Sinqia, os hackers também atingiram contas de reserva de instituições financeiras que usavam os sistemas das respectivas provedoras de serviços de tecnologia da informação (PSTIs). Essas contas são mantidas pelo BC e funcionam para a liquidação de operações interbancárias, como Pix, TEDs (Transferências Eletrônicas Disponíveis) e boletos.

Novas normas do BC

No início de setembro, o BC anunciou uma série de normas para reforçar a segurança do Sistema Financeiro Nacional (SFN), alvo de recentes ataques promovidos por grupos criminosos, para combater a atuação do crime organizado no sistema financeiro.

O BC fixou um teto de R$ 15 mil em operações via TED e Pix para instituições de pagamentos não autorizadas e as que se conectam ao SFN por meio de prestadores de serviços de tecnologia de informação (PSTI).

Essa limitação poderá ser removida assim que o participante e o respectivo prestador de serviços “atenderem aos novos processos de controle de segurança” previstos pelo Banco Central. Os participantes que comprovarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias.

O BC também prevê que, a partir de agora, “nenhuma instituição de pagamento poderá começar a operar sem prévia autorização” da autoridade monetária. As que já operam precisam solicitar autorização ao BC até maio de 2026.

Além disso, a instituição de pagamento que estiver prestando serviços e tenha o pedido de autorização indeferido deverá encerrar as atividades em até 30 dias, conforme determinação do BC.

Casos recentes

O registro de mais um ataque hacker contra o sistema financeiro do Brasil acontece cerca de 50 dias depois de a Sinqia – empresa de tecnologia que presta serviços para instituições financeiras – ter sido alvo da ação de criminosos digitais. Por meio de nota, a empresa estimou em cerca de R$ 710 milhões o tamanho do rombo.

Estima-se que o BC tenha conseguido bloquear, até aqui, cerca de R$ 360 milhões do montante desviado no caso da Sinqia. A autoridade monetária ainda não se manifestou sobre o caso. De acordo com a Sinqia, foi identificada uma atividade não autorizada em seu ambiente que acessa o sistema do Pix.

“Ao detectar esse incidente, e agindo de acordo com seus protocolos de resposta, a Sinqia suspendeu o processamento de transações em seu ambiente Pix e começou a trabalhar com especialistas de cibersegurança externos”, disse a empresa, na época.

A Sinqia afirmou ainda que, segundo uma investigação preliminar, as transações não autorizadas ocorreram por meio da exploração de credenciais legítimas de fornecedores de Tecnologia da Informação (TI) da empresa. Após o incidente, todos os acessos a essas credenciais foram encerrados.

Em junho, o ataque hacker à C&M Software gerou repercussão nacional e resultou em um prejuízo estimado em mais de R$ 1 bilhão. Na ocasião, a Polícia Civil de São Paulo investigou a atuação ilegal de um funcionário da empresa, João Nazareno Roque, que teria negociado credenciais de acesso ao sistema aos criminosos. Ele está preso.

Os criminosos invadiram os sistemas da C&M e tiveram acesso a inúmeras contas. Uma das instituições mais afetadas foi a BMP, uma provedora de serviços de “banking as a service” que está em operação desde 1999 e perdeu pelo menos R$ 541 milhões. O episódio é considerado o maior ataque hacker da história do país no setor financeiro.

Em setembro, foi a vez de a fintech Monetaire ser alvo dos hackers. Os criminosos deviaram cerca de R$ 4,9 milhões de uma conta de reserva da empresa.

Também no mês passado, o BC emitiu um alerta de segurança informando sobre a ocorrência de um novo ataque hacker contra uma instituição de pagamento não autorizada a funcionar pela autoridade monetária.