Engenharia social é uma técnica de manipulação para fazer com que pessoas revelem informações confidenciais ou que comprometam sua segurança. Pode ser feita por e-mails ou mensagens chamativas que roubam informações (phishing) ou por meio da persuasão de uma pessoa, por exemplo.

No caso da C&M Software, um funcionário foi cooptado a ceder seu login e senha em troca de R$ 15 mil. Em depoimento à polícia, o suspeito disse que “foi seduzido pela proposta” e “alegou que não sabia o que iria acontecer”. Ele foi abordado na saída de um bar, em março, por um homem que disse querer conhecer o sistema da companhia onde ele trabalhava.

A participação de alguém de dentro, seja colaborando ativamente, vazando informações ou sendo coagido, em incidentes de segurança representam de 20% a 30% de incidentes graves em segurança corporativa. No caso da C&M Software, foi um ataque de supply chain [direcionado a uma fornecedora de tecnologia para bancos], e eles são bem menos comuns, mas costumam ter danos desproporcionais
Hiago Kin, presidente do Ibrinc (Instituto Brasileiro de Resposta a Incidentes Cibernéticos)

Kin ressalta que em ambientes financeiros regulados, como o brasileiro, um ataque como o ocorrido é “raro”. Segundo o especialista, não há registros públicos recentes que combinassem aceso a contas reservas e transferências milionárias.

Falha de controle de acesso e de monitoramento permitiram as movimentações financeiras. Segundo Rodrigo Takao, diretor de tecnologia da informação da empresa de serviços financeiros Gokei, foi um ataque sofisticado a ponto de estudarem a arquitetura do sistema de transferência, além de possivelmente mapear as credenciais acessíveis de clientes da C&M.

Ataques ao setor financeiro são frequentes. Porém, ataques com elemento interno –seja por colaboração intencional ou coação– são críticos e menos comuns
Rodrigo Takao, diretor de tecnologia da informação da empresa de serviços financeiros Gokei