Ataque à C&M: entenda os riscos da engenharia social
Embora existam mecanismos robustos de segurança digital, sobretudo em sistemas financeiros, a influência humana pode atingir camadas críticas que nenhum algoritmo (pelo menos ainda) é capaz de detectar. Ameaças de engenharia social são um tema delicado e que requerem um grau de reflexão elevado de empresários e de autoridades do governo. O episódio da C&M, que presta serviços de TI ao Banco Central do Brasil (BCB), é um dos exemplos recentes.
Nesse caso, não houve um “ataque hacker”, propriamente dito, mas sim um exemplo clássico de engenharia social – um dos principais motivos pelos quais usuários perdem bilhões de dólares anualmente.
A questão é tão séria que, em julho de 2025, o BCB emitiu uma nota informando que a C&M sofreu uma suspensão parcial dos serviços. Isso significa que certos mecanismos digitais da terceirizada foram deixados de lado temporariamente, pois são potencialmente vulneráveis a ataques similares.
O que é engenharia social?
A engenharia social é uma das técnicas mais utilizadas por golpistas digitais e tem como base a manipulação psicológica do usuário. Em vez de explorar vulnerabilidades técnicas nos sistemas, os criminosos buscam persuadir a própria vítima a entregar informações sensíveis ou executar ações que possibilitem a fraude. Na prática, o usuário é induzido a clicar em links falsos, compartilhar senhas ou validar operações sem perceber que está sendo enganado.
Essa abordagem está presente em 98% dos ataques cibernéticos e responde por mais de 70% das violações de dados, segundo a Infobip.
O desafio da engenharia social está no fato de que ela depende do comportamento humano, não de falhas tecnológicas. Especialistas em cibersegurança alertam que a prevenção exige dois caminhos simultâneos: investir em tecnologias mais seguras e promover a educação digital.
Qual é a função da C&M?
É uma empresa de especializada em interligar instituições financeiras aos sistemas do BCB. De maneira específica, ela oferece serviços de mensageria que permitem a bancos menores, fintechs e outros modelos de negócios voltados à economia realizarem operações no Sistema de Pagamentos Brasileiro (SPB).
Esses serviços fazem a “ponte” entre o órgão central e as instituições, permitindo a liquidação de fundos via transferência bancária (Pix, TED, etc.). Trata-se, portanto, de um intermediário de confiança contratado para prover parte da infraestrutura necessária.
A suspensão parcial da C&M significa que ela ainda pode prestar serviços à autarquia, mas com algumas restrições, tais como de horários, anuência das instituições sobre as mudanças nos cronogramas de uso, reforço no monitoramento do serviço e “produção controlada” – no qual o BCB pode intervir novamente, caso haja necessidade.
Como a engenharia social foi envolvida no ataque?
A engenharia social tem como objetivo fazer manipulações psicológicas nas vítimas. Em vez de explorar vulnerabilidades técnicas nos sistemas de maneira direta, maus atores preferem se infiltrar entre funcionários da empresa e obter acessos e informações privilegiadas para atingir seus objetivos.
Segundo a Infobip, essa modalidade de golpe está presente em 98% dos ataques cibernéticos e responde a cerca de 70% das violações de dados.
Um ex-funcionário da C&M foi um dos pivôs do incidente digital. Ele teria vendido seu acesso ao sistema interno da empresa para criminosos, que foram responsáveis por drenar cerca de US$ 140 milhões (cerca de R$ 800 milhões).
João Nazareno Roque foi apontado como o responsável pelo vazamento do acesso privilegiado aos invasores. Ele foi preso pouco depois de o caso ter eclodido e, segundo informações do InfoMoney, seus advogados afirmam que João teria sido vítima de manipulação para transmitir as informações.
A ação do ex-funcionário mostra como as ameaças internas (ou aquelas facilitadas por pessoas com acesso privilegiado) podem ser mais perigosas que ataques cibernéticos que visam penetrar em sistemas forçadamente.
Já do ponto de vista de proteção, o caso da C&M mostra que ataques podem ser evitados com adoção de algumas posturas de precaução, tais como:
Controles de acesso rigorosos
Garantir que apenas funcionários com necessidade real sejam autorizados a acessar sistemas críticos. Os administradores deveriam ser notificados prontamente sobre o acesso, revogando-o imediatamente após o trabalho ser concluído.
Monitoramento de atividades
Comportamentos incomuns ou acessos indevidos podem ser monitorados também por softwares específicos. Eles ajudam a garantir a integridade dos serviços, ainda que não existam administradores próximos no momento em que houver acesso privilegiado de funcionários.
Conscientização em compliance
Treinar continuamente os funcionários sobre os riscos da engenharia social é uma das medidas mais importantes. Todos precisam entender a importância por trás dos graus de acesso que lhe são concedidos, bem como as consequências por trás de seu mau uso.
Engenharia social é frequente no mundo cripto
Golpes de phishing são um dos mais comuns dentro do universo blockchain. Um artigo da Chainalysis aponta, inclusive, que Inteligência Artificial (IA) está sendo utilizada para se comunicar com as vítimas, fazendo com que o contato pareça legítimo e humano.
Robôs de investimento falsos, deepfake scams (falsificações que parecem idênticas aos serviços originais) e phishing gerado por IA estão entre as principais ameaças, embora existam muitas outras.
Desavisados acabam fornecendo informações críticas aos criminosos, como frases mnemônicas (que garantem acesso à chave privada das carteiras), informações cadastrais, entre outros. Por esse motivo, a educação das empresas e dos usuários exige um cuidado especial para evitar que tragédias financeiras ocorram em grande escala.
O post Ataque à C&M: entenda os riscos da engenharia social apareceu primeiro em PanoramaCrypto.
.
