Ciberataque via PIX expõe falhas humanas e o poder da engenharia social
 |
Nos últimos dias, o Brasil foi palco de um dos ciberataques mais impactantes de sua história, com prejuízos estimados entre R$ 541 milhões e R$ 1 bilhão desviados pelo sistema PIX. O ponto de vulnerabilidade foi a C&M Software, uma empresa que facilita a conexão de instituições financeiras ao Banco Central.
O que torna esse caso tão alarmante não é apenas
o valor roubado, mas a facilidade com que foi executado. Um funcionário
confessou ter fornecido suas credenciais por R$ 15 mil, abrindo caminho para os
criminosos. Esse incidente destaca o poder devastador da engenharia social, que
explora a psicologia humana para contornar até as defesas mais sofisticadas. O
ataque à C&M Software deixa claro que o maior risco à cibersegurança ainda
está nas pessoas.
 |
| Crédito de Imagem: SBTNEWS Um funcionário de TI da C&M Software foi preso e está sob investigação. https://sbtnews.sbt.com.br/noticia/policia/policia-de-sp-prende-suspeito-de-invasao-hacker-que-desviou-milhoes-via-pix |
A história desse funcionário revela como a engenharia social transforma indivíduos em alvos frágeis. Imagens de segurança da empresa capturaram o técnico de TI acessando sistemas às 17h57 de um domingo, um horário incomum que deveria ter levantado suspeitas. Preso dias depois, ele admitiu ter sido abordado por desconhecidos ao deixar um bar próximo de sua residência.
Os criminosos, já cientes de sua posição na empresa, ofereceram R$
5 mil pelas credenciais de acesso e mais R$ 10 mil para executar instruções
recebidas por celular. Esse caso ilustra como a engenharia social usa
informações pessoais e momentos do cotidiano para criar armadilhas quase
irresistíveis, explorando vulnerabilidades humanas com precisão.
A força da engenharia social está em sua habilidade de manipular emoções como ganância, medo ou confiança. No caso desse funcionário, a oferta financeira parece ter sido o principal motivador. Mas outras táticas, como e-mails falsos ou ligações simulando urgência, também podem ter sido usadas para reforçar a pressão.
Um exemplo comum é um e-mail disfarçado de
comunicado interno, pedindo a atualização imediata de senhas, ou uma chamada de
alguém se passando por representante do Banco Central, exigindo acesso para
“corrigir falhas”. Essas estratégias, conhecidas como pretexting, exploram
nossa inclinação natural a seguir ordens de figuras de autoridade ou agir
impulsivamente sob estresse. O ataque demonstra como os criminosos constroem
narrativas persuasivas para alcançar seus objetivos.
 |
| freepik.com/autor/dcstudio |
A escolha do funcionário de vender suas credenciais levanta reflexões sobre fatores pessoais e falhas organizacionais. O que leva alguém com acesso a sistemas críticos a comprometer toda a segurança? O incidente reforça a necessidade de as empresas investirem no bem-estar e na capacitação de seus colaboradores.
Uma cultura que incentive denúncias, ofereça suporte
emocional e promova treinamentos contínuos pode evitar que funcionários se
tornem presas fáceis. A C&M Software afirmou que o problema surgiu do uso
indevido de credenciais, não de falhas tecnológicas. Isso só confirma que a
raiz do problema está nas pessoas que operam os sistemas.
O ataque também expõe fragilidades estruturais no setor financeiro. Empresas como a C&M Software enfrentam pressão para inovar e integrar rapidamente seus serviços as novas tecnologias, mas nem sempre acompanham com o mesmo rigor os protocolos de segurança. A urgência para atender o mercado pode ter resultado em controles frágeis sobre acessos a sistemas sensíveis.
Ferramentas como autenticação multifator, monitoramento em
tempo real e auditorias frequentes poderiam ter identificado o acesso fora de
padrão do funcionário. O Banco Central, ao reforçar normas de segurança após o
incidente, tenta corrigir essas falhas. Mas o caso deixa evidente que a
inovação deve caminhar junto com uma base sólida de cibersegurança,
especialmente quando o fator humano ainda é tão vulnerável.
As empresas precisam priorizar a educação em cibersegurança, com treinamentos que ensinem a identificar tentativas de engenharia social, como mensagens suspeitas ou abordagens fraudulentas. Simulações de ataques e testes regulares podem preparar equipes para reagir adequadamente.
Além disso,
é essencial criar um ambiente onde os colaboradores se sintam seguros para
reportar incidentes sem receio de punições. O caso da C&M Software é um
alerta de que sem uma equipe consciente e comprometida, nenhum sistema é
seguro. Fintechs e outras organizações devem reconhecer que a cibersegurança
começa com as pessoas.
O ataque à C&M Software marca um momento crítico para o setor financeiro brasileiro. Ele prova que a engenharia social não é uma ameaça secundária, mas a principal arma dos cibercriminosos. Enquanto ignorarmos as fraquezas emocionais e culturais que nos tornam alvos, os hackers terão a vantagem.
O futuro da cibersegurança depende de uma abordagem integrada, unindo
tecnologias como inteligência artificial para detectar anomalias a uma cultura
de segurança que fortaleça os colaboradores. A proteção das empresas exige que
encaremos a realidade: o maior perigo não está nos sistemas, mas nas mentes de
quem os gerencia. Transformar essa vulnerabilidade em força é o desafio que
definirá a nossa segurança.
Oswaldo Souza
Especialista em IA e Defesa Cibernética | Professor e Pesquisador Científico | Profissional com mais de 10 anos de experiência em Tecnologia da Informação
Profissional com mais de 10 anos de experiência em Tecnologia da Informação, especialista em Defesa Cibernética, Inteligência Artificial e Gestão. Colunista, Professor e Pesquisador científico.
.jpeg)
Nenhum comentário:
Agradeço a sua participação! Compartilhe nossos artigos com os amigos, nas redes sociais. Parabéns