Hipótese 4: fraude, especialista não-identificado
Um dos especialistas em cibersegurança consultados prefere não ser identificado e acredita que houve fraude e não a exploração de uma falha técnica. Na opinião dele, várias características do incidente apontam para essa hipótese. “São quantias muito elevadas. Acredito que na primeira transferência o gerente da conta teria ligado para entender a respeito dessa transferência. Se nós, ‘pobres mortais’, já somos questionados, quanto mais com diversas TEDs, para contas diferentes [e] com altos valores”, comentou inicialmente.
Embora admitindo não conhecer em detalhes os controles da insttuição, ele pondera que em outros, como o Bradesco, “só para acessar (visualizar) a conta já é necessário o token. Para transferência, é necessário também o token e ainda a leitura de QR Code em cada transação. Na maioria das empresas, os recursos de acesso (senha, token etc.) ficam em poder do departamento de tesouraria. É esse o pessoal que fica com o token e com as senhas”, reforça.
No caso de uma falha técnica, ele acha que para um hacker invadir a conta ainda precisaria obter não apenas os dados de conta e agência, mas também a senha de transações, além da senha de internet (bankline) e também ter em mãos o token: “Supondo que o ‘Hacker’ fez um phishing e conseguiu os acessos, inclusive o token daquele momento: a numeração do token dura no máximo um minuto. Pelo que está publicado, foram 11 transações. No mínimo, a área de fraudes do banco também iria detectar”, pondera.
Veja isso
Como foi o roubo na conta da Gerdau via internet banking
Acesso sem credenciais leva R$ 30 milhões de conta da Gerdau
O especialista lembra que hoje os bancos analisam cuidadosamente os aspectos comportamentais da movimentação dos clientes. Em resumo, ele observa, o “hacker conseguiu o token da conta de alguma maneira, e por algum milagre, ninguém estava monitorando?” Ele acha difícil que o responsável pela tesouraria não entrte ao menos uma vez por dia na conta. “Será que ele não ia ver que estava faltando dinheiro? Em outros bancos, como o Bradesco, o cliente pode configurar o envio de SMS a cada transação para informar posição da conta, saques e seus valores, além de outros fatos. Se um hacker conseguiu fazer isso, todos os dispositivos anti fraude que utilizamos precisariam ser revisados. Uma segunda hipótese para fraude seria a alteração de arquivos que são enviados para processar os pagamentos de funcionários, por exemplo. Nessa caso um hacker ainda poderia ter tido acesso para alterar as contas dos funcionários. Ainda assim, acho difícil que isso tenha acontecido”, conclui.
