Fintech é alvo de novo ataque hacker. Criminosos roubam R$ 26 milhões

O sistema financeiro nacional foi novamente alvo de um . No último domingo (19/10), foi a vez da fintech FictorPay sofrer a ação de criminosos, que roubaram pelo menos R$ 26 milhões da instituição financeira. A fintech é controlada pela holding Fictor, uma empresa de participações e gestão que atua nos setores de indústria alimentícia, serviços financeiros e infraestrutura. A empresa, fundada em 2007, conta com cerca de 4 mil funcionários. A informação sobre o novo ataque hacker foi publicada inicialmente pelo PlatôBR. Como foi o ataque Para atacar a FictorPay, os hackers se valeram de uma brecha em aplicativos internos da companhia e efetuaram pelo menos 280 transações via Pix para cerca de 270 “contas-laranja” em vários bancos e outras fintechs. Por meio dessa vulnerabilidade no sistema, os criminosos acessaram a conta de uma prestadora de serviço da fintech, o que possibilitou os saques. Essas transferências não estiveram sujeitas à limitação de valores imposta pelo – a FictorPay não é participante do Pix. A empresa se conecta ao sistema por meio de prestadoras de serviço que, em tese, se enquadram nas regras da autoridade monetária brasileira e não tiveram seus sistemas atingidos. Uma das companhias que prestam serviço à FictorPay é a Celcoin. Ao PlatôBR, a empresa informou que não houve qualquer invasão ou comprometimento de sua infraestrutura de tecnologia, mas uma “movimentação atípica” na conta de um cliente. “Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente. As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo ‘white label’ utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente”, disse a empresa. “Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, mantendo contato direto com as autoridades competentes. Reafirmamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil”, completa a empresa. Até o momento, o BC não se manifestou sobre o incidente. Leia também O novo episódio se soma a outros quatro ataques hackers contra o sistema financeiro do país registrados nos últimos três meses, que tiveram como principais alvos a C&M Software e a Sinqia, (cujo nome-fantasia é Monbank) . Essas empresas interligam instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB) – o que engloba o ambiente de liquidação do Pix, sistema de transferências e pagamentos instantâneos criado pelo BC em 2020 e amplamente utilizado pelos brasileiros. Nos casos envolvendo C&M e Sinqia, os hackers também atingiram contas de reserva de instituições financeiras que usavam os sistemas das respectivas provedoras de serviços de tecnologia da informação (PSTIs). Essas contas são mantidas pelo BC e funcionam para a liquidação de operações interbancárias, como Pix, TEDs (Transferências Eletrônicas Disponíveis) e boletos. Novas normas do BC , alvo de recentes ataques promovidos por grupos criminosos, para combater a atuação do crime organizado no sistema financeiro. O BC fixou um teto de R$ 15 mil em operações via TED e Pix para instituições de pagamentos não autorizadas e as que se conectam ao SFN por meio de prestadores de serviços de tecnologia de informação (PSTI). Essa limitação poderá ser removida assim que o participante e o respectivo prestador de serviços “atenderem aos novos processos de controle de segurança” previstos pelo Banco Central. Os participantes que comprovarem a adoção de controles de segurança da informação poderão ser dispensados da limitação por até 90 dias. O BC também prevê que, a partir de agora, “nenhuma instituição de pagamento poderá começar a operar sem prévia autorização” da autoridade monetária. As que já operam precisam solicitar autorização ao BC até maio de 2026. Além disso, a instituição de pagamento que estiver prestando serviços e tenha o pedido de autorização indeferido deverá encerrar as atividades em até 30 dias, conforme determinação do BC. Casos recentes O registro de mais um ataque hacker contra o sistema financeiro do Brasil acontece cerca de 50 dias depois de a Sinqia – empresa de tecnologia que presta serviços para instituições financeiras – ter sido alvo da ação de criminosos digitais. Por meio de nota, . Estima-se que o BC tenha conseguido bloquear, até aqui, cerca de R$ 360 milhões do montante desviado no caso da Sinqia. A autoridade monetária ainda não se manifestou sobre o caso. De acordo com a Sinqia, foi identificada uma atividade não autorizada em seu ambiente que acessa o sistema do Pix. “Ao detectar esse incidente, e agindo de acordo com seus protocolos de resposta, a Sinqia suspendeu o processamento de transações em seu ambiente Pix e começou a trabalhar com especialistas de cibersegurança externos”, disse a empresa, na época. A Sinqia afirmou ainda que, segundo uma investigação preliminar, as transações não autorizadas ocorreram por meio da exploração de credenciais legítimas de fornecedores de Tecnologia da Informação (TI) da empresa. Após o incidente, todos os acessos a essas credenciais foram encerrados. Em junho, . Na ocasião, a Polícia Civil de São Paulo investigou a atuação ilegal de um funcionário da empresa, João Nazareno Roque, que teria negociado credenciais de acesso ao sistema aos criminosos. Ele está preso. . Uma das instituições mais afetadas foi a BMP, uma provedora de serviços de “banking as a service” que está em operação desde 1999 e perdeu pelo menos R$ 541 milhões. O episódio é considerado o maior ataque hacker da história do país no setor financeiro. Em setembro, foi a vez de a fintech Monetaire ser alvo dos hackers. . Também no mês passado, o BC emitiu um alerta de segurança informando sobre a ocorrência de um novo ataque hacker a funcionar pela autoridade monetária.