Um ataque hacker milionário atingiu em cheio o sistema financeiro brasileiro e roubou R$ 26 milhões de uma única instituição em poucas horas. A vítima da vez foi a fintech FictorPay, que sofreu uma invasão no final da tarde de domingo (19), em um esquema ousado e altamente articulado. Segundo especialistas, o caso representa um dos maiores golpes digitais recentes no país.
De acordo com informações preliminares, os criminosos exploraram uma brecha no sistema interno da empresa e conseguiram realizar 280 transferências via Pix para 270 contas laranjas espalhadas em vários bancos e fintechs. O ataque mirou diretamente a folha de pagamento da empresa, desviando os valores antes que a equipe de segurança pudesse reagir.
Ataque hacker rouba R$ 26 milhões de instituição bancária: golpe contornou limite do PIX e desafiou regras do Banco Central
A falha é ainda mais grave porque o ataque hacker ignorou as limitações operacionais do Banco Central (BC). Mesmo sem participar diretamente do Pix, a FictorPay utiliza intermediárias de pagamento, e os invasores tiraram vantagem disso para escapar das barreiras impostas pelo sistema.
Ou seja: não houve limite de valor por transação, o que facilitou o rombo milionário.
Empresa parceira nega responsabilidade
Uma das empresas que presta serviços para a FictorPay, a Celcoin, garantiu que não houve invasão em seus servidores e que sua infraestrutura permanece estável. A empresa afirma que apenas detectou movimentações atípicas e bloqueou transações preventivamente.
Falha está em empresa terceirizada, dizem investigações
Segundo a Celcoin, o ataque não teve origem no seu sistema, mas sim em uma empresa fornecedora de soluções white label, utilizada pela FictorPay e por outras instituições do mercado financeiro. O golpe, segundo a nota, já teria impactado diversas empresas do setor de BaaS e Core Banking.
Banco Central é desafiado
Apesar de récentas medidas anunciadas pelo Banco Central para combater fraudes digitais, os ataques continuam. O caso da FictorPay mostra que hackers estão encontrando novas brechas mesmo após o BC limitar transferências para empresas terceirizadas em até R$ 15 mil.
LEIA MAIS:
- McDonald’s inaugura restaurante em Guaíba
- Justiça mantém justa causa de funcionária de supermercado que trocava códigos de carnes para amigos
- Governo divulga quem terá que devolver o Auxílio Emergencial
A reportagem tenta contato com o Banco Central, mas ainda não obteve retorno. O espaço segue aberto para manifestações.
Nota oficial da empresa
Nota da Celcoin
A Celcoin informa que não houve qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional.
Foi identificada uma movimentação atípica na conta de um cliente, prontamente detectada por nossos sistemas de monitoramento. Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente.
As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo white label utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente.
Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, mantendo contato direto com as autoridades competentes.
Reafirmamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil.
