O operador de TI João Nazareno Roque foi preso acusado de ter facilitado um dos maiores ataques hackers ao sistema financeiro brasileiro. Ao ser interrogado pelos investigadores da Delegacia de Crimes Cibernéticos do DEIC, ele afirmou que vendeu sua senha de acesso por R$ 15 mil e trocava de celular a cada 15 dias para não ser rastreado.
Como o esquema funcionou
Nazareno trabalhava na empresa C&M Software havia aproximadamente três anos. A C&M é uma empresa que interliga bancos menores aos sistemas do Banco Central, como o PIX.
Em março, ao sair de um bar em São Paulo, ele foi abordado por um homem que já sabia que ele trabalhava numa empresa de sistemas de pagamentos — informação que havia sido vazada por amigos dos hackers. Uma semana depois, o suspeito de aliciamento fez contato por telefone oferecendo R$ 5 mil pelo acesso ao sistema.
Cerca de 15 dias depois, o mesmo criminoso fez um segundo contato, oferecendo outros R$ 10 mil para que Nazareno executasse comandos dentro da plataforma. O pagamento foi feito em dinheiro vivo, com cédulas de R$ 100 entregues por um motociclista.
"Ao todo, o funcionário da C&M disse que falou com quatro hackers diferentes durante o processo de ataque ao sistema do banco BMP." — G1
O ataque e seus impactos
Os comandos foram executados dentro do sistema no mês de maio, afetando a empresa BMP Instituição de Pagamento S/A — alvo do ataque e cliente da C&M. A cada vez que os hackers faziam contato, utilizavam um número de telefone diferente.
Roque foi preso no bairro de City Jaraguá, na Zona Norte de São Paulo.
O que diz a C&M Software
Em nota, a C&M Software informou que colabora de forma proativa com as autoridades competentes nas investigações. A empresa afirmou que as evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso, e não de falhas nos sistemas ou na tecnologia da empresa.
O risco do insider threat
Este caso ilustra com clareza o risco do chamado insider threat — a ameaça interna, representada por funcionários ou prestadores de serviço que, voluntariamente ou sob coerção, fornecem acesso a sistemas críticos.
A engenharia social foi o vetor de entrada: os criminosos identificaram previamente o funcionário, mapearam seu perfil e o abordaram de forma calculada. Isso demonstra que a segurança da informação não pode se limitar a barreiras tecnológicas — ela exige também conscientização, treinamento e monitoramento comportamental de todos os colaboradores com acesso a dados sensíveis.
