O Brasil registrou nesta semana o maior vazamento de chaves Pix desde a criação do sistema, com a exposição de dados de mais de 11 milhões de usuários, segundo o Banco Central. 

As informações foram acessadas indevidamente por meio do Sisbajud, sistema operado pelo Conselho Nacional de Justiça (CNJ). A ferramenta permite aos juízes pedir informações financeiras e bloquear ativos de devedores. 

Embora não tenha exposto dados sensíveis, como senhas ou saldos bancários, o incidente chama a atenção pelo volume de dados extraídos e serve de alerta para revisão de protocolos de segurança digital.

Por que esses tipos de dados são roubados?

Uma das grandes dúvidas que surgem é sobre a motivação de hackers para extração desse tipo de dado.  “É um crime cibernético com busca de vantagem financeira. O dado por si só não permite a movimentação de conta, mas ele pode ser usado como peça dentro de uma cadeia de fraude”, afirma Geraldo Guazzelli,diretor para o Brasil da NETSCOUT,  especialista em segurança digital.

Nomes, bancos, números de contas e chaves Pix são valiosos quando combinados com outras bases de dados obtidas ilegalmente, ou explorados por meio de técnicas de manipulação das pessoas, com ligações falsas e mensagens fraudulentas, com links maliciosos. As estratégias mais utilizadas são o phishing, em que e-mails ou sites falsos imitam instituições confiáveis, e o smishing, que segue a mesma lógica, mas acontece por mensagens de texto ou aplicativos como WhatsApp. “Hoje é muito comum a obtenção de senha através de phishing ou smishing, de engenharia social, de uma forma geral”, diz.

Como saber se seus dados de Pix foram vazados

Quando ocorrem incidentes que possam causar risco ou dano relevante às pessoas envolvidas, eles precisam ser comunicados aos afetados e à Autoridade Nacional de Proteção de Dados (ANPD). O Conselho Nacional de Justiça (CNJ) anunciou que disponibilizará em breve uma ferramenta online para que os cidadãos possam verificar se seus dados foram expostos no vazamento. A consulta estará acessível exclusivamente pelo site oficial: www.cnj.jus.br. O CNJ reforçou que esse será o único canal de comunicação com os afetados e alertou que não entrará em contato por mensagens, emails, ligações telefônicas ou SMS.

Para o usuário comum, ele recomenda ficar atento. “A gente não vai eliminar os ataques, assim como não se elimina todos os ratos de uma cidade, mas pode reduzir o impacto com prevenção e resposta rápida”, diz.

Confira o que ele recomenda para reforçar a segurança:

Mudar a senha assim que souber que seus dados vazaram.

Evitar usar Wi-Fi público para transações bancárias.

Desconfiar de ligações, e-mails ou SMS pedindo confirmação de compras ou senhas.

Nunca clicar em links de remetentes desconhecidos.

3 pilares para evitar vazamentos

O primeiro passo para  empresas, órgãos públicos evitarem vazamentos como o que atingiu o sistema do CNJ é garantir visibilidade total sobre o tráfego de dados. Isso significa monitorar o que entra, sai e circula dentro da rede, que, hoje, não está mais restrita a servidores físicos. 

As instituições operam em nuvem, data centers próprios e terceiros, o que exige atenção redobrada. “Não adianta mais cercar o perímetro, como se fazia no passado. É preciso enxergar tudo, de todos os pontos da rede”, explica Geraldo Guazzelli.

Além da visibilidade, é essencial contar com ferramentas de correlação que analisem os dados em tempo real e detectem comportamentos suspeitos. Sistemas baseados em machine learning aprendem os padrões normais da operação e são capazes de bloquear automaticamente ações fora do comum. “A máquina avisa que algo está errado e pode até interromper um acesso até que um responsável autorize”, diz Guazzelli. Esses sistemas ajudam a evitar, por exemplo, que um invasor use a credencial de um funcionário para acessar áreas sensíveis.

O terceiro pilar é a capacidade de transformar todos esses dados em inteligência de segurança. Ou seja, gerar dados organizados que possam ser compartilhados com outras ferramentas e setores da instituição. Isso permite que a organização crie estratégias preventivas, detecte falhas recorrentes e se prepare melhor para novos ataques. “Esses dados analíticos são como um feed de vacina. Alimentam os sistemas com alertas atualizados para bloquear ameaças antes que causem danos”, diz o especialista.

O elo mais fraco são as pessoas

No começo de julho, João Nazareno Roque, 48 anos, terceirizado da C&M Software, foi preso pela Polícia Civil,  apontado como responsável  pelo desvio de R$ 541 milhões das contas-reserva da BMP Instituição de Pagamentos, em uma ataque hacker que afetou ao menos seis bancos no dia 2 de julho.

 A investigação policial indica até agora que Roque entregou suas credenciais corporativas, permitindo que hackers acessassem o sistema que conecta instituições financeiras ao Banco Central e ordenassem transferências em massa via Pix. A C&M Software conecta empresas financeiras ao sistema de pagamentos do Pix.

As pessoas ainda são o elo mais fraco, na segurança digital, diz o especialista.. “Você tem o roubo de credencial mesmo, onde a pessoa desavisadamente entrega, você tem a venda de credencial”, diz Guazzelli.