PF prende 8 acusados de ataques bilionários contra bancos e evita megagolpe contra a Caixa

Mesmo depois de terem se apossado de quase R$ 1,2 bilhão em dois ataques a dez instituições financeiras do país, o grupo de hackers que invadiu as contas de liquidação interbancária, as Contas PI, mantidas no Banco Central tentava um novo golpe, desta vez, seria ainda maior. Ele tinha como alvo a Caixa Econômica Federal e ia afetar não apenas o dinheiro da Conta PI, mas também o dinheiro disponível para o atendimento do varejo, o que alcançaria recursos de programas do governo federal e despesas e créditos do próprio orçamento público.

Desde que os bandidos conseguiram desviar R$ 800 milhões de oito bancos em 30 de junho, a Delegacia de Repressão a Crimes Cibernéticos (Deleciber), da Policia Federal, já havia detido quatro suspeitos de participar dos ataques. O primeiro foi feito por meio da cooptação do funcionário da C&M, uma Prestadores de Serviços de Tecnologia da Informação (PSTI), contratada por bancos e fintechs para interligá-los ao sistema Pix.

O maior prejuízo foi do banco BMP, que sofreu uma perda de R$ 479 milhões — inicialmente estimada em R$ 541 milhões. O segundo ataque aconteceu contra Sinqia, outra empresa de tecnologia que conecta bancos ao sistema financeiro. Ali outros R$ 710 foram desviados, mas R$ 583 milhões foram bloqueados pela Banco Central. O ataque teve como principal vítima o Banco HSBC. Apesar do sucesso bilionário, a quadrilha de hackers ainda queria mais.

Foi assim que, no dia 12 de setembro, a Deleciber recebeu um ofício da Caixa, informando que naquele dia um grupo de pessoas iria obter de um gerente de agência da Caixa Econômica Federal no Largo da Concórdia, no Brás, na região central de São Paulo uma máquinas com credencial, para acesso externo à VPN do banco.

De acordo com as investigações da PF, os suspeitos eram pessoas que se identificavam como “SETHH 7, RBS e BA’”. Eles seriam responsáveis pelos furtos bilionários em contas mantidas pelo Banco Central, no setor chamado Arranjo de Pagamento Instantâneo. Ainda no dia 12, segundo a PF, com o intuito de viabilizar subtração de recursos, “houve o comparecimento de pessoas para subtração da máquina à agência da caixa”.

Uma equipe da PF foi ao local e acompanhou a “subtração de um notebook por pessoas não identificadas”. De acordo com a PF, essas pessoas saíram do local em um carro Toyota Corolla Cross vermelho. Ali estavam os acusados Fernando Vieira da Silva e Guilherme Marques Peixoto. Antes de serem detidos pelos policiais, eles passaram o notebook para os ocupantes de uma SPIN preta, que foi seguida por outras equipes da PF, até que ela parou em frente a uma casa, na Rua Braço da Cruz, 55, em Cidade patriarca, na zona leste de São Paulo.

Os federais abordaram ali três pessoas que saíram da casa e outras três dentro do imóvel. E recuperaram no lugar o computador retirado da agência da caixa. O computador estava ligado e os hackers se preparavam para iniciar o ataque ao banco. Ali os policiais detiveram: José Elvis dos Santos, Klaiton Leandro Matos de Paulo, Maicon de Souza Ribeiro Rocha, Marcos Vinícius dos Santos, Nicollas Gabriel Pytlak e Rafael Alves Loia. E apreenderam 12 telefones celulares, além de computadores.

Segundo a PF, os acusados estavam reunidos para começar o ataque. Ali estava a pessoa que se identificava como BA, responsável pela construção dos protocolos do Arranjo de Pagamento Instantâneo, que teria introduzido vulnerabilidade específica para invadir os sistemas da Sinqia e da C&M. Em conversas obtidas pela PF, BA disse que atuava há tempos com o integrante da quadrilha que usava o codinome “SETHH 7″ ao lado de ‘RBS’, o qual ele chamava de Rafa, além de um “terceiro ator intitulado de ‘liderança’”.

Rafa seria Rafael Alves Loia. E a liderança seria Nicollas Gabriel Pytlak. Nas conversas interceptadas pela PF, BA afirma que estava indo no dia 12 à São Paulo em companhia de Gordão, onde se reuniram em um hotel. O grupo alugou então a casa na Cidade Patriarca para a execução do ataque. Ainda segundos as mensagens, “nesse imóvel” já “estariam presentes ‘doleiros’, designados como responsáveis pela destinação dos valores a serem subtraídos”.

De fato, o dinheiro desviado dos bancos era transformado rapidamente em criptoativos e enviados a carteiras no exterior depois de os recursos terem sido pulverizados em milhares de contas de fintechs , empresas de fachada e de laranjas. Ainda, segundo a PF, nas mensagens, o grupo de hackers confessa que um de seus integrantes executou o ataque ao sistema da empresa Sinqia, que “viabilizou a realização de operações financeiras de Pix, culminando em prejuízo financeiro estimado de R$420 milhões”.

O hacker BA seria um dos responsáveis pela construção e viabilização dos meios de acesso ao sistema PIX, subtraindo valores de contas de reserva bancária no Banco Central. Ele teria introduzido vulnerabilidades estruturais de modo a viabilizar novos ataques. Nas mensagens, “RBS”, tratado como “Rafa”, confirma, segundo a PF, que ele os demais integrantes foram os responsáveis pelos ataques à Sinqia e ao Banco Central (C&M).

Outro dos acusados em mensagem confessa deter “a senha” que “gira o Pix para as fraudes”, com subtração de recursos no Arranjo de Pagamento Instantâneo. Um dos acusados afirmou anda que toda “a estrutura para execução do ‘trabalho’” já havia sido viabilizada ao conversar com RBS, a quem também chama de “Liderança” e adiciona orientações citando, como exemplo, o que ele mesmo diz ter feito com um “empregado do Banco do Brasil”.

De acordo com a PF, a mensagem indicaria o ”elevado grau de probabilidade que o mesmo grupo também foi apontado como o executor pelo ataque contra àquela instituição financeira (Banco do Brasil)“. Nas conversas, ”RBS”, a Liderança, afirma ter experiência em realizar procedimentos operacionais para que não se levantem suspeitas contra os integrantes do banco, após a subtração dos valores.

Ainda segundo os diálogos obtidos pela PF, “BA” teria participado da construção dos protocolos do Arranjo de Pagamento Instantâneo, de modo a deixar vulnerabilidades, que estariam sendo exploradas, em benefício próprio. Essa pessoa estaria foragida e teria ligações com o banco. Por meio de sua ajuda, os acusados teriam conseguido acesso ao Cofre de Senhas da Caixa Econômica Federal, e que apenas haveria a necessidade de acesso à VPN para efetivar o golpe. Eis a razão do furto do notebook.

“Trata-se de organização criminosa, que tem atuado em subtração de recursos do Arranjo de Pagamento Instantâneo, com acesso indevido a contas PI, mantidas por Instituições Financeiras no Banco Central”, concluiu a PF. As contas PI mantém dinheiro dos bancos e são usadas para transações realizadas no Sistema de Pagamento Instantâneo, PIX.

“Vale dizer, diferente de subtração verificada nas contas de varejo, no caso da Conta PI, há patrimônio afetado para despesas específicas, de modo que a subtração nos moldes identificados representa comprometimento para capacidade da instituição financeira, em razão de prejuízo ao Índice de Basileia, ou índice prudencial”,. explicaram os federais.

Mas no caso do novo golpe, havia uma diferença. No caso da Caixa, a subtração do montante disponível na Conta PI, além do atendimento do varejo, também afetaria programas do governo federal, bem como despesas e créditos do próprio orçamento.

Em seus depoimentos, Fernando, José Elvis, Marcus Vinícus, Klaiton Leandro e Maicon Douglas disseram desconhecer o ataque à Caixa e afirmaram que foram envolvidos, sem saber do que se tratava, no caso. Pytlak disse que estava passeando em São Paulo quando foi preso. Rafael Loia também negou liderar o grupo e disse não saber mexer com computador. Guilherme Peixoto foi o único que se manteve em silêncio.