Tag: Sistema Financeiro Nacional

Ataque hacker à fintech FictorPay desvia R$ 26 milhões; falha foi explorada em aplicativo interno da empresa.

Sistema financeiro volta a ser alvo de criminosos digitais

O sistema financeiro nacional voltou a ser alvo de criminosos cibernéticos. No último domingo (19/10), a fintech FictorPay, controlada pela holding Fictor, sofreu um ataque hacker que resultou em um rombo de R$ 26 milhões.
A informação foi divulgada inicialmente pelo portal PlatôBR.

Entre para o grupo do Blog do Olavo Sampaio no WhatsApp

Segundo a investigação preliminar, os hackers se aproveitaram de uma vulnerabilidade em aplicativos internos da companhia e realizaram pelo menos 280 transações via Pix para 270 contas-laranja abertas em diferentes bancos e fintechs.

Como o ataque foi realizado

O golpe começou com a invasão à conta de uma prestadora de serviços da FictorPay, o que permitiu aos criminosos efetuar transferências não sujeitas ao limite de valores imposto pelo Banco Central (BC).
A fintech, por não ser participante direta do Pix, opera por meio de intermediárias, que são prestadoras de serviços de tecnologia financeira (PSTI) autorizadas pelo BC.

Veja também: Instabilidade do Pix em grandes cidades coincide com falha na Amazon

Uma dessas intermediárias é a Celcoin, que confirmou ter detectado uma “movimentação atípica” em uma conta de cliente.
Em nota, a empresa informou:

“Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente. As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo ‘white label’, utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin.”

A Celcoin acrescentou que nenhum dado foi comprometido e que todas as operações permanecem estáveis e seguras, em conformidade com as normas do Banco Central.

FictorPay e Fictor Holding

A FictorPay é uma fintech pertencente à Fictor Holding, grupo fundado em 2007, com atuação nos setores financeiro, alimentício e de infraestrutura. A empresa possui cerca de 4 mil funcionários e vinha expandindo suas operações no mercado de pagamentos digitais e banking as a service (BaaS).

O ataque representa um duro golpe na credibilidade do setor, que enfrenta uma onda crescente de ciberataques complexos desde o início de 2024.

Quinto ataque em três meses

O caso da FictorPay é o quinto ataque hacker registrado em apenas três meses contra instituições que se conectam ao Sistema de Pagamentos Brasileiro (SPB), ambiente que abriga o Pix, as TEDs e a liquidação interbancária.

Antes da FictorPay, os alvos foram:

C&M Software, com prejuízo superior a R$ 1 bilhão;
Sinqia, com rombo estimado em R$ 710 milhões;
Monetaire (Monbank), atacada em setembro, com R$ 4,9 milhões desviados;
e E2 Pay, também vítima de invasão recente.

Essas empresas atuam como pontes tecnológicas entre bancos e o Banco Central, fornecendo infraestrutura digital para liquidação de pagamentos e serviços financeiros.

Nos casos da C&M e da Sinqia, os hackers chegaram a acessar contas de reserva de instituições financeiras mantidas pelo BC, comprometendo temporariamente o sistema de liquidação do Pix.

Banco Central ainda não se pronunciou

Até o momento, o Banco Central do Brasil não se manifestou oficialmente sobre o ataque à FictorPay.
Fontes ouvidas por portais especializados indicam que a autoridade monetária acompanha o caso de perto e pode determinar bloqueios preventivos de valores assim que a investigação avançar.

Nos episódios anteriores, o BC conseguiu recuperar cerca de R$ 360 milhões dos valores desviados no caso da Sinqia.

Novas regras de segurança do BC

Diante da escalada de ataques cibernéticos, o Banco Central anunciou em setembro novas normas para reforçar a segurança do Sistema Financeiro Nacional (SFN).
Entre as medidas, está o teto de R$ 15 mil por operação via TED e Pix para instituições de pagamento não autorizadas diretamente pelo BC e que operam por meio de prestadores terceirizados.

A restrição será temporária, podendo ser revogada após a comprovação de protocolos robustos de segurança da informação.
Além disso, o BC determinou que toda instituição de pagamento deverá obter autorização prévia para operar até maio de 2026. Caso o pedido seja negado, a empresa deverá encerrar as atividades em até 30 dias.

Essas medidas visam conter a atuação de grupos criminosos especializados em explorar brechas no ecossistema do Pix, um sistema que movimenta bilhões de reais por dia e é hoje a principal forma de pagamento digital do país.

Histórico de prejuízos milionários

O ataque à C&M Software, ocorrido em junho de 2024, segue sendo considerado o maior ciberataque da história do sistema financeiro brasileiro.
Na ocasião, um funcionário da empresa, João Nazareno Roque, foi preso acusado de facilitar o acesso dos hackers em troca de pagamento.
Os criminosos desviaram valores de diversas instituições, incluindo a provedora BMP, que perdeu R$ 541 milhões sozinha.

Já o caso da Sinqia, registrado em agosto, expôs a vulnerabilidade de grandes empresas de tecnologia financeira.
A companhia identificou que as transações indevidas ocorreram por meio de credenciais legítimas de fornecedores de TI, exploradas por criminosos.

Impacto e alerta para o setor

O ataque à FictorPay reacende o alerta de segurança digital no mercado de fintechs e instituições de pagamento.
Especialistas destacam que, apesar dos avanços em criptografia e autenticação, brechas em sistemas terceirizados e integrações com APIs continuam sendo o elo mais fraco da cadeia de segurança financeira.

Analistas apontam que o caso deve acelerar a implementação das novas normas do Banco Central e pressionar empresas menores a investirem em monitoramento em tempo real e auditorias independentes de segurança.

MPF denuncia empresários maranhenses por crimes contra o Sistema Financeiro Nacional

por Redação

em novembro 17, 2022

em São Luís

O Ministério Público Federal (MPF) denunciou à Justiça Federal no Maranhão os empresários Abdon José Murad Júnior e Francisco José Rodrigues Duailibe, conhecido como Chiquinho, por envolvimento em crimes contra o Sistema Financeiro Nacional (SFN). Abdon Murad Júnior também foi denunciado por falsidade ideológica.

Segundo a denúncia, eles exerciam atividade que se equiparava à de instituição financeira sem a devida autorização do Banco Central e da Comissão de Valores Mobiliários (CVM). As atividades financeiras movimentaram milhões de reais e trouxeram prejuízos aos seus clientes.

De acordo com a investigação da Polícia Federal (PF), o médico e empresário Abdon José Murad Júnior, nos anos de 2014 a 2019, inicialmente como pessoa física e, após novembro de 2017, por meio da empresa Abdon Murad Junior (AMJ) Participações e Empreendimentos Imobiliários Eireli, captava recursos de centenas de pessoas em São Luís (MA) com a promessa de aplicar o investimento na bolsa de valores e proporcionar um retorno financeiro muito acima do mercado, de 12% ao mês.

Entretanto, as atividades financeiras eram exercidas sem lastro financeiro e sem autorização do Banco Central e da CVM, o que foi comprovado por meio de ofícios enviados pelos respectivos órgãos. Além disso, para não criar obrigações cíveis e tributárias, Abdon José Murad Júnior inseria informações ideologicamente falsas nos contratos celebrados com os investidores e nos recibos emitidos, informando que o valor aportado pelo cliente seria o mesmo que ele receberia posteriormente, “sem qualquer atualização ou correção”. De acordo com a denúncia, tal prática caracteriza crime de falsidade ideológica.

Para conseguir investimento de pessoas de diversas áreas, como médicos, enfermeiros, servidores públicos, advogados, empresários, entre outros, Abdon José Murad Júnior utilizava da confiabilidade do nome de sua família, da propaganda boca a boca, além do auxílio de Francisco José Rodrigues Duailibe, que era responsável por atrair os clientes, receber e enviar os valores para a AMJ Participações. A conduta delituosa praticada pelos denunciados foi confirmada pelo depoimento de diversas vítimas e teria causado prejuízo de milhões de reais.

Durante a investigação, um advogado se apresentou à autoridade policial informando representar 29 credores de Abdon Murad Júnior, totalizando um valor de, aproximadamente, R$ 47 milhões de reais em créditos. Informou, ainda, que Abdon Murad Júnior teria lhe afirmado que iria repatriar valores investidos no exterior para o pagamento de seus credores, o que não teria ocorrido.

Na apuração, a análise bancária indica que Francisco José Duailibe recebeu e enviou valores para Abdon Murad Júnior e suas empresas. Foi constatado que Francisco José Duailibe figura como sócio das empresas CD Imóveis Serviços e Construções SA e AD Serviços Participações e Empreendimentos Ltda., para as quais foram direcionadas, entre junho de 2018 e fevereiro de 2019, cerca de R$ 5 milhões de reais em transferências a partir das contas de Abdon Murad Júnior.

De acordo com as investigações, os interessados no esquema depositariam valores na conta bancária da empresa AMJ Participações ou entregariam dinheiro em espécie, pessoalmente, em favor do administrador da empresa, Abdon Murad Júnior, que emitiria, como garantia, um cheque no valor acertado, com vencimento no prazo final do contrato, normalmente, após quatro meses.

Em razão disso, o MPF denunciou Abdon José Murad Júnior e Francisco José Rodrigues Duailibe pela prática de crimes contra o Sistema Financeiro Nacional, previsto no art. 1º, parágrafo único, I e II, c/c art. 16 todos da Lei 7492/86, com pena de reclusão que pode variar de 1 a 4 anos, e multa. Em relação a Abdon Murad Júnior, recai, ainda, a prática do crime de falsidade ideológica, previsto no art. 299, do Código Penal, com pena de reclusão de 1 a 3 anos, e multa.

Informação com credibilidade