Neste Artigo
Em julho de 2025, o Brasil presenciou um dos maiores ataques cibernéticos da história do seu setor financeiro. A vítima central foi a C&M Software, empresa especializada em conectar bancos e fintechs ao Sistema de Pagamentos Brasileiro (SPB), incluindo a infraestrutura de mensageria do PIX e TED. Com uma ação altamente sofisticada e orquestrada, os invasores conseguiram acessar ambientes internos da C&M, simular transações legítimas e, por meio de APIs bancárias, transferir mais de R$ 1 bilhão para contas fraudulentas parte das quais foi convertida rapidamente em criptomoedas como Bitcoin e USDT.
Linha do tempo do ataque
25 a 30 de junho de 2025 (suposição técnica): evidências indicam que os primeiros movimentos da invasão ocorreram nesta janela. É provável que os criminosos tenham obtido acesso através de credenciais comprometidas pertencentes a instituições clientes da C&M.
1º de julho de 2025: técnicos da C&M detectam movimentações atípicas em seu sistema de mensageria e notificam imediatamente o Banco Central do Brasil (BCB). O BCB ordena a suspensão completa do tráfego entre a C&M e as instituições integradas, para conter possíveis novos desvios.
2 de julho de 2025: o caso vem a público. A Polícia Federal inicia uma investigação formal, com apoio da Polícia Civil de São Paulo, do BC e da equipe técnica da própria C&M. A estimativa inicial de prejuízo era de R$ 400 milhões, mas logo o número foi revisado para mais de R$ 1 bilhão, com rastros financeiros levando a transações de criptoativos.
Como o ataque foi arquitetado
Segundo os relatórios técnicos e notas divulgadas, o ataque não utilizou malware sofisticado ou falhas zero-day. Em vez disso, os invasores se aproveitaram de um ponto crítico e muitas vezes subestimado: credenciais legítimas mal gerenciadas.
A hipótese mais aceita até agora é que os criminosos:
Obteram credenciais válidas de clientes da C&M Software, provavelmente por meio de phishing, engenharia social, vazamentos anteriores ou malwares.
Usaram essas credenciais para simular requisições legítimas de transferência dentro da estrutura do sistema de mensageria do SPB. Como o sistema é altamente automatizado, as transações pareceram autênticas para os sistemas internos.
Manipularam as transações para enviar valores diretamente de contas reserva mantidas no Banco Central para carteiras controladas pelos atacantes.
Essas contas reserva são usadas para liquidação entre instituições. Ou seja, não envolvem diretamente contas de clientes finais, o que torna o ataque ainda mais técnico: ele afetou o núcleo do sistema bancário, não a superfície.
Reação imediata das instituições
O Banco Central agiu rapidamente ao perceber a gravidade do incidente. Além de bloquear a operação da C&M no sistema SPB, iniciou uma varredura nos logs das instituições conectadas.
A C&M Software emitiu um comunicado reconhecendo o incidente e afirmando que os ataques partiram de “uso indevido de credenciais de clientes”, o que sugere que a própria infraestrutura da empresa pode não ter sido violada diretamente, mas sim usada como meio de passagem.
A empresa BMP Money Plus, uma das mais afetadas, confirmou perdas e acionou o Banco Central para tentar recuperar os valores desviados. Outras empresas, como Bradesco e Credsystem, também foram afetadas, com transações realizadas de forma não autorizada em seus ambientes integrados.
Impacto e prejuízos
Apesar de o Banco Central afirmar que o “prejuízo direto aos usuários finais é improvável”, o ataque abalou a confiança na segurança do ecossistema bancário automatizado. Foram ao menos R$ 1 bilhão desviados sem disparos de alerta interno o que evidencia falhas graves em monitoramento comportamental, segregação de ambiente de testes e produção, e políticas de controle de acesso privilegiado.
Além disso, parte dos valores foi convertida em criptomoedas em tempo real, usando provavelmente gateways com suporte a PIX. Isso dificultou o rastreamento e mostrou o grau de preparo dos atacantes, que conheciam o sistema em profundidade.
Ponto crítico: o elo fraco não foi o Banco Central
Vale ressaltar: o Banco Central não foi hackeado. O que aconteceu foi o comprometimento de uma empresa intermediária com papel técnico crucial. Esse tipo de ataque, chamado de ataque à cadeia de confiança ou ataque por fornecedor, é cada vez mais comum, pois atinge provedores conectados diretamente aos sistemas críticos.
Vectores de Exploração, Técnicas Utilizadas
Vetor de Invasão
As investigações indicam que os invasores não usaram malwares sofisticados nem zero-days. O acesso foi obtido através do uso indevido de credenciais legítimas de clientes da C&M. Isso sugere que os hackers provavelmente utilizaram técnicas como phishing direcionado, senhas expostas em vazamentos ou credenciais fracas, facilitando o acesso inicial.
Escalonamento de Privilégios
Uma vez dentro da infraestrutura da C&M, os hackers exploraram a arquitetura interna dos sistemas de mensageria do SPB (Pix, TED, DDA). O design permitiu que requisições válidas fossem simuladas via API, sem geração de logs específicos de fraude, possibilitando:
Escalonamento para contas reserva mantidas junto ao Banco Central;
Execução de transações atípicas, embora registradas como legítimas;
Ausência de bloqueios intrínsecos ao sistema de mensageria.
Desvio e Conversão Financeira
Os atacantes enviaram valores de contas reserva que não impactam diretamente clientes utilizando múltiplas requisições via Pix e transferiram parte dos fundos para exchanges e mesas OTC em criptomoedas como Bitcoin e USDT. Algumas conversões foram bloqueadas por provedores de criptooperacional, mas os criminosos já haviam movimentado grande parte dos recursos.
Impacto Real e Blindagem dos Clientes
Embora o total desviado supere R$ 1 bilhão, o BC afirma que nenhum cliente final foi afetado. Isso porque as contas reserva mantêm colaterais suficientes para cobrir os prejuízos. Ainda assim, o incidente expôs falhas graves de segurança e controle nos sistemas centrais do SPB.
Vulnerabilidades Sistêmicas Expostas
Gestão de credenciais frágeis: ausência de MFA, expiração de senhas ou armazenamento inseguro;
Ambientes de produção e teste pouco segregados, permitindo escalada interna;
Falta de alertas automáticos para grandes volumes por parte do BC;
Alta velocidade de conversão com cripto, dificultando rastreamento e recuperação imediata.
Medidas para Mitigação e Resiliência
| Ação Técnica | Explicação |
|---|---|
| MFA obrigatório para APIs críticas | Impede acesso mesmo com senha<br>fraudulenta |
| Monitoramento comportamental | Alertar transações atípicas por volume, frequência ou destino |
| Segregação de ambientes | Separar claramente sandbox de produção físico e logicamente |
| Análise de logs em tempo real | Identificar sequências suspeitas e padrões de ataque |
| Fluxo de transações controlado | Regras de controle volumétrico na origem e destino de recursos |
| Safe harbor operacional | Retenção de colaterais e compensação provisória para clientes |
Conclusão
Esse ataque evidencia que o elo fraco da segurança não está nos algoritmos ou no código mas sim na gestão de acessos e na arquitetura operacional. O fato de operações bilionárias terem sido realizadas com credenciais válidas e sem disparo de alarmes revela um grande déficit em monitoramento e governança.
Para reduzir esses riscos, empresas e reguladores devem:
Revisar e fortalecer o ciclo de vida de credenciais;
Implementar controles comportamentais e de volume nas transações;
Manter isolamento rígido entre ambientes de homologação e produção;
Desenvolver planos de resposta rápida, com cooperação entre fintechs e Banco Central.
