A Polícia Civil de São Paulo prendeu nesta quinta-feira (3) João Nazareno Roque, funcionário da C&M Softwares, acusado de participar do maior golpe digital já registrado contra instituições financeiras no país. O crime, que desviou cerca de R$ 500 milhões, ocorreu na madrugada do dia 30 de junho, por meio de um esquema de engenharia social facilitado por um insider dentro da própria empresa.
Fraude em sistema do Pix revela vulnerabilidade na segurança digital
De acordo com as investigações, o golpe foi possibilitado por João Roque, que, sob influência de um grupo criminoso, permitiu o acesso indevido ao sistema de transferências do Pix da BMP Instituição de Pagamento S/A. Inicialmente, suspeitava-se de um ataque hacker, mas ficou comprovado que o crime foi facilitado por um funcionário que cedeu suas credenciais após abordagem na rua em março deste ano.
Como aconteceu o esquema
Na ocasião, João foi abordado por um homem que sabia onde ele trabalhava e ofereceu R$ 5 mil inicialmente para que entregasse suas credenciais. A promessa era de receber outros R$ 10 mil após a execução do acesso. Durante a madrugada, João acessou o sistema com suas credenciais e iniciou transferências em massa, totalizando mais de R$ 500 milhões, até às 7h da manhã, quando as operações foram interrompidas.
Segundo delegado Renato Topam, da Delegacia de Crimes Cibernéticos, a vítima foi acionada por uma outra empresa, alegando que havia recebido valores por engano. “Ele recebeu uma mensagem dizendo que vinha um dinheiro de vocês para nós. Então, o responsável pela BMP foi até a sede da própria empresa, sem saber que se tratava de um golpe”, explicou durante coletiva de imprensa nesta sexta-feira.
Investigação e cadeia de comando
João Roque revelou às autoridades que só conversava com um grupo de quatro homens por mensagens e ligações, tendo visto apenas um deles pessoalmente na abordagem na rua. O suspeito ainda não constituiu advogado e as investigações continuam em parceria com o Ministério Público e a Polícia Federal para identificar os demais envolvidos.
Engenharia social e insider como vulnerabilidades
O delegado Paulo Barbosa apontou que o crime foi fruto de engenharia social, uma modalidade de golpe que não depende de invasão digital, mas da cooptação de pessoas com acesso autorizado. “O João é um insider, uma peça fundamental no esquema, que forneceu suas credenciais, facilitando a entrada do grupo criminoso”, afirmou.
Retomada do sistema Pix para clientes autorizados
A C&M Softwares declarou que a retomada do sistema Pix estará disponível somente para clientes que autorizarem, e que trabalha para normalizar suas operações o mais breve possível. Segundo a empresa, as diligências estão em andamento para localizar os demais envolvidos e reforçar os mecanismos de segurança.
Para entender mais sobre o tema, confira a reportagem completa sobre o golpe de engenharia social e as vulnerabilidades do sistema Pix neste link.
