Segurança da Informação

Segurança da Informação e Engenharia Social: Lições do Ataque ao Sistema PIX

Lições do ataque ao sistema PIX: entenda como a engenharia social comprometeu o Banco Central do Brasil e confira um checklist de melhores práticas para proteger sua empresa contra ameaças cibernéticas.

By admin
July 4, 2025
6 min read

Introdução

O recente ataque à conta-reserva do Banco Central do Brasil, que resultou no desvio de milhões de reais de instituições financeiras como a BMP, acende um alerta crucial sobre a fragilidade dos sistemas de segurança digital e a crescente sofisticação das ameaças cibernéticas. Este incidente, que envolveu o uso indevido de senhas e credenciais de clientes da C&M Software, ressalta a importância vital da segurança da informação e, em particular, da engenharia social como vetor de ataque. A Mupi Systems, com seu foco em tecnologia e inovação, e seu compromisso com a segurança da informação, compreende a gravidade desses eventos e busca conscientizar sobre as melhores práticas para proteger dados e sistemas.

O Ataque ao Banco Central: Um Estudo de Caso em Engenharia Social

O ataque ao Banco Central do Brasil, conforme noticiado pelo G1 [1], não se baseou em falhas diretas nos sistemas do Banco Central ou da C&M Software, mas sim na exploração de um elo fraco: o fator humano. As evidências apontam que o incidente decorreu do uso de técnicas de engenharia social para o compartilhamento indevido de credenciais de acesso. Isso significa que, em vez de invadir tecnicamente os sistemas, os criminosos manipularam um funcionário para obter acesso privilegiado. A BMP, por exemplo, perdeu sozinha R$ 541 milhões [1], e outras instituições também foram afetadas, com o prejuízo total ainda sendo contabilizado.

O que é Engenharia Social?

Engenharia social é a arte de manipular pessoas para que elas revelem informações confidenciais ou realizem ações que normalmente não fariam. Diferente dos ataques cibernéticos tradicionais que exploram vulnerabilidades de software, a engenharia social explora a psicologia humana. Os criminosos utilizam táticas como phishing, pretexto, isca, quid pro quo e tailgating para enganar suas vítimas. No caso do ataque ao Banco Central, a manipulação de um funcionário da C&M Software para que ele desse acesso à sua máquina aos hackers é um exemplo clássico de engenharia social em ação.

A Importância da Segurança da Informação

Incidentes como o ataque ao Banco Central reforçam que a segurança da informação vai muito além de firewalls e antivírus. Ela engloba um conjunto de práticas, políticas e tecnologias que visam proteger os ativos de informação de uma organização contra acesso não autorizado, uso, divulgação, interrupção, modificação ou destruição. Os pilares da segurança da informação – confidencialidade, integridade e disponibilidade – são constantemente desafiados por ameaças que evoluem rapidamente.

Checklist de Melhores Práticas para Proteger Empresas de Ataques de Engenharia Social

A proteção contra a engenharia social exige uma abordagem multifacetada, com foco na conscientização e treinamento contínuo dos colaboradores. Para empresas, a implementação de um checklist robusto pode ser a chave para fortalecer suas defesas. Considere as seguintes práticas:

1. Treinamento e Conscientização Contínuos:

  • Realize sessões de treinamento regulares para todos os funcionários, abordando as táticas mais recentes de engenharia social (phishing, smishing, vishing, pretexting, etc.);
  • Utilize simulações de ataques de phishing para testar a resiliência dos funcionários e identificar áreas que necessitam de mais treinamento.
  • Crie uma cultura de segurança onde os funcionários se sintam à vontade para relatar atividades suspeitas sem medo de retaliação.

2. Políticas de Segurança Claras e Aplicáveis:

  • Desenvolva e implemente políticas claras sobre o manuseio de informações confidenciais, uso de senhas fortes e a importância da autenticação de múltiplos fatores (MFA) para todos os sistemas;
  • Estabeleça procedimentos rigorosos para a verificação de identidade em solicitações de informações ou acesso a sistemas, especialmente para aquelas feitas por telefone ou e-mail.
  • Defina políticas de resposta a incidentes que incluam a engenharia social como um vetor de ataque.

3. Implementação de Tecnologias de Segurança:

  • Implemente firewalls, sistemas de detecção e prevenção de intrusões (IDS/IPS) e softwares antivírus/antimalware atualizados.
  • Considere a adoção de soluções de segurança de endpoint que protejam os dispositivos dos usuários contra ameaças.
  • Invista em sistemas de gerenciamento de identidade e acesso (IAM) para controlar e monitorar o acesso aos recursos da empresa.

4. Gerenciamento de Acesso e Privilégios:

  • Adote o princípio do privilégio mínimo, concedendo aos funcionários apenas o acesso necessário para realizar suas funções.
  • Revise regularmente as permissões de acesso dos usuários, especialmente após mudanças de função ou desligamento de colaboradores.
  • Implemente a autenticação de múltiplos fatores (MFA) para todos os acessos a sistemas e redes, adicionando uma camada extra de segurança.

5. Desconfiança e Verificação:

  • Incentive uma cultura de desconfiança saudável em relação a solicitações inesperadas, especialmente aquelas que exigem urgência ou desviam dos procedimentos normais.
  • Sempre verifique a identidade de quem solicita informações confidenciais ou acesso a sistemas, utilizando um canal de comunicação diferente do original (por exemplo, ligue para um número de telefone conhecido em vez de responder a um e-mail suspeito).
  • Oriente os funcionários a nunca clicarem em links suspeitos ou abrirem anexos de e-mails de remetentes desconhecidos.

6. Atualização e Manutenção de Sistemas:

  • Mantenha todos os sistemas operacionais, softwares e aplicativos atualizados com os patches de segurança mais recentes para corrigir vulnerabilidades conhecidas.
  • Realize auditorias de segurança e testes de penetração regularmente para identificar e corrigir falhas de segurança antes que sejam exploradas por atacantes.

O Compromisso da Mupi Systems com a Segurança

A Mupi Systems reconhece a segurança da informação como um pilar fundamental de seus negócios. Somos focados na segurança da informação, investindo em tecnologias avançadas e em equipe qualificada para proteger os dados de nossos clientes e usuários. A Mupi Systems oferece soluções que, indiretamente, contribuem para a segurança, como sistemas de gestão de pessoas e plataformas de estruturação de textos, que podem ser integrados a políticas de segurança mais amplas.

Conclusão

O ataque ao Banco Central do Brasil serve como um lembrete contundente de que a segurança cibernética é uma responsabilidade compartilhada. Enquanto a tecnologia avança, os criminosos também aprimoram suas táticas, com a engenharia social emergindo como uma das ferramentas mais eficazes. Para empresas e indivíduos, investir em segurança da informação, com ênfase na conscientização e treinamento contra a engenharia social, não é mais uma opção, mas uma necessidade imperativa para proteger ativos valiosos e garantir a continuidade dos negócios em um cenário digital cada vez mais complexo.

Referências

[1] G1. Ataque hacker ao sistema financeiro: BMP perdeu, sozinha, R$ 541 milhões; outras instituições também foram afetadas. Disponível em: https://g1.globo.com/economia/noticia/2025/07/04/ataque-hacker-recursos-desviados.ghtml

Tags

#engenharia social#PIX#Banco Central#cibersegurança#phishing#segurança da informação

About the Author

admin

admin

Especialista em transformação digital

Categories

Segurança da Informação

Did you like this content?

Subscribe to our newsletter and receive more insights like this directly in your email.

Talk to specialists
Segurança da Informação e Engenharia Social: Lições do Ataque ao Sistema PIX | Mupi Systems Blog | MUPI Systems