Novo ataque hacker rouba milhões de instituição financeira e desafia BC
Invasão ao sistema de ERP da FictorPay resultou no roubo de pelo menos R$ 26 milhões. Criminosos realizaram 282 transações por Pix para 271 contas laranjas
A fintech FictorPay foi alvo de um ataque hacker que teve início por volta das 18 horas do último domingo, 19, que resultou no roubo de cerca de R$ 26 milhões. A fintech é controlada pela holding Fictor, empresa de participações e gestão com foco nos setores de indústria alimentícia, serviços financeiros e infraestrutura. Fundada em 2007 e com 4.000 funcionários, a companhia faturou R$ 3,5 bilhões em 2024 e quer atingir um faturamento de R$ 5 bilhões em 2025
Os golpistas virtuais encontraram uma brecha no sistema de ERP (Enterprise Resource Planning) da empresa e realizaram pelo menos 280 transações por Pix para aproximadamente 270 contas laranjas em diversos bancos e fintechs.
Por meio dessa brecha, os invasores obtiveram acesso ao certificado digital e às credenciais das contas utilizadas para a folha de pagamento da FictorPay, o que permitiu o saque indevido de valores.
As transferências feitas pelos criminosos não se sujeitaram à limitação de valor imposta pelo Banco Central. A FictorPay não é participante do Pix. Ela se conecta ao sistema por meio de empresas prestadoras de serviços que se enquadram nas normas da autoridade monetária e que não tiveram os seus sistemas afetados. A brecha foi encontrada pelos hackers nos sistemas da própria fintech.
Uma das empresas que presta serviço para a FictorPay é a Celcoin, que informou à reportagem que não houve qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional. Segundo a companhia, foi identificada uma “movimentação atípica” na conta de um cliente, prontamente detectada pelos sistemas de monitoramento.
“Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente. As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo white label utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente”, informou.
Ataque desafia BC
O novo ataque hacker mostra que os bandidos não têm se intimidado com os esforços da autoridade monetária e da Polícia Federal para garantir mais segurança no ambiente virtual de pagamentos.
Como mostrou o PlatôBR, o BC limitou em R$ 15 mil o valor de transferências para instituições de pagamento não autorizadas pela autarquia e para aquelas que se conectam ao sistema financeiro por meio de empresas terceirizadas, conhecidas tecnicamente como PSTIs (Prestadores de Serviços de Tecnologia da Informação). Atualmente, 250 instituições se conectam ao sistema financeiro por meio de terceirizadas.
Procurado, o BC não quis se manifestar. O PlatôBR entrou em contato, por telefone, com a FictorPay, mas não obteve retorno. Também enviou mensagens no LinkedIn do CEO da FictorPay, Ricardo Abdo, e do CEO do grupo Fictor, Rafael Gois. O espaço segue aberto para pronunciamento da companhia.
Leia a íntegra a nota da empresa:
A Celcoin informa que não houve qualquer invasão, ataque ou comprometimento em sua infraestrutura tecnológica ou ambiente transacional.
Foi identificada uma movimentação atípica na conta de um cliente, prontamente detectada por nossos sistemas de monitoramento. Assim que o comportamento foi percebido, bloqueamos preventivamente as operações e alertamos imediatamente o cliente.
As análises indicam que a origem do incidente está em uma empresa provedora de soluções de aplicativo white label utilizada por este cliente e por outras empresas do mercado, impactando diversos players de BaaS e Core Banking, sem qualquer relação com a Celcoin. Reforçamos que nenhuma invasão ou fraude ocorreu em nosso ambiente.
Seguimos apoiando o cliente nas investigações e nos procedimentos de recuperação dos valores, mantendo contato direto com as autoridades competentes.
Reafirmamos que todas as operações e ambientes da Celcoin permanecem estáveis e seguros, em total conformidade com as normas do Banco Central do Brasil.
