Como a PF identificou hackers suspeitos de ataques ao sistema financeiro

A operação da Polícia Federal que resultou na prisão de oito suspeitos de ataques hackers ao sistema financeiro nacional, na última sexta-feira, foi realizada após monitoramento dos alvos e implantação de uma “ação controlada”. Essa técnica investigativa permite adiar a intervenção para coletar mais provas, identificar envolvidos e realizar uma ação mais eficaz.

A ação iniciou-se após denúncia da controladoria da Caixa Econômica Federal e interceptação de mensagens e vídeos em que os suspeitos se vangloriavam de ter acesso ao sistema Pix.

Os agentes foram alertados na quinta-feira pela Caixa sobre dois suspeitos que estavam transportando uma máquina com credencial e acesso externo à VPN (Rede Privada Virtual) sob posse do gerente de uma agência no Centro de São Paulo.

Durante a ação controlada, os policiais seguiram os alvos pelas ruas de São Paulo até uma residência na Zona Leste, onde outros hackers estavam reunidos.

Na casa, a Polícia Federal efetuou a prisão dos envolvidos em flagrante. Em depoimentos, a maioria negou participação nos ataques e afirmou que estavam na casa para uma festa. Foram apreendidos doze celulares, um notebook e um pendrive.

Por meio das mensagens interceptadas, a PF identificou hackers com codinomes como “SETHH 7”, “RBS” e “BA”. Um deles, segundo os investigadores, foi um dos responsáveis pela criação e habilitação dos meios para acessar o sistema Pix, tendo introduzido vulnerabilidades estruturais para facilitar futuros ataques.

Além disso, foi encontrado um vídeo onde um suspeito se vangloria de possuir “a senha que controla o Pix”.

A investigação ainda revelou a participação de doleiros encarregados de movimentar os valores subtraídos. Para dificultar o rastreamento, grande parte do dinheiro era convertido em criptomoedas e enviado ao exterior via pequenas fintechs.

A Justiça Federal de São Paulo transformou a prisão em flagrante em preventiva no sábado, baseado nas informações reunidas pela Polícia Federal.

De acordo com o relatório da PF: “Primeiramente, conforme mostrado nos vídeos, as pessoas identificadas tinham acesso ao COFRE DE SENHAS da Caixa Econômica Federal, sendo necessário apenas o acesso à VPN. Em segundo lugar, um dos envolvidos teria participado da construção do Arranjo de Pagamento Instantâneo. Em terceiro lugar, este é um fato recorrente, com informações sobre fraudes ainda não divulgadas”.

O documento conclui que se trata de uma organização criminosa atuando na subtração de recursos do Arranjo de Pagamento Instantâneo, acessando contas PI mantidas por instituições financeiras no Banco Central.

Alguns dos detidos na última sexta-feira são suspeitos de envolvimento em ataques hackers às empresas Sinqia e C&M, que conectam bancos ao sistema Pix e foram alvo de invasões nos últimos meses. Esses ataques teriam resultado no desvio estimado de aproximadamente R$ 1,5 bilhão por meio dessas instituições.

Em comunicado, a Polícia Federal informou que os suspeitos responderão pelos crimes de organização criminosa e tentativa de furto qualificado por meio eletrônico. As investigações seguem em sigilo e são conduzidas pela Delegacia de Repressão a Crimes Cibernéticos (Deleciber) da PF para identificar outros envolvidos.