Maior golpe cibernético da história do Brasil: como um ataque via PIX desviou R$ 541 milhões em 3 horas
- Marketing Fora de Série
- há 6 dias
- 2 min de leitura
Na madrugada de 30 de junho de 2025, o sistema financeiro brasileiro entrou para a história, da pior forma possível. Um ataque cibernético coordenado desviou R$ 541 milhões da instituição de pagamento BMP por meio de transferências via PIX, utilizando acesso privilegiado de um funcionário da empresa C&M Software. Segundo a Polícia Civil de São Paulo, trata-se do maior golpe digital já registrado contra instituições financeiras no país.
A ação durou menos de três horas. E o mais alarmante: foi viabilizada por um único ponto de falha humana.
Entenda o caso: ataque via engenharia social e vazamento interno
O epicentro da operação foi João Nazareno Roque, operador de TI da C&M Software, empresa que interliga instituições financeiras ao Banco Central para transações PIX. Segundo as investigações, João foi abordado em março por um grupo de hackers interessados em mapear os sistemas da empresa onde trabalhava. Em troca de R$ 15 mil, ele cedeu suas credenciais de acesso e prestou suporte técnico para facilitar a invasão.
Na madrugada do dia 30, utilizando esse acesso legítimo, os cibercriminosos simularam transações em nome das instituições atendidas pela C&M. Com isso, realizaram transferências em massa que somaram R$ 541 milhões apenas da conta da BMP, valor que, segundo a polícia, ainda pode ser muito maior quando consideradas outras instituições afetadas.
Um rombo invisível: o risco do fator humano na segurança digital
O caso é emblemático porque evidencia que não basta investir em tecnologia, é fundamental investir em cultura de segurança da informação. A própria C&M destacou que o ataque não decorreu de falhas nos sistemas, mas sim do compartilhamento indevido de credenciais, uma típica técnica de engenharia social.
Esse tipo de golpe é silencioso, sofisticado e extremamente difícil de detectar em tempo real. Quando bem-sucedido, pode comprometer todo um ecossistema financeiro, como ocorreu neste incidente.
A resposta das autoridades
A Polícia Civil de São Paulo, em conjunto com a Polícia Federal e o Ministério Público, instaurou uma força-tarefa para rastrear os envolvidos, bloquear contas suspeitas e recuperar valores desviados. Até o momento, R$ 270 milhões foram congelados em uma única conta, e os dispositivos eletrônicos de João Roque estão sob análise pericial.
O Banco Central, por sua vez, esclareceu que não possui vínculo com a C&M ou seus colaboradores, reforçando que a empresa presta serviços diretamente às instituições financeiras, e não ao BC.
O que a sua empresa pode aprender com esse ataque?
A lição é clara: a maior vulnerabilidade não está apenas no sistema, mas nas pessoas que o operam. Mesmo empresas com estruturas robustas estão sujeitas a ataques quando não há:
Treinamento contínuo em segurança cibernética
Monitoramento de acessos sensíveis
Gestão de riscos com base em políticas de compliance e LGPD
Protocolos rigorosos para autenticação e rastreabilidade
Incidentes como esse deixam um alerta para todo o mercado: o custo de ignorar a segurança da informação pode ser devastador.
Sua empresa está realmente protegida contra ameaças internas e ataques cibernéticos?
Na Omnisblue, atuamos com soluções completas de LGPD, compliance digital e segurança da informação. Ajudamos empresas a prevenir vazamentos, blindar dados sensíveis e educar seus times contra técnicas de engenharia social.
Fale com nossos especialistas e descubra como proteger o seu negócio antes que ele vire manchete.
Fonte: G1
Fonte: CNN
Kommentare