MINHA ENCOMENDA FOI TAXADA | Cuidado com o Golpe do SMS dos Correios | E-Golpes em épocas festivas

em
Exemplo de SMS Criminoso vamos ao cenário real: você  fez  uma compra online e espera ansiosamente por ela. Você  conta  os dias e as horas para a encomenda chegar, torcendo para que seja entregue antes da troca de presentes de Natal, do amigo invisível ou de qualquer outro evento de fim de ano.  De repente você recebe um SMS, email, ou até uma mensagem no whatsapp , com o seguinte texto: " Sua entrega foi suspensa. Taxa pendente. Pague agora para não perder o produto, acesse o link para pagar a taxa".  Você se assusta e desesperado clica no link ; você cometeu o primeiro erro. Mas o problema não para no clique . Ao entrar no site falso, que é um clone do site oficial, você, na ânsia de resolver logo o problema, comete o segundo error : preenche seu CPF, nome completo, senha do Gov.br, dados do cartão de crédito. Sem saber, você acabou de entregar seus dados de bandeja para criminosos, antes mesmo de perder seu dinheiro.
0

+R$500milhões, 1 Funcionário, 0 Exploits: O Ataque que o BC Não Esperava.

em
ENGENHARIA SOCIAL, NENHUM MR. ROBOT.
Milhões evaporaram. O método? Nem malware, nem hackers geniais: um funcionário terceirizado que vendeu suas credenciais por R$ 15 mil. Este é o retrato do crime que expôs o elo mais frágil da cibersegurança: o ser humano.



O que aconteceu? O maior ataque ao sistema Financeiro brasileiro.
Na madrugada de 30 de junho, criminosos tiveram acesso ao sistemas da C&M Software, empresa homologada pelo Banco Central para intermediar transações via Pix entre bancos menores e o Sistema de Pagamentos Brasileiro (SPB). 

Em menos de 3 horas, desviaram R$ 541 milhões apenas da instituição financeira BMP uma das seis afetadas. O prejuízo total pode chegar a R$ 800 milhões, segundo a Polícia Civil de São Paulo.

 Método do crime: "Supply Chain Attack"

    • Os hackers usaram credenciais roubadas (logins e senhas) para acessar contas reservas que são fundos os quais bancos mantêm no BC para liquidação de operações interbancárias.
    • A brecha foi aberta por João Nazareno Roque, funcionário da C&M, que vendeu acesso aos sistemas sigilosos por R$ 15 mil. Ele foi abordado em março por um criminoso ao sair de um bar em São Paulo.

A prisão: O "traidor interno"

João Nazareno Roque, 48 anos, Operador de TI, foi preso em 4 de julho no bairro City Jaraguá (SP). Em depoimento, confessou:
    • Recebeu R$ 5 mil para fornecer senhas em maio e mais R$ 10 mil para criar um sistema que facilitasse os saques.
    • Comunicava-se com os hackers via WhatsApp, e trocava de chip a cada 15 dias para evitar rastreamento.
Acusações formais incluem lavagem de dinheiro, invasão de dispositivo informático e associação criminosa.

Resposta das autoridades

    • Banco Central: Determinou o desligamento imediato da C&M do sistema Pix e suspendeu três fintechs que receberam recursos desviados: Transfeera, Soffy e Nuoro Pay 5.
    • Polícia Civil de SP: Bloqueou R$ 270 milhões em uma conta usada para receber os valores. A investigação busca outros envolvidos, suspeitos de atuar em São Paulo.
    • C&M Software: Negou falhas técnicas, atribuindo o crime a "engenharia social" (manipulação humana). Retomou operações em 3 de julho sob supervisão do BC.

Impacto sistêmico: Por que bancos menores são vulneráveis?

Instituições como BMP, Banco Paulista e Credsystem dependem de intermediárias (como a C&M) para acessar o SPB — criando pontos únicos de falha. Especialistas alertam: "O ataque expôs o risco de terceirizar serviços críticos sem controles rígidos de acesso"

Bancos afetados confirmados:
  • BMP, Prejuízo de R$ 541 milhões, Operações normalizadas.
  • Banco Paulista, Não divulgado, Pix interrompido temporariamente
  • Credsystem, Não divulgado, Sob investigação
  • Fonte: Polícia Civil e BC.

Consequências e Atitudes

  • Regulação mais dura: O Conselho Monetário Nacional (CMN) deve exigir bipartição de acessos e auditorias frequentes em empresas terceirizadas
  • Seguro contra fraudes: Bancos pressionam por apólices que cubram prejuízos de ataques cibernéticos.
  • Alerta global: O caso virou referência em crimes financeiros digitais, com método replicável em outros países.
  • Para correntistas: Nenhum cliente foi afetado — o prejuízo é das instituições. Mas o episódio reforça a necessidade de cobrar transparência em políticas de segurança dos bancos.

Conclusão: O elo mais fraco é humano

O caso escancara que credenciais privilegiadas são o alvo preferencial de criminosos. Enquanto João Roque aguarda julgamento, o BC corre para evitar que "a Casa de Papel digital" se repita:
"Treinar pessoas é tão vital quanto atualizar firewalls" — Hiago Kin, presidente do Ibrinc.

EXPLICANDO TERMOS UTILIZADOS 

 1. O que é um Ataque de Supply Chain?

Definição: Ataque indireto que explora fornecedores terceirizados (software, hardware ou serviços) para comprometer organizações-alvo. Hackers infectam componentes legítimos da cadeia logística digital, que depois são distribuídos às vítimas finais como "atualizações confiáveis" ou neste caso. Ou no caso do BC, um ataque à cadeia de suprimentos onde criminosos infiltram um fornecedor legítimo para atingir seus clientes finais. É como envenenar a fonte de um rio para contaminar quem bebe água rio abaixo.

Componentes-chave:
Alvo indireto: Em vez de atacar o destino final (ex: bancos), ataca-se um terceiro de confiança (ex: empresa de software).

Acesso privilegiado: O fornecedor tem permissões ou integrações críticas com as vítimas finais.

Disseminação em massa: Um único ponto comprometido afeta múltiplos clientes.


Mecanismo:
  • Fase Upstream: Invasão do fornecedor (neste caso o próprio funcionário serviria, de formula análoga,  como um malware).
  • Fase Downstream: Disseminação do "componente" comprometido aos clientes do fornecedor.

Exemplos reais:

  • SolarWinds (2020): Backdoor (SUNBURST) inserido em atualizações do software Orion, afetando 18 mil clientes, incluindo agências dos EUA.
  • Kaseya (2021): Vulnerabilidade em software de gerenciamento permitiu ransomware infectar 1.500 empresas via atualizações.
  • Caso Banco Central BR (2025): Funcionário da empresa terceirizada C&M Software vendeu credenciais por R$15 mil, facilitando desvio de R$541 milhões via PIX.

POSSIVEIS AÇÕES DE PREVENSÃO E DEFESA

  • Auditoria rigorosa de fornecedores.
  • Princípio de menor privilégio limitando acessos e constante verificação (ZERO TRUST) .
  • Verificação de integridade de código (ex: assinaturas digitais).
  • Monitoramento
  • Treinamento de funcionários
  • Investimento em Princípios e Profissionais de Cibersegurança

2. O que é um Ataque de Engenharia Social?

Definição: Manipulação psicológica para induzir pessoas a revelar informações sensíveis ou realizar ações que comprometem a segurança. Não envolve exploits técnicos – explora a "falha humana".

Técnicas comuns:

  • Phishing: E-mails falsos (ex: suposto banco solicitando senhas).
  • Baiting: Atiçando a Curiosidade da Vítima (ex: USB infectado deixado em local público).
  • Pretexting: Criação de cenários falsos (ex: hacker se passa por técnico de TI).
  • Vishing: Chamadas telefônicas fraudulentas

₿ 3. O que é Criptomoeda? Por que é Usada em Ataques?

Definição: Moeda digital descentralizada que usa criptografia para segurança (ex: Bitcoin, Monero). Transações são registradas em blockchain (livro-razão público), mas as identidades dos envolvidos são pseudônimas.

Razões para uso em crimes:

  • Anonimato relativo: Endereços de carteira não vinculam diretamente a identidades reais.
  • Irreversibilidade: Transações não podem ser canceladas.
  • Globalização: Transfronteiriça sem regulamentação uniforme.
  • Exemplos de ataques a outras instituições financeiras:
  • Ransomware Colonial Pipeline (2021): Hackers exigiram US$4.3 milhões em Bitcoin para descriptografar sistemas.
  • Criptojacking: Uso não autorizado de dispositivos para minerar criptomoedas (ex: via scripts em sites).

Desafios para autoridades:


O Caso do "Faraó do Bitcoin": R$ 400 milhões Bloqueados

  • Glaidson Acácio foi preso em 2021 por liderar uma pirâmide financeira que movimentou R$ 7 bilhões. Durante a operação, a PF apreendeu seu notebook, que contém uma carteira de criptomoedas com saldo equivalente a R$ 400 milhões.

  • Status atual (julho/2025):

    • O notebook está guardado na Superintendência da PF no Rio de Janeiro, mas as autoridades não conseguem acessar os fundos.

    • Glaidson recusa-se a revelar a senha da carteira, mesmo sob pressão judicial.

  • Desafio técnico:

    • A carteira é protegida por criptografia AES-256, considerada quantum-resistant (resistente a ataques de computação quântica).

    • Sem a senha ou seed phrase (frase de recuperação), a descriptografia é computacionalmente inviável – exigiria brute force com trilhões de tentativas.

Por que a PF não Quebrou a Criptografia?

  1. Falta de padrão de custódia:

    • A PF não possui protocolos centralizados para armazenar seeds ou gerenciar criptoativos apreendidos. Cada investigador define métodos distintos, muitas vezes ineficientes.

  2. Limitações técnicas:

    • ausência de ferramentas especializadas para extração segura de seeds de dispositivos físicos (ex: hardware wallets) é crítica. Casos de sucesso, como em uma ação da Polícia Australiana, dependem de expertise forense digital avançada.

  3. Proteção legal:

    • recusa do investigado em cooperar não pode ser contornada sem ferir garantias constitucionais e Direitos Humanos. Decisões judiciais anteriores barraram tentativas de coerção para obtenção de senhas.

Outros Casos

  • Austrália (2025): Polícia decifrou uma seed phrase e confiscou R$ 50 milhões em criptomoedas após analisar dispositivos do suspeito.

  • Brasil: A PF já apreendeu 291 tipos de criptoativos (incluindo BTC, ETH, DASH), mas não sabe quantificar o total sob custódia – muito menos acessá-los.

Perspectivas Futuras

  • Capacitação: O Ministério da Justiça iniciou em 2025 cursos para policiais identificarem e rastrearem criptomoedas usadas em crimes, mas a implementação é lenta.

  • Tecnologia: Soluções como contratos inteligentes de bloqueio automático (ex: timelocks) ou carteiras multisig poderiam facilitar o controle de ativos apreendidos, mas ainda não são adotadas.

  • Risco sistêmico: Enquanto não houver protocolos unificados, casos como o do Faraó do Bitcoin continuarão a expor lacunas entre a apreensão física e o acesso efetivo aos ativos digitais.

Conclusão

  • A wallet (carteira) de R$ 400 milhões em Dash permanece um "fantasma" na custódia da PF – símbolo do descompasso entre a evolução do crime digital e a capacidade estatal de resposta. A solução exigirá avanços técnicoscooperação internacional e marco regulatório específico para criptoativos apreendidos. Dai então a atitude dos criminosos de transferirem o dinheiro para cripto wallets, dinheiro esse que, caso siga-se a mesma linha da historia do "Faró do Bitcoin" nunca mais vai ver a luz do dia, mesmo com o criminosos custodiados.
  • Padrões Comuns em Ataques Financeiros
  • Supply Chain + Engenharia Social: Combinam-se para contornar defesas técnicas (ex: caso C&M Software).


  • Criptomoedas como estágio final: Conversão de recursos roubados acelera a lavagem e dificulta recuperação.
  • Tendência: Ataques à cadeia de suprimentos cresceram 742% em 2020; ransomware contra fornecedores subiu 270% em 2021.
  • Recomendações técnicas possíveis para evitar casos como esse: Implementar Zero Trust (nunca confiar, sempre verificar) e segmentação de redes para conter danos.



👾

Fontes:

  • • UOL: Detalhes do ataque e prisão
  • • G1: Valores desviados e perfil do preso
  • • Olhar Digital: Cronologia do crime
  • 👾 O conteudo deste post faz jus as informações disponiveis publicamente em 04/07/2025

Comentários

Postar um comentário