Ministério Publico do Estado de Mato Grosso
Centros de Apoio Operacional > CAO CIBER >

Fragilidade cibernética do Brasil atrai ataque hacker ao sistema financeiro

terça-feira, 18 de novembro de 2025, 14h33

Ciberataques hacker

 

Na madrugada de 30 de junho de 2025, em um dos luxuosos quartos do Hotel Tulip, a poucos minutos do Palácio do Alvorada, em Brasília, uma quadrilha de cibercriminosos deu o primeiro passo de uma ação que se tornaria o maior ataque hacker ao sistema financeiro da história do país: R$ 500 milhões desviados da BMP, instituição que provém soluções financeiras e bancárias no modelo BaaS (bank as a service, em inglês). Uma das primeiras transferências somou R$ 18 milhões.

 

Em outros cinco casos similares e recentes sob o guarda-chuva de investigação da Polícia Federal (PF), envolvendo bancos e companhias de outros setores da economia, 19 suspeitos foram presos. Entre estas, a BMP foi a mais afetada, mas somadas as vítimas, R$ 800 milhões foram desviados pelos hackers.

 

Os cibercriminosos utilizaram nestes episódios uma diretriz que tem sido comum para concluir esse tipo de roubo, que é a de escolher uma “porta de entrada” – geralmente uma prestadora de serviços de pequeno ou médio porte, que por fim pode se tornar tão vítima como o alvo principal. A trilha digital da investigação dos casos citados levou a polícia à C&M Software, uma empresa que prestava serviços para o Banco Central (BC) e tinha acesso a contas reservas dessas instituições.

 

Após a sequência de ataques recentes, o BC endureceu as regras para fintechs em novembro. As principais medidas incluem a obrigatoriedade de encerrar “contas-bolsão” a partir de dezembro de 2025, criar um teto para transações Pix e TED para algumas instituições e aumentar o capital mínimo exigido das fintechs – de R$ 1 milhão a R$ 9 milhões.

 

É tentativa de proteger o ambiente regulando o perfil de agentes e a movimentação de valores em transferências feitas no meio digital. O pacote recente afeta não só as instituições sem licença para operar em sistema ligado ao BC como também as que já eram ‘plugadas’. O movimento estratégico da autoridade monetária não teve início em 2025 – muitas regras relacionadas às fintechs vinham sendo ajustadas, no mínimo, desde o ano passado.

 

Conforme é natural em processos de reajuste regulatório, sobretudo se dependem de reorganização estrutural, tempo e dinheiro dos atores do mercado, leia-se as empresas, a eficácia (ou não) da atitude do BC ficará evidente à medida que correrem os meses. Com casos expressivos e frequentes, o Brasil evidencia o fato de ter se tornado um dos alvos favoritos dos hackers – a ponto de concentrar 90% dos ataques cibernéticos na América Latina, de acordo com a Teltec, empresa de serviços e consultoria de Tecnologia da Informação.

 

 

A acessibilidade dos recursos de inteligência artificial (IA) contribui para que os ataques cibernéticos ganhem escala ao ficarem mais inteligentes e baratos. É que se podem aliar técnicas como deepfake à aplicação de engenharia social – trocando  em miúdos, um golpista pode pegar a foto de um diretor financeiro (CFO, na sigla em inglês) de uma companhia e montar um vídeo que possibilite driblar a ferramenta de reconhecimento facial e movimentar o caixa, para citar um exemplo pontual. Uma autorização de compra nesse perfil era algo impensável há apenas dez anos.

 

Criatividade hacker

 

Em meio a esse cenário, outra tática comum entre invasores é a de aumentar a capilaridade do golpe: os prestadores de serviços de pequeno porte têm servido como um atalho para chegar às companhias que serão roubadas, como ocorreu no caso da C&M já citado no início da reportagem. Em um outro caso, ao final de outubro, a fintech FictorPay foi alvo de um ataque que desviou R$ 26 milhões de clientes usando o mesmo método de vazamento por meio de uma prestadora de serviços, neste caso a Dilleta Solutions, segundo reportagem do Platô.

 

Antes invisíveis, esses prestadores se tornaram uma espécie de alvos preferenciais, o que os especialistas do universo de segurança digital classificam como “ataques à cadeia de suprimentos”. “Em outros tempos, só se pensava em segurança digital dentro de grandes companhias. Os hackers agora estão explorando as vulnerabilidades de empresas menores para ‘subir’ nessa cadeia, por isso teremos um aumento expressivo de ataques desse tipo”, diz Dulinski.

 

Seja qual fora a estratégia utilizada, o fato é que os ataques cibernéticos não se restringem apenas o setor financeiro. Um estudo realizado pela Vultus Cybersecurity, empresa de cibersegurança (com clientes como a Vivo em seu portfólio), mostrou que as médias e grandes empresas brasileiras de diferentes segmentos da economia, como tecnologia, serviços e varejo, também são vítimas. Estes, aliás, estão entre os setores mais visados.

 

A criatividade é grande. No varejo, por exemplo, o tipo de ataque hacker é diferente do visto numa empresa financeira. Os golpistas levam a cabo um tipo de sequestro: roubam e criptografam dados que só podem ser debloqueados após pagamento aos hackers.

 

O levantamento aponta que mesmo companhias que investem em defesa cibernética poderão perder até R$ 2,2 trilhões até 2028 graças a esse tipo de ataque. Para entender a extensão do que representam movimentos de roubos digitais, o crime organizado como um todo faturou um sexto desse volume nos últimos três anos, ou seja, R$ 350 bilhões, de acordo com dados sobre atividades criminosas do Fórum Brasileiro de Segurança Pública.

 

 

Se mesmo os bancos, que já reforçavam sua segurança digital desde a década de 1990 com o surgimento do ‘internet banking’ (e foram obrigados a evoluir muito mais rápido) estão em risco, que dirá outros perfis de companhias. “Vira uma briga natural do ambiente: se a defesa evolui, o ataque também. E aí a defesa precisa evoluir novamente”, diz Brum.

 

Um outro levantamento da Vultus mostrou como o ambiente empresarial brasileiro é frágil nesse capítulo. Oito em cada dez companhias brasileiras ainda não têm um plano de resposta a ataques cibernéticos. A maturidade cibernética média das organizações analisadas foi de apenas 1,61  em uma escala de 0 a 5, um patamar considerado crítico. A falta de maturidade para proteção de dados em um mundo onde os golpes evoluem com celeridade levou outras frentes do poder público, além do BC com novas regras para as fintechs, a se moverem.

 

Além da já existente Lei Geral de Proteção de Dados (LGPD), em agosto de 2025 foi publicada uma nova Estratégia Nacional de Cibersegurança (E-Ciber), que atualiza o texto anterior, de 2020. “Encomendamos estudos que examinaram mais de 40 estratégias levadas adiante em 19 países”, disse Luiz Fernando Moraes, diretor do departamento de segurança cibernética do Gabinete de Segurança Institucional (GSI) à IstoÉ Dinheiro.

 

Apesar de coordenado pelo gabinete, o documento foi elaborado por “várias mãos”, disse. Entre os eixos do texto, Moraes reforçou que a tentativa de estrangular o problema precisa considerar não só a necessidade de investimentos dos setores público e privado em segurança de infraestruturas essenciais, como também a de conscientização do cidadão comum – que trabalha nas estruturas ou que empreende.

 

 

Loja hacker de cartões

 

Na guerra digital, as ofensivas criminosas não acontecem em uma só frente. Além de alcançarem caixas de empresas, bancos de dados de clientes e documentos estratégicos, os cibercriminosos obtêm dados de cartões, os quais, por fim, acabam sendo comercializados em lojas na dark web (parte da internet acessada apenas quando se utilizam softwares específicos). O Brasil é um destaque entre os países emergentes onde se vendem cartões roubados, aponta um estudo da NordVPN, provedora de serviços de VPN, que avaliou 119 países.

 

O levantamento, conduzido por uma equipe de gestão de exposição a ameaças, analisou mais de 50 mil registros de cartões listados em lojas digitais da dark web, coletados em maio de 2025. Apesar de não estar entre os dez países com maiores volumes de roubo neste ano, o Brasil se destaca pela frequência de roubos de dados. O preço médio de um cartão brasileiro roubado é de US$ 10 (quase R$ 60) no mercado ilegal, mais caro que em 2023, quando valia R$ 45.

 

“Mesmo com um crescimento menor no preço em relação a outros países da América Latina, há um enorme volume de dados roubados no país”, avalia Adrianus Warmenhoven, especialista em segurança da NordVPN. No submundo da internet, o mercado de cartões roubados funciona como uma linha de montagem, um verdadeiro ecossistema com diferentes hierarquias.

 

Há quem roube os dados (“harvesters”), quem valide em massa esses cartões com bots (“validators”) e quem transforma cartões validados em lucro (“cash-outers”), por meio de compras de gift cards, vendas de bens e conversões para criptomoedas. Especialistas afirmam que a etapa crucial é a validação.

 

Nela, muitos criminosos usam pequenas tentativas de cobrança ou serviços de pagamento controlados para testar e separar os cartões funcionais. Warmenhoven explica que os criminosos são cautelosos e utilizam ferramentas automatizadas com abordagem estratégica, permitindo que passem meses ou até anos para serem detectados – e 87% dos cartões permanecem utilizáveis por mais de doze meses. O plano é elaborado com bastante estratégia. O hacker opta por usar os cartões no mesmo país ou região onde foram emitidos para evitar acionar alertas antifraude dos bancos, que costumam sinalizar transações internacionais.

 

Como proteger os dados

 

Em 2024, os golpes digitais como clonagem de cartão e invasão de contas bancárias vitimaram 24% dos brasileiros, mais de 40 milhões de pessoas, de acordo com o Instituto DataSenado. Não é segredo que a utilização de senhas fortes e exclusivas para cada site de compras pode dificultar a vida dos ladrões de dados, mas também existem outras boas práticas que podem diminuir o risco de cilada, entre elas, evitar o armazenamento de cartões de crédito em navegadores, ativar a autenticação de dois fatores sempre que possível e monitorar extratos bancários constantemente.

 

Ao integrar o quadro de funcionários de uma companhia que lide com dados sensíveis, é recomendável evitar o uso do computador profissional em redes públicas, e quando o fizer, é importante certificar-se de ativar a VPN (ou rede privada virtual), um serviço que cria conexão segura entre o dispositivo e a internet, minimizando um eventual ataque hacker.

 

Guerra geopolítica digital

 

Se não bastasse a já conhecida tensão política por razões comerciais entre Estados Unidos e China, a qual aparentemente está controlada por um ano após o mais recente acordo entre os presidentes Donald Trump e Xi Jinping, elementos da guerra digital colocam um pouco mais de lenha na fogueira entre as duas maiores potências globais.

 

No domingo, 9, a China, por meio de sua agência de cibersegurança, acusou o governo norte-americano de orquestrar um ataque hacker que subtraiu mais de 127 mil unidades de Bitcoin da rede de mineração LuBian, um dos maiores da história em criptomoedas, em 2020. O roubo equivaleria a cerca de US$ 13 bilhões. O Centro Nacional de Resposta a Emergências de Vírus de Computador da China informou que um ataque dessa escala demanda apoio em “nível estatal”. O caso foi mantido em segredo pela LuBian até meados deste ano.

 

Fonte: ISTOÉ Dinheiro.

19/11/2025 Confiança sob ataque

19/11/2025 Jaguar Land Rover anuncia 196 milhões de libras de custo do ciberataque

19/11/2025 Ataques cibernéticos atingem em média 1.938 organizações por semana

18/11/2025 Polícia de Uttarakhand prende vítimas de fraude de gangues cibernéticas de ₹ 3,37 crore

18/11/2025 5 anos de Pix: ataques cibernéticos disparam e BC corre contra o crime

18/11/2025 O Golpe da Portabilidade. A fraude cibernética impacta na vida de muitos brasileiros.

17/11/2025 China nega, mas vazamento indica criação de

17/11/2025 Jornada Digital Anahp destaca que cibersegurança exige planejamento e ação constante

17/11/2025 Cibersegurança. A melhor defesa? Atacar!

17/11/2025 Os perigos invisíveis dos assistentes de IA: o risco da confiança cega na tecnologia

topo