Um funcionário da C&M Software, empresa que sofreu nesta semana o maior ataque da história do sistema financeiro, foi preso na noite desta quinta-feira, 3, e confessou ter vendido seu login e senha por R$ 15 mil.
De acordo com o Valor Econômico, João Nazareno Roque, de 48 anos, atuava como desenvolvedor back-end júnior e disse que foi abordado em um bar por um dos hackers, que sabia que ele era funcionário da companhia que conecta instituições financeiras ao Banco Central.
A Polícia Civil de São Paulo informou que Roque recebeu um “sinal” de R$ 5 mil dos criminosos para começar a fornecer as informações. Em seguida, ele recebeu mais R$ 10 mil dos criminosos para fornecer mais informações.
Os contatos seguintes foram feitos por ligação em aplicativos de mensagem. Roque disse à Polícia ter identificado ao menos quatro vozes diferentes.
Segundo o funcionário preso, os hackers usaram a credencial da BMP, um dos clientes da C&M, para acessar o Sistema de Pagamentos Brasileiro (SPB). A partir disso, os criminosos começaram as transferências via Pix por volta das 4h30 da madrugada de segunda-feira, 30.
Conforme a Polícia Civil, a BMP teve mais de R$ 500 milhões desviados e foi a única das 23 empresas clientes da C&M que reportou o desvio e alertou um funcionário da C&M sobre as movimentações suspeitas.
Depois de identificar uma das instituições financeiras que recebeu as transferências, a polícia decretou a suspensão das atividades.
Enquanto coautor do crime, Roque responde por associação criminosa e furto mediante fraude. As investigações devem continuar em busca dos outros envolvidos.
Também na última quinta-feira, 3, o Banco Central autorizou a C&M a operar parcialmente.
Por enquanto, as operações da empresa poderão ser restabelecidas em dias úteis, das 6h30 às 18h30, “desde que haja anuência expressa da instituição participante do Pix e o robustecimento do monitoramento de fraudes e limites transacionais”.
A companhia conecta instituições financeiras ao BC através do Sistema de Pagamentos Brasileiro (SPB) e o Sistema de Pagamentos Instantâneos (SPI).
