Engenharia Social e o Colapso da Cibersegurança: O Que o Ataque ao Banco Central Ensina Sobre a Força do Fator Humano

 

Crédito de imagem: br.freepik.@dcstudio 

Nos últimos dias, o Brasil foi palco de um dos ciberataques mais impactantes de sua história, com prejuízos estimados entre R$ 541 milhões e R$ 1 bilhão desviados pelo sistema PIX. 

O ponto de vulnerabilidade foi a C&M Software, uma empresa que facilita a conexão de instituições financeiras ao Banco Central. O que torna esse caso tão alarmante não é apenas o valor roubado, mas a facilidade com que foi executado. Um funcionário confessou ter fornecido suas credenciais por R$ 15 mil, abrindo caminho para os criminosos. Esse incidente destaca o poder devastador da engenharia social, que explora a psicologia humana para contornar até as defesas mais sofisticadas. O ataque à C&M Software deixa claro que o maior risco à cibersegurança ainda está nas pessoas.

 

A história desse funcionário revela como a engenharia social transforma indivíduos em alvos frágeis. Imagens de segurança da empresa capturaram o técnico de TI acessando sistemas às 17h57 de um domingo, um horário incomum que deveria ter levantado suspeitas. Preso dias depois, ele admitiu ter sido abordado por desconhecidos ao deixar um bar próximo de sua residência. Os criminosos, já cientes de sua posição na empresa, ofereceram R$ 5 mil pelas credenciais de acesso e mais R$ 10 mil para executar instruções recebidas por celular. Esse caso ilustra como a engenharia social usa informações pessoais e momentos do cotidiano para criar armadilhas quase irresistíveis, explorando vulnerabilidades humanas com precisão.

 

A força da engenharia social está em sua habilidade de manipular emoções como ganância, medo ou confiança. No caso desse funcionário, a oferta financeira parece ter sido o principal motivador. Mas outras táticas, como e-mails falsos ou ligações simulando urgência, também podem ter sido usadas para reforçar a pressão. Um exemplo comum é um e-mail disfarçado de comunicado interno, pedindo a atualização imediata de senhas, ou uma chamada de alguém se passando por representante do Banco Central, exigindo acesso para “corrigir falhas”. Essas estratégias, conhecidas como pretexting, exploram nossa inclinação natural a seguir ordens de figuras de autoridade ou agir impulsivamente sob estresse. O ataque demonstra como os criminosos constroem narrativas persuasivas para alcançar seus objetivos.

 

A escolha do funcionário de vender suas credenciais levanta reflexões sobre fatores pessoais e falhas organizacionais. O que leva alguém com acesso a sistemas críticos a comprometer toda a segurança? O incidente reforça a necessidade de as empresas investirem no bem-estar e na capacitação de seus colaboradores. Uma cultura que incentive denúncias, ofereça suporte emocional e promova treinamentos contínuos pode evitar que funcionários se tornem presas fáceis. A C&M Software afirmou que o problema surgiu do uso indevido de credenciais, não de falhas tecnológicas. Isso só confirma que a raiz do problema está nas pessoas que operam os sistemas.

 

O ataque também expõe fragilidades estruturais no setor financeiro. Empresas como a C&M Software enfrentam pressão para inovar e integrar rapidamente seus serviços as novas tecnologias, mas nem sempre acompanham com o mesmo rigor os protocolos de segurança. A urgência para atender o mercado pode ter resultado em controles frágeis sobre acessos a sistemas sensíveis. Ferramentas como autenticação multifator, monitoramento em tempo real e auditorias frequentes poderiam ter identificado o acesso fora de padrão do funcionário. O Banco Central, ao reforçar normas de segurança após o incidente, tenta corrigir essas falhas. Mas o caso deixa evidente que a inovação deve caminhar junto com uma base sólida de cibersegurança, especialmente quando o fator humano ainda é tão vulnerável.

 

As empresas precisam priorizar a educação em cibersegurança, com treinamentos que ensinem a identificar tentativas de engenharia social, como mensagens suspeitas ou abordagens fraudulentas. Simulações de ataques e testes regulares podem preparar equipes para reagir adequadamente. Além disso, é essencial criar um ambiente onde os colaboradores se sintam seguros para reportar incidentes sem receio de punições. O caso da C&M Software é um alerta de que sem uma equipe consciente e comprometida, nenhum sistema é seguro. Fintechs e outras organizações devem reconhecer que a cibersegurança começa com as pessoas.

 

Aqui está um gráfico que revela a evolução dos ciberataques ao setor bancário no Brasil

No 1º trimestre de 2024, o Brasil teve um aumento de 38% no total de ciberataques, chegando a uma média de 1.770 ataques por organização por semana, um crescimento expressivo frente à média global de 1.155. Entre junho e novembro de 2024, o setor financeiro brasileiro foi alvo de aproximadamente 1.774 ataques semanais por instituição, representando um aumento de 40% em relação ao ano anterior

O ataque à C&M Software marca um momento crítico para o setor financeiro brasileiro. Ele prova que a engenharia social não é uma ameaça secundária, mas a principal arma dos cibercriminosos. Enquanto ignorarmos as fraquezas emocionais e culturais que nos tornam alvos, os hackers terão a vantagem. O futuro da cibersegurança depende de uma abordagem integrada, unindo tecnologias como inteligência artificial para detectar anomalias a uma cultura de segurança que fortaleça os colaboradores. A proteção das empresas exige que encaremos a realidade: o maior perigo não está nos sistemas, mas nas mentes de quem os gerencia. Transformar essa vulnerabilidade em força é o desafio que definirá a nossa segurança.

Boa Leitura!

Oswaldo Souza

Especialista em IA e Defesa Cibernética | Professor e Pesquisador Científico | Profissional com mais de 10 anos de experiência em Tecnologia da Informação

Profissional com mais de 10 anos de experiência em Tecnologia da Informação, especialista em Defesa Cibernética, Inteligência Artificial e Gestão. Colunista, Professor e Pesquisador científico.

Falar com Colunista Linkedin