O operador de TI João Nazareno Roque, de 48 anos, foi preso na quinta-feira (3) em São Paulo, suspeito de facilitar um dos maiores ataques cibernéticos já registrados no sistema financeiro brasileiro. Ele é funcionário da C&M, empresa que conecta bancos menores aos sistemas do Banco Central, como o Pix.
O ataque atingiu sistemas da companhia de tecnologia responsável por essa conexão, e especialistas em cibersegurança e empresas afetadas estimam que entre R$ 800 milhões e R$ 1 bilhão tenham sido furtados digitalmente.
O caso é considerado um dos maiores ataques hacker da história do Brasil. No entanto, novas informações indicam que o incidente pode ter sido resultado de uma ação de engenharia social, ou seja, menos tecnológico do que parecia inicialmente.
Como ele agiu
Segundo a polícia, Roque vendeu sua senha de acesso a um sistema confidencial e colaborou na criação de um programa para viabilizar os desvios financeiros por R$ 15 mil. Em depoimento, ele afirmou que só mantinha contato com os criminosos por celular, não os conhecia pessoalmente e trocava de aparelho a cada 15 dias para dificultar seu rastreamento. As informações são do Estadão.
Ao ser ouvido pelos investigadores, Roque disse que foi abordado por criminosos externos à empresa e que teria sido a “porta de entrada” que facilitou o acesso dos hackers às contas.
Os investigadores destacaram que, apesar de não ser possível estimar com exatidão o valor total do golpe, ele é, sem dúvida, o maior da história do país. Todas as transferências foram realizadas via Pix, mas nem o Banco Central nem a população sofreram prejuízos.
Perfil do suspeito
No LinkedIn, ele apresenta 20 anos de experiência como eletricista residencial e predial, além de quatro anos como técnico de instalação de TV a cabo. Ele define sua experiência em tecnologia como “pequena”, focada na instalação de câmeras, computadores e distribuição de redes.
Nas redes sociais, Roque compartilha que se destacou ao investir em um curso superior, mostrando interesse em aprender e se reposicionar no mercado de tecnologia. O curso, realizado entre 2020 e 2023, o qualificou como desenvolvedor back-end júnior — profissional responsável por programar e manter parte dos sistemas que não são visíveis ao usuário final.
Em sua página, ele cita o filme O Senhor Estagiário, estrelado por Robert De Niro e Anne Hathaway. Me identifico muito com ele. Não me chamo Ben, nem tenho 70 anos, mas já estou numa idade em que muitos esperam estar em cargos C-level, e eu estou aqui com muita vontade de recomeçar, com o brilho nos olhos e a disposição de um menino para dar o meu melhor, além de aprender tudo o que puder”, escreveu.
A proposta dos hackers
Foi justamente por sua função na C&M que Roque foi abordado pelos hackers. Conforme relato à Delegacia de Crimes Cibernéticos, o primeiro contato ocorreu em março, quando um homem demonstrou conhecer detalhes do seu trabalho ao abordá-lo na saída de um bar em São Paulo.
— Ele foi cooptado em um bar perto de casa pelos criminosos, que sabiam onde ele trabalhava, e recebeu a oferta de R$ 5 mil pelas credenciais. Depois, recebeu mais R$ 10 mil — afirmou o delegado.
Pouco depois, ele recebeu uma proposta via WhatsApp para entregar suas credenciais em troca de R$ 5 mil. Após aceitar, forneceu login e senha corporativos. Duas semanas depois, criou uma conta na plataforma Notion para receber instruções sobre como operar o sistema remotamente e passou a executar comandos a partir do seu computador.
Como foi o ataque?
Esse tipo de ataque é chamado de “supply chain” (ou cadeia de suprimentos). Nele, os criminosos não invadem diretamente os alvos principais – como bancos –, mas sim empresas parceiras com acesso privilegiado. Usando credenciais dessas terceirizadas, eles conseguem operar dentro do sistema como se fossem usuários legítimos.
— Os criminosos exploraram a confiança estabelecida entre os bancos e seus prestadores para se infiltrar indiretamente no ecossistema financeiro — explica Hiago Kin, presidente do Instituto Brasileiro de Resposta a Incidentes Cibernéticos (Ibrinc).
A ação teria ocorrido em quatro fases:
- Engenharia social contra funcionários, induzindo o fornecimento de acessos ou instalação de softwares de controle remoto
- Reconhecimento interno, mapeando sistemas e testando credenciais sem acionar alertas
- Acesso a sistemas de produção, incluindo contas de liquidação e reserva
- Execução rápida, com transações fora do horário comercial e conversão dos valores para criptoativos, dificultando o rastreio
A especialista Micaella Ribeiro, da IAM Brasil, afirma que a operação envolveu múltiplos agentes e foi altamente coordenada.
Posicionamento da C&M Software
A empresa C&M Software divulgou nota afirmando que colabora integralmente com as investigações. “Desde o início, tomamos todas as medidas técnicas e legais necessárias, mantendo rigoroso monitoramento e controle de segurança em nossos sistemas”, disse.
Ainda segundo a empresa, sua estrutura de proteção foi fundamental para identificar a origem do acesso irregular e auxiliar nas apurações.
“Até o momento, as evidências indicam que o incidente teve origem em técnicas de engenharia social para obtenção indevida de credenciais, e não em falhas nos nossos sistemas ou tecnologia. A C&M não foi a fonte do incidente e segue operando normalmente, com todos os seus serviços em funcionamento”, concluiu.
