Ataque hacker: como a Polícia conseguiu prender o suspeito de facilitar o ‘roubo do século’ na C&M?

Exatamente uma semana após o maior roubo da história do Brasil, a Polícia Civil de São Paulo revelou os detalhes de como prendeu o suspeito responsável pelo ataque hacker à C&M Software, que, segundo estimativas preliminares, desviou mais de R$ 1 bilhão de diversas instituições financeiras.

Para descobrir os responsáveis, a Polícia recorreu a imagens registradas pelas câmeras internas da C&M. 

A partir da análise das imagens, os policiais monitoraram o comportamento dos funcionários e, então, conseguiram descobrir quem teria facilitado a ação dos criminosos.

A Polícia prendeu na última quinta-feira (3) João Nazareno Roque, que tem 48 anos e atua como programador júnior terceirizado na C&M. 

Segundo as investigações, Roque recebeu R$ 15 mil para fornecer seu login e senha funcionais aos criminosos.

• VEJA MAIS: Já está no ar o evento “Onde investir no 2º semestre de 2025”, do Seu Dinheiro, com as melhores recomendações de ações, FIIs, BDRs, criptomoedas e renda fixa

Como a Polícia prendeu o suspeito de facilitar o ‘roubo do século’?

Além de ceder sua senha, João Roque também teria recebido instruções para executar comandos em seu computador funcional na C&M. 

"A gente trouxe para a investigação a própria empresa. Conversamos com os gerentes, supervisores, diretores e começamos a monitorar o comportamento dos funcionários", disse Paulo Eduardo Barbosa, delegado da Delegacia de Crimes Cibernéticos em entrevista ao Fantástico, da TV Globo.

"Ficou evidente que ele usava o equipamento, olhava algumas anotações e inseria os comandos. A gente acredita que sejam os códigos maliciosos", acrescentou o delegado.

A defesa de Roque disse que o cliente é inocente, serviu de "fantoche" e não sabia do golpe multimilionário. Os demais envolvidos no ataque ainda não foram presos ou identificados.

Anatomia de um crime: por trás do ataque hacker na C&M

Em seu depoimento, o programador contou que o crime teve início em março, quando foi abordado por um homem desconhecido em um bar, que sabia do seu trabalho com sistemas de pagamentos. 

Os dois trocaram telefones. Duas semanas depois, ele teria sido procurado por ligação no WhatsApp. "O interlocutor falou que queria conhecer o sistema financeiro da C&M", disse à Polícia Civil.

Esse contato inicial culminou no fornecimento do login e senha de Roque em troca de R$ 5 mil.

Duas semanas depois, o programador da C&M teria sido procurado novamente, desta vez para executar comandos no computador funcional. 

Roque afirmou que, desde então, mudou de chip e passou a substituir o aparelho celular a cada 15 dias.

O técnico de TI confessou à Polícia que estava inserindo comandos no sistema da C&M, a mando dos criminosos, desde maio. Em troca, teria recebido mais R$ 10 mil.

Questionado sobre a identidade dos hackers, ele disse que não sabe quem o cooptou. 

"Tirando o primeiro contato, quando passou seu telefone no primeiro dia, não teve contato pessoal com mais ninguém, só por telefone", diz o termo de depoimento.

Como os hackers orquestraram o maior roubo da história do Brasil?

O ataque hacker ocorreu na madrugada de segunda-feira, quando os criminosos, já em posse das credenciais roubadas das clientes da C&M, começaram a realizar transações Pix diretamente com o Banco Central, utilizando as integrações legítimas. 

Esses certificados roubados assinam transações no sistema de mensagens entre o Banco Central e as instituições — e as credenciais são a única forma de o BC assegurar se uma operação está sendo efetivamente requisitada pela instituição verdadeira.

É preciso destacar que não aconteceu uma invasão direta aos sistemas da C&M, mas sim o “uso indevido de integrações legítimas, por meio de credenciais comprometidas de terceiros”, de acordo com a empresa.

Dessa forma, na madrugada de domingo para segunda-feira, o fraudador, em posse desses certificados, se comunicou com o Banco Central e começou a fazer uma série de transações Pix.

Isso levou empresas como a BMP, que utilizava os serviços da C&M, a perderem em torno de R$ 400 milhões no ataque. 

Segundo especialistas, há uma boa probabilidade de que a maior parte desse dinheiro nunca mais seja recuperada — e tudo por causa do lado obscuro das criptomoedas, que emergem como um refúgio para os criminosos esconderem os rastros de seus roubos.

*Com informações do Estadão Conteúdo.