Dez homens entre 22 e 46 anos e uma mulher de 26, nascidos em São Paulo, Bahia, Pernambuco, Pará e Goiás, cujas profissões vão desde desenvolvedor de software, corretor de criptomoeda, “consertador” de celular a dono de mecânica, motorista de aplicativo, estudante de medicina, empresário e montador de placas de drywall.
Uma parte deles tem histórico criminal por furto, porte de arma, estelionato, fraude e invasão a dispositivo eletrônico. Este é o perfil dos 11 alvos presos pela Polícia Federal e pelo Ministério Público de São Paulo nos últimos três meses por suspeita de envolvimento em dois ataques cibernéticos ao sistema financeiro nacional, mostra levantamento do GLOBO.
As ações realizadas contra a C&M Software e a Sinqia Digital, empresas que conectam algumas instituições financeiras ao sistema do Pix, podem ter desviado R$ 1,2 bilhão, e seguem sob investigação por uma força-tarefa que identificou conexões das duas invasões com outras tentativas.
- ‘Notebook da Caixa’ e ‘senha que gira o Pix’: Como a PF chegou até hackers suspeitos de ataques ao sistema financeiro nacional
Alvo da Operação Magna Fraus e um dos primeiros detidos, um corretor de criptoativos (trader), natural de Paraupebas (PA) é apontado como um dos principais responsáveis por “planejar e executar” a lavagem de dinheiro do esquema.
Em conversas interceptadas pelos investigadores, ele é avisado na véspera do ataque à C&M por um hacker identificado como “Breu” a “”trocar uns 300M” e “ficar on” para “ir limpando o dinheiro”. Ele movimentou mais de R$ 124 milhões entre 30 de junho e 4 de julho em uma única carteira de criptomoeda.
“Sua atuação como lavador de criptoativos consistia no recebimento dos valores e sua imediata conversão em diferentes tokens, visando à dissimulação e ao distanciamento dos recursos de sua origem criminosa”, afirma denúncia do MP de São Paulo obtida pelo GLOBO.
Os promotores ainda anotaram que ele tinha acesso a contas bancárias com “alta capacidade de movimentação”, como “de tesouraria de banco”. Na audiência de custódia, o trader relatou que já havia sido preso em 2019 por estelionato e associação criminosa em Mato Grosso do Sul.
Outro preso por envolvimento nos ataques hackers já tinha sido denunciado pelo MP do Distrito Federal por uma invasão cibernética à rede de um dos principais hospitais de Brasília, em agosto de 2022. Após acessar o banco de dados da instituição, o hacker apelidado de “snow” (neve) e um outro comparsa ameaçaram o diretor do hospital de expor informações de pacientes se não recebessem em troca uma quantia de 43 bitcoins (hoje, o valor equivale a cerca de R$ 619 mil).
Conforme a promotoria, os hackers ainda tentaram corromper um funcionário do hospital para que ele fornecesse a senha do antivírus do hospital para conseguir desabilitar o firewall e introduzir o software malicioso no sistema.
O modus operandi do ataque ao hospital é similar ao dos ataques à C&M e à Sinqia. Os investigadores suspeitam que meses antes das duas ocorrências houve um recrutamento em fóruns na internet para cooptar funcionários com acesso a credenciais de instituições financeiras.
No início de setembro, a PF foi avisada pelo setor de controle da Caixa Econômica Federal de que criminosos iriam pegar um notebook com credenciais de acesso à rede do banco. Os agentes acompanharam a entrega, seguiram os suspeitos e chegaram a uma casa onde eles estavam reunidos na Zona Leste de São Paulo. Todos foram presos em flagrante, e a invasão foi frustrada.
“Há indícios de que os investigados participam de um poderoso grupo criminoso com organização profissional, voltado à prática de fraudes bancárias milionárias contra instituições financeiras”, escreveu o juiz ao decretar a prisão preventiva dos suspeitos.
Em julho, a Polícia de São Paulo prendeu um operador de Tecnologia da Informação da C&M que confessou ter vendido o seu login e senha a um grupo de hackers por R$ 15 mil. Aos policiais, ele não conseguiu identificar os criminosos, só declarou ter conversado com quatro homens diferentes que tinham “vozes de jovens”.
Antes dos dois ataques, os investigadores identificaram uma sequência de invasões menores, que miravam a fragilidade das chamadas contas reservas (utilizadas para movimentação entre instituições financeiras), onde teriam ocorrido os desvios.
Com o acesso de credenciais legítimas de funcionários, os hackers realizaram diversas transferências de forma fracionada e simultânea num período de pouca vigilância, como a madrugada de um fim de semana. O montante, então, foi remetido a contas de possíveis laranjas, que envolvem em sua maioria pessoas de baixa renda sem conhecimento do esquema bilionário. Parte do montante foi convertida em criptomoeda para dificultar a rastreabilidade e permitir remessa ao exterior.
No caso da C&M, a maior parte do dinheiro passou por pequenas fintechs, enquanto na Sinqia envolveu contas de bancos de grande porte, que permitem a transferência de uma cifra maior, mas contam com sistema mais rígido contra fraudes e invasões. Por isso, dos R$ 710 milhões desviados por meio de transações não autorizadas da Sinqia, R$ 589 milhões foram recuperados.
O BC informou que o seu sistema não foi atingido em nenhum dos ataques. As investigações continuam para a identificação de outros envolvidos.