Um operador de tecnologia da informação foi apontado como peça-chave no maior ataque hacker já registrado contra o sistema financeiro brasileiro. João Nazareno Roque, de 48 anos, foi preso na última quinta-feira (03), em São Paulo, acusado de repassar suas credenciais de acesso e colaborar com um esquema que teria desviado entre R$ 800 milhões e R$ 1 bilhão de contas bancárias.
O homem era funcionário da C&M Software, empresa responsável por conectar instituições financeiras de menor porte às plataformas do Banco Central, incluindo o Pix.
A porta de entrada de um roubo bilionário
Segundo as investigações, o golpe não foi uma invasão sofisticada, mas sim um processo de engenharia social. Roque teria vendido seu login e senha corporativos por R$ 15 mil e ainda participado do desenvolvimento de um programa que possibilitou as transações ilegais.
Em depoimento à Polícia Civil, ele disse que o primeiro contato ocorreu em março, quando foi abordado por um homem na saída de um bar em São Paulo. O criminoso demonstrou saber detalhes de sua rotina profissional e ofereceu inicialmente R$ 5 mil pelas credenciais. Depois, pagou mais R$ 10 mil.
Como funcionou o ataque ao sistema bancário
Especialistas afirmam que essa ofensiva cibernética seguiu o modelo conhecido como supply chain attack. Ao invés de tentar invadir bancos diretamente, os hackers infiltraram-se na infraestrutura de um parceiro que já tinha acesso privilegiado. Com as credenciais em mãos, passaram a operar o sistema como se fossem usuários legítimos.
O ATAQUE SE DESENVOLVEU EM QUATRO ETAPAS PRINCIPAIS:
- Cooptação e engenharia social: funcionários foram induzidos a fornecer acessos ou instalar softwares de controle remoto.
- Mapeamento interno: os hackers reconheceram sistemas e testaram credenciais sem disparar alertas.
- Acesso a contas de produção: obtiveram alcance a dados sensíveis e contas de liquidação.
- Execução e lavagem: transações fora do horário comercial, com conversão imediata em criptomoedas.
Para a especialista da IAM Brasil, Micaella Ribeiro, o grau de coordenação foi inédito no país. “Foi uma operação complexa, com vários atores atuando em sincronia para mascarar rastros”, explicou.
perfil discreto
Embora ocupasse um cargo estratégico na C&M, João Roque não era um profissional de alta senioridade em tecnologia. Em seu perfil no LinkedIn, ele se descrevia como técnico de instalação de redes e câmeras, com experiência de 20 anos como eletricista e apenas quatro anos em funções ligadas à TI.
Entre 2020 e 2023, ele concluiu um curso de desenvolvedor back-end júnior. Nas redes sociais, relatava entusiasmo por recomeçar na carreira tecnológica. Em uma postagem, citou o filme O Senhor Estagiário:
“Não me chamo Ben, nem tenho 70 anos, mas já estou numa idade em que muitos esperam estar em cargos C-level, e eu estou aqui com muita vontade de recomeçar.”
Troca de celulares e instruções secretas
Visando despistar investigações, o individuo contou que trocava de aparelho celular a cada quinze dias. Após o primeiro pagamento, passou a receber instruções por WhatsApp e em uma conta criada na plataforma Notion, que servia como central de operações remotas.
Ele afirmou ainda que não conhecia pessoalmente os integrantes da quadrilha e que todo contato era feito virtualmente.
O que diz a empresa C&M Software
Procurada, a C&M Software declarou, em nota oficial, que colabora integralmente com as autoridades. Segundo a empresa, seus mecanismos de segurança permitiram rastrear a origem do acesso irregular.
“Até o momento, as evidências apontam que o incidente teve origem em técnicas de engenharia social, e não em falhas tecnológicas ou vulnerabilidades do sistema”, informou a companhia. “Todos os serviços seguem operando normalmente”, completou.
Um crime histórico no sistema financeiro
Mesmo com a dimensão do golpe, nem o Banco Central nem correntistas comuns sofreram prejuízos diretos, conforme a polícia. Ainda assim, autoridades classificam o ataque como o maior da história financeira brasileira e afirmam que novas prisões podem ocorrer.