Cibercriminosos brasileiros são os maiores suspeitos no roubo de 2,26 milhões de Libras (ou R$ 11,6 milhões) do Tesco Bank em 2016. A suspeita está no relatório divulgado nesta segunda-feira pela Financial Conduct Authority (FCA), autoridade financeira da Inglaterra. O relatório anuncia que o banco foi multado em 16,4 milhões de Libras, ou aproximadamente 82 milhões de reais por causa de sua negligência.
Para o público o caso começou dia 7 de Novembro de 2016, uma segunda-feira, quando a imprensa da Inglaterra noticiou o roubo. Durante o fim de semana anterior, cibercriminosos solicitaram ao Tesco Bank transferências de quase 9 mil contas correntes, no valor de 2,26 milhões de Libras (ou R$ 11,6 milhões). O banco, que fica na Escócia, reembolsou os clientes pelo dinheiro transferido a partir de suas contas, mas mesmo assim foi multado, porque a FCA constatou que havia negligência nas medidas de segurança da instituição.
Os investigadores concluíram que os criminosos provavelmente usaram um algoritmo que gerou números autênticos de cartões de débito do Tesco Bank. Foi usando esses números de “cartões virtuais” que eles conseguiram fazer o processamento de milhares de transações. Além da fragilidade no projeto do cartão, dizem os investigadores, os criminosos exploraram as falhas do banco em seus controles de crimes financeiros e na sua equipe responsável por esse assunto.
O ataque começou às 2 da madrugada no sábado, 5 de novembro de 2016. Às 4 da manhã o sistema de detecção de fraudes começou a enviar SMS aos clientes pedindo que ligassem ao banco para falar sobre “atividade suspeita” em suas contas. Mas o time de crimes financeiros levou 21 horas para telefonar para o especialista em fraudes da equipe. Ao invés disso ficou enviando e-Mails a ele e esperando que respondesse.
Nesse intervalo, nada foi feito para deter as transações. A maioria tinha oriogem no Brasil, e vinha estruturada como método POS91. Na linguagem das transações com cartão isso quer dizer ela continha somente os dados da tarja magnética. A POS91 é utilizada principalmente fora da Europa e não tem limite nem no valor nem no número de transações. Nem todas eram bem sucedidas, para sorte do banco. Às 01:48 do domingo dia 6 de Novembro, os técnicos colocaram uma regra de bloqueio para deter todas as transações com oriogem no Brasil. No entanto, a solução não funcionou, porque a regra usou em sua estrutura o código do Euro e não o código do Real. O número de transações continuou subindo e chegou a 80 mil no início da manhã da segunda-feira dia 7.
Só nesse momento, à uma da manhã de segunda-feira, o banco solicitou ajuda de especialistas externos, que conseguiram finalmente deter as transações. O banco na verdade conseguiu bloquear 80% das transações não-autorizadas, mas 8.261 passaram e se transformaram em reais.
Leia o relatório completo em
https://www.fca.org.uk/publication/final-notices/tesco-personal-finance-plc-2018.pdf
