Engenharia Social em Segurança Cibernética e o Furto Qualificado de 1 Bi em Reais - Uma Reflexão.
I Engenharia Social na Segurança Cibernética:
Engenharia social é um dos pilares mais traiçoeiros nos ataques cibernéticos, e o recente caso do desvio de até R$ 1 bilhão envolvendo o Banco Central (indiretamente) é um exemplo claro de como a vulnerabilidade humana continua sendo o elo mais fraco da corrente de segurança.
"Preso na manhã desta sexta-feira (4) por suspeita de facilitar o roubo bilionário de recursos mantidos em contas do Banco Central, JNR, de 48 anos, era funcionário da empresa de software C&M e trabalhava com TI desde a pandemia, quando resolveu mudar de carreira. Segundo as investigações, R teria recebido um total de R$ 15 mil para vender suas credenciais de acesso ao sistema da C&M e desenvolver um sistema interno que facilitasse o acesso às contas..." (2025, Folhapress).
A engenharia social é uma técnica utilizada por cibercriminosos para manipular pessoas a fim de obter informações confidenciais ou acesso a sistemas protegidos. Diferente de ataques que exploram falhas tecnológicas, a engenharia social se baseia na psicologia humana, explorando a confiança, curiosidade, medo, urgência ou até mesmo a ingenuidade das vítimas.
1.1 - Os ataques: Os criminosos utilizam diversas táticas, entre as mais comuns:
1.1.1 Phishing: Envio de e-mails, mensagens ou ligações falsas que se passam por instituições ou pessoas confiáveis para induzir a vítima a revelar informações sensíveis (senhas, dados bancários) ou a clicar em links maliciosos que instalam malware.
1.1.2 Pretexting: Criação de um cenário ou história convincente para enganar a vítima e obter informações. O atacante pode se passar por um suporte técnico, um colega de trabalho ou um fornecedor, por exemplo.
1.1.3 Baiting (Isca): Oferecer algo atraente (um brinde, um download gratuito, um dispositivo USB "esquecido") para que a vítima caia na armadilha e execute ações que comprometam sua segurança.
1.1.4 Tailgating (Perseguição): Entrar em áreas restritas seguindo de perto uma pessoa autorizada, muitas vezes sob o pretexto de ter esquecido o crachá ou estar com as mãos ocupadas.
1.1.5 Quid Pro Quo: Oferecer um "serviço" (como resolver um problema técnico falso) em troca de informações confidenciais ou acesso.
2 Os impactos desses ataques é gigantesco.
Eles podem resultar em:
2.1 Perda de dados: Informações pessoais, financeiras ou corporativas são roubadas.
2.2 Perdas financeiras: Fraudes bancárias, desvio de fundos e extorsão.
2.3 Comprometimento de sistemas: Acesso não autorizado a redes e infraestruturas críticas.
2.4 Danos à reputação:
2.4.1 Empresas e indivíduos podem ter sua imagem e credibilidade seriamente abaladas.
III O Furto qualificado de R$ 1 Bilhão envolvendo o Banco Central:
O caso recente mencionado neste artigo, com um desvio que pode chegar a R$ 1 bilhão, é um exemplo notável de como a engenharia social pode ser devastadora, mesmo em ambientes com alta segurança tecnológica.
Diferente do famoso assalto ao Banco Central em Fortaleza (2005), que foi um furto físico por meio de um túnel e levou R$ 164,8 milhões em dinheiro (valor da época), este novo caso não envolveu uma invasão direta aos sistemas do Banco Central.
Em vez disso, a engenharia social foi o principal vetor de ataque a uma empresa terceirizada, a C&M Software, que atua como intermediária para conectar diversas instituições financeiras ao sistema do Pix do Banco Central.
3.1 Detalhes do ocorrido:
3.1.1 Vetor de ataque: Aparentemente, o ataque não foi uma falha tecnológica nos sistemas do Banco Central ou da C&M, mas sim a manipulação de um funcionário terceirizado da C&M Software.
3.1.2 Acesso indevido: O funcionário teria sido aliciado e repassou suas credenciais de login e senha a terceiros, além de ter executado comandos no computador da C&M que permitiram o desvio de valores.
3.1.2 A) Funcionamento do golpe: Com as credenciais em mãos, os criminosos conseguiram autorizar transações fraudulentas via Pix a partir das contas-reservas de instituições financeiras clientes da C&M, que são depositadas no Banco Central para garantir suas operações.
3.1.2 B) Alvo secundário, dano primário: O ataque explorou uma falha humana em uma empresa parceira para acessar e movimentar fundos que estavam sob a custódia indireta do Banco Central, gerando um prejuízo milionário para as instituições afetadas.
IV Conclusão:
4.1 Respostas e lições aprendidas: O Banco Central agiu rapidamente, desconectando as instituições afetadas para conter o sangramento e, em parte, conseguiu reverter alguns dos valores. Este incidente reforça a necessidade de conscientização e treinamento contínuo de funcionários sobre as táticas de engenharia social; implementação de políticas de segurança robustas, incluindo autenticação multifator e controle rigoroso de acesso; monitoramento constante de atividades suspeitas nos sistemas; verificação de identidade rigorosa e uma cultura de "zero trust", onde nada e ninguém é automaticamente confiável.
Este caso serve como um lembrete contundente de que, por mais avançada que seja a tecnologia de segurança, o fator humano continua sendo uma das maiores vulnerabilidades. A segurança cibernética eficaz exige uma abordagem que combine tecnologia, processos e, crucialmente, a educação, ética e zelo pelo comprometimento institucional das pessoas.
Fonte: https://www-otempo-com-br.cdn.ampproject.org/v/s/www.otempo.com.br/brasil/2025/7/4/quem-e-o-hacker-preso-acusado-de-facilitar-roubo-de-r-1-bilhao-em-contas-no-bc.amp?amp_gsa=1&_js_v=a9&usqp=mq331AQIUAKwASCAAgM%3D#amp_tf=De%20%251%24s&aoh=17518050348349&referrer=https%3A%2F%2Fwww.google.com&share=https%3A%2F%2Fwww.otempo.com.br%2Fbrasil%2F2025%2F7%2F4%2Fquem-e-o-hacker-preso-acusado-de-facilitar-roubo-de-r-1-bilhao-em-contas-no-bc
