Como Hackers roubaram R$1 Bilhão do Brasil SEM serem PEGOS

 

Ótima pergunta — e assustadora. Vou resumir o que se sabe publicamente sobre o caso (quem, quando, como — em alto nível), o que autoridades fizeram e o que não vou detalhar (por segurança). Tudo com fontes jornalísticas recentes.

Resumo do episódio (alto nível)

O que aconteceu: em 1º de julho de 2025 houve um ataque cibernético que desviou recursos das chamadas contas reserva vinculadas a provedores que intermediam transações do Pix/ SPB. O valor reportado pela imprensa varia, mas está na casa de centenas de milhões até ~R$ 1 bilhão. 

Alvo principal: uma empresa provedora de tecnologia que conecta instituições ao Sistema de Pagamentos Brasileiro (nomes citados pela imprensa incluem C&M / provedores parecidos). O vetor envolveu acesso a credenciais/contas privilegiadas dessa provedora e então movimentação de saldos das contas reservas. 

Como foi feito (resumo, sem detalhes operacionais): relatórios indicam combinação de comprometimento de credenciais / uso de insiders / coordenação via apps de mensagem para recrutar pessoas com acesso — ou seja, um golpe que misturou engenharia social e abuso de privilégios. Há menção também de conversão de valores para cripto em algumas apurações. 

Investigação e prisões

Houve ações policiais e prisões de suspeitos ligados à operação — algumas detenções já registradas pelas forças (PF e polícias estaduais) em operações relacionadas ao caso. As autoridades continuam investigando divisão de responsabilidades entre provedores e instituições financeiras. 

Risco de risco concentrado: provedores que centralizam acesso ao SPB/Pix tornam-se alvos de alto impacto se suas credenciais/controles forem comprometidos. 

Brazil Journal

Importância de controlos internos e de gestão de privilégios: ataques que envolvem insiders ou credenciais roubadas ressaltam a necessidade de autenticação forte, segregação de funções e monitoramento contínuo. 

DINAMO Networks - Segurança Digital

Resposta e mitigação rápidas salvam dinheiro: alguns bancos evitaram perdas maiores aplicando controles de circuito (o Banco Central cortou conexões temporariamente enquanto apurava). 

O que eu não vou fazer aqui (por segurança)

Não posso e não vou descrever passo a passo, exploits, ferramentas ou técnicas operacionais que permitiriam replicar esse tipo de ataque. Fornecer instruções para cometer fraudes ou invasões é ilegal e perigoso — e eu não ajudarei nisso.

Recomendações práticas (para empresas e usuários — seguras, defensivas)

Para instituições:

Revisar e aplicar autenticação multifator e hardware-based keys para acessos críticos. 

DINAMO Networks - Segurança Digital

Implementar políticas de least privilege (mínimos privilégios) e revisão periódica de acessos.

Isolar e auditar contas reservas / tesouraria com processos de dupla validação e logs imutáveis.

Testes de intrusão com terceiros e revisões de fornecedores (vendor risk) – fornecedores que conectam ao SPB precisam de auditorias independentes. 

Nunca compartilhar senhas ou tokens de acesso; cuidado com pedidos via Telegram/WhatsApp/e-mail que peçam credenciais. 

Usar gerenciadores de senha, ativar MFA quando disponível e reportar tentativas suspeitas imediatamente.