O Preço de um Erro de Digitação: Como Três Letras Arruinaram um Ciberataque de Bilhões de Dólares
Um erro de digitação simples foi o suficiente para frustrar um roubo cibernético de bilhões de dólares. O artigo detalha o ataque ao Banco Central de Bangladesh, orquestrado pela Lazarus, e como um simples erro de digitação impediu o sucesso da operação.
MundiX News·25 de maio de 2026·10 min de leitura·👁 5 views
O Preço de um Erro de Digitação: Como Três Letras Arruinaram um Ciberataque de Bilhões de Dólares
Para roubar bilhões de dólares de um governo, não é preciso invadir cofres com barras de ouro. No moderno sistema bancário internacional, dinheiro são apenas registros em servidores. O Banco Central de Bangladesh, como muitos outros bancos centrais do mundo, mantinha suas reservas de moeda nas contas do Federal Reserve Bank de Nova York (FRB). Para transferir esses fundos para qualquer lugar, basta enviar uma solicitação legítima através do sistema de transferência de informações e pagamentos interbancários — SWIFT.
Por que Bangladesh?
Atacar os servidores do FRB de Nova York ou o núcleo da rede SWIFT é tecnicamente impraticável — esses são sistemas com um nível de proteção sem precedentes. Mas a interface de acesso ao dinheiro (o terminal SWIFT) está do lado do cliente. E foi a infraestrutura do Banco Central de Bangladesh que se tornou o ponto de entrada ideal. A razão é banal — economia total em segurança da informação básica:
Falta de segmentação: A sala com o terminal SWIFT deve ser rigidamente isolada do restante da rede corporativa. Em Bangladesh, isso não foi feito.
Hardware barato: Em vez de soluções de nível empresarial, switches gerenciados e firewalls de hardware, o banco usou roteadores usados baratos, custando cerca de $10.
Perímetro furado: Qualquer máquina comprometida de um funcionário comum abria um caminho direto para servidores críticos.
Ponto de Entrada
Em janeiro de 2016, os hackers do grupo norte-coreano Lazarus iniciaram a operação com um phishing direcionado clássico (spear-phishing). Um e-mail foi enviado para os endereços de vários funcionários do banco de um candidato chamado "Rasel Ahlam". Dentro havia um arquivo aparentemente inofensivo com um currículo e uma carta de apresentação. Na verdade, o arquivo continha um trojan oculto (provavelmente um documento com macros maliciosas ou um executável compactado). Um dos funcionários baixou o currículo e o abriu em seu computador de trabalho. Esse clique foi suficiente. O malware funcionou silenciosamente em segundo plano, se estabeleceu no sistema e abriu um backdoor. Os hackers Lazarus estavam dentro da rede bancária e começaram seu caminho para o terminal SWIFT.
Fantasma no Sistema: Como Hackear o SWIFT
Depois de obter acesso inicial, os hackers Lazarus não começaram imediatamente a quebrar os servidores e tentar sacar dinheiro. Qualquer anomalia na rede do banco central poderia levantar um alarme. Em vez disso, eles mergulharam em uma profunda inteligência, que durou várias semanas.
Inteligência em Combate
Durante todo esse tempo, os invasores se moviam silenciosamente pela rede (movimento lateral), despejavam senhas e estudavam os processos internos. Eles precisavam entender a lógica de negócios: em que horas os operadores começam e terminam seus turnos, quem e como autoriza as transações, em que dias as maiores quantias são retiradas.
Os hackers instalaram keyloggers e tiraram screenshots das máquinas de trabalho dos funcionários. A principal tarefa era estudar minuciosamente o formato das mensagens SWIFT (padrões como MT103 e MT202) e as especificidades do preenchimento dos campos. Para que o FRB de Nova York aprovasse transferências de centenas de milhões de dólares sem perguntas, as solicitações deveriam parecer absolutamente rotineiras.
Parte Técnica
O sistema SWIFT em si não é apenas um programa em uma área de trabalho. É um complexo de hardware e software protegido. Os bancos se conectam à rede financeira global por meio de software de servidor especializado — Alliance Access.
Aproveitando a fraca arquitetura da rede (os mesmos switches baratos e a ausência de isolamento rígido do contorno SWIFT), os hackers comprometeram o controlador de domínio, encontraram as contas necessárias e chegaram aos servidores que executavam o Alliance Access.
Malware Personalizado
Simplesmente obter acesso ao servidor não foi suficiente. O SWIFT possui mecanismos rígidos de proteção criptográfica e verificação da integridade dos dados. Portanto, Lazarus escreveu um malware personalizado, projetado exclusivamente para hackear o Alliance Access. Este malware (mais tarde, pesquisadores de segurança da informação o identificarão como um conjunto de bibliotecas DLL modificadas e arquivos executáveis) foi implantado profundamente nos processos do software bancário. Ele fez três coisas:
Interceptou o controle dos processos do Alliance Access na memória operacional.
Substituiu as verificações dos mecanismos de validação embutidos e contornou o sistema de controle de integridade do banco de dados local (Oracle), no qual o software se baseava.
Formulou solicitações de transferência de dinheiro em nome do Banco Central de Bangladesh, contornando os operadores, assinando-as automaticamente com chaves criptográficas legítimas do banco.
Para os servidores do FRB em Nova York, tudo parecia que um funcionário autorizado em Daca sentou-se no terminal e enviou dinheiro normalmente. O malware subjugou completamente o complexo de software. Restava apenas escolher o momento certo para o ataque.
Impressora Cega e Timing Perfeito: Roubo Sob o Disfarce do Fim de Semana
Um hack perfeito requer não apenas código complexo, mas também um planejamento de tempo impecável. Para retirar um bilhão de dólares, os hackers precisavam de uma janela em que ninguém estivesse monitorando os monitores e verificando os saldos das contas.
Escolha do Tempo
O ataque começou na noite de quinta-feira, 4 de fevereiro de 2016. A escolha da data foi matematicamente precisa:
Em Bangladesh, sexta-feira e sábado são feriados estaduais oficiais, o banco está vazio.
Nos EUA (onde está localizado o FRB de Nova York), os fins de semana são sábado e domingo.
Essa diferença nos horários e fusos horários deu ao grupo Lazarus quase quatro dias de uma perfeita "zona cega". Durante esse tempo, em ambos os bancos, não havia pessoas capazes de entrar em contato rapidamente umas com as outras e bloquear transferências.
Remoção de Evidências no Mundo Físico
Substituir rastros digitais dentro do servidor comprometido é metade do trabalho. No quarto seguro do Banco Central de Bangladesh, havia um mecanismo de controle independente: uma impressora matricial comum. Foi configurada para imprimir automaticamente recibos em papel para cada transação SWIFT de entrada e saída.
Para os funcionários do banco, este foi o principal log físico. Se o dinheiro sair da conta, a impressora deve começar a fazer barulho e imprimir a confirmação. O papel não pode ser excluído remotamente.
Patch do Mecanismo de Impressão
Os hackers tiveram que resolver o problema no mundo físico com a ajuda de software. Um programa malicioso instalado nos servidores SWIFT incluía um módulo especial que interceptava e bloqueava o envio de dados para impressão. Quando, na noite de quinta-feira, o malware começou a gerar dezenas de solicitações falsas para transferir US$ 1 bilhão para o FRB de Nova York, a impressora em Bangladesh simplesmente silenciou.
Na manhã de domingo, quando os funcionários do Banco Central foram trabalhar (o início de sua semana de trabalho), eles descobriram que a impressora não estava funcionando. No início, isso foi atribuído a uma falha de hardware banal. Levou horas para consertar a rede e reiniciar o equipamento. Quando a impressora finalmente reviveu e começou a cuspir continuamente os cheques acumulados para a retirada de centenas de milhões de dólares, já era tarde demais — as solicitações já haviam chegado a Nova York.
O Erro de Digitação Fatal: Fandation em vez de Foundation
O FRB de Nova York começou a processar automaticamente as solicitações recebidas. As assinaturas criptográficas eram autênticas, o formato das mensagens era correto. O sistema não viu motivos para bloqueio. As quatro primeiras transações, totalizando US$ 81 milhões, passaram com sucesso por todas as verificações e voaram para contas pré-preparadas nas Filipinas. O roubo estava indo conforme o planejado.
Fator Humano
A quinta transferência, no valor de US$ 20 milhões, foi enviada para a conta de uma organização sem fins lucrativos no Sri Lanka chamada Shalika Foundation.
Aqui, a fadiga humana ou o simples desconhecimento da língua inglesa interferiram no plano técnico perfeito. O hacker, ao inserir os detalhes do destinatário, cometeu um erro de digitação banal. Em vez de Foundation, ele digitou Fandation.
Intervenção do Acaso
Transferências internacionais raramente vão diretamente, geralmente passam por bancos correspondentes. O pagamento para o Sri Lanka foi roteado através do Deutsche Bank.
Palavra Errada
Fandation chamou a atenção do sistema automatizado de conformidade (ou de um operador vigilante). No setor bancário rigidamente regulamentado, discrepâncias nos nomes das entidades legais são um sinal vermelho. O Deutsche Bank suspendeu a transação e enviou uma solicitação de rotina ao Banco Central de Bangladesh para confirmar os detalhes.
Foi essa solicitação que destruiu todo o esquema. Naquele momento, os sistemas de monitoramento de fraude do FRB de Nova York também soaram o alarme, registrando um número anormal de transferências de reservas de um estado soberano para contas de fundos privados duvidosos. A cadeia foi interrompida. O FRB bloqueou urgentemente as transferências restantes de US$ 850 milhões.
A operação cibernética multifacetada mais complexa, usando malware personalizado e patch de dispositivos físicos, falhou devido a três letras incorretas no teclado.
Nos Rastros de US$ 81 Milhões: Cassinos, Filipinas e o Legado de Lazarus
Os US$ 81 milhões que conseguiram passar pelos filtros do FRB desapareceram sem deixar vestígios no Sudeste Asiático. Essa etapa da operação mostrou o quão profundo foi o planejamento.
Lavagem Perfeita
O dinheiro caiu em quatro contas no banco filipino RCBC em Manila. Essas contas foram abertas com documentos falsos um ano antes do ataque — em maio de 2015, e durante todo esse tempo ficaram com um saldo de US$ 500, esperando sua hora. Assim que milhões chegaram às contas, eles foram imediatamente transferidos para corretores, convertidos em pesos filipinos e sacados em dinheiro. O ponto final da rota foram os grandes cassinos de Manila. Nas zonas de jogos, o dinheiro foi trocado por fichas, girado nas mesas de bacará e novamente sacado. Nesse momento, a cadeia de transações foi finalmente interrompida: no mundo do jogo legal, os rastros de tal dinheiro se perdem para sempre. Apenas migalhas miseráveis da quantia roubada puderam ser devolvidas.
Contexto Geopolítico
Empresas de segurança da informação de ponta (FireEye, Symantec, Kaspersky) foram encarregadas de investigar o incidente. Ao analisar logs, endereços IP e fragmentos de código de malware personalizado, os pesquisadores encontraram interseções diretas com as ferramentas do notório grupo Lazarus.
Essa descoberta registrou um precedente histórico único. Até esse momento, acreditava-se que os hackers governamentais de elite (grupos APT) estavam envolvidos exclusivamente em espionagem cibernética, roubo de segredos militares ou sabotagem da infraestrutura do inimigo. A Coreia do Norte mudou as regras do jogo: um estado inteiro usou armas cibernéticas e especialistas de ponta para um roubo bancário banal, a fim de reabastecer o orçamento em condições de duras sanções internacionais.
Resultado
A história do hack do Banco Central de Bangladesh é um exemplo clássico de como, no mundo da segurança da informação, a tecnologia sempre colide com o fator humano. O grupo Lazarus fez um trabalho fenomenal: eles ficaram na rede por meses, escreveram um exploit complexo para hackear o complexo SWIFT fechado e até mesmo corrigiram remotamente a impressora matricial para cegar o serviço de segurança no mundo físico. E toda essa operação multimilionária de serviços especiais, cuja preparação levou mais de um ano, fracassou devido ao conhecimento banal da língua inglesa e à atenção de rotina do funcionário do banco. Um erro de digitação de três letras salvou o mundo de US$ 850 milhões.
O Preço de um Erro de Digitação: Como Três Letras Arruinaram um Ciberataque de Bilhões de Dólares
Para roubar bilhões de dólares de um governo, não é preciso invadir cofres com barras de ouro. No moderno sistema bancário internacional, dinheiro são apenas registros em servidores. O Banco Central de Bangladesh, como muitos outros bancos centrais do mundo, mantinha suas reservas de moeda nas contas do Federal Reserve Bank de Nova York (FRB). Para transferir esses fundos para qualquer lugar, basta enviar uma solicitação legítima através do sistema de transferência de informações e pagamentos interbancários — SWIFT.
Por que Bangladesh?
Atacar os servidores do FRB de Nova York ou o núcleo da rede SWIFT é tecnicamente impraticável — esses são sistemas com um nível de proteção sem precedentes. Mas a interface de acesso ao dinheiro (o terminal SWIFT) está do lado do cliente. E foi a infraestrutura do Banco Central de Bangladesh que se tornou o ponto de entrada ideal. A razão é banal — economia total em segurança da informação básica:
Falta de segmentação: A sala com o terminal SWIFT deve ser rigidamente isolada do restante da rede corporativa. Em Bangladesh, isso não foi feito.
Hardware barato: Em vez de soluções de nível empresarial, switches gerenciados e firewalls de hardware, o banco usou roteadores usados baratos, custando cerca de $10.
Perímetro furado: Qualquer máquina comprometida de um funcionário comum abria um caminho direto para servidores críticos.
Ponto de Entrada
Em janeiro de 2016, os hackers do grupo norte-coreano Lazarus iniciaram a operação com um phishing direcionado clássico (spear-phishing). Um e-mail foi enviado para os endereços de vários funcionários do banco de um candidato chamado "Rasel Ahlam". Dentro havia um arquivo aparentemente inofensivo com um currículo e uma carta de apresentação. Na verdade, o arquivo continha um trojan oculto (provavelmente um documento com macros maliciosas ou um executável compactado). Um dos funcionários baixou o currículo e o abriu em seu computador de trabalho. Esse clique foi suficiente. O malware funcionou silenciosamente em segundo plano, se estabeleceu no sistema e abriu um backdoor. Os hackers Lazarus estavam dentro da rede bancária e começaram seu caminho para o terminal SWIFT.
Fantasma no Sistema: Como Hackear o SWIFT
Depois de obter acesso inicial, os hackers Lazarus não começaram imediatamente a quebrar os servidores e tentar sacar dinheiro. Qualquer anomalia na rede do banco central poderia levantar um alarme. Em vez disso, eles mergulharam em uma profunda inteligência, que durou várias semanas.
Inteligência em Combate
Durante todo esse tempo, os invasores se moviam silenciosamente pela rede (movimento lateral), despejavam senhas e estudavam os processos internos. Eles precisavam entender a lógica de negócios: em que horas os operadores começam e terminam seus turnos, quem e como autoriza as transações, em que dias as maiores quantias são retiradas.
Os hackers instalaram keyloggers e tiraram screenshots das máquinas de trabalho dos funcionários. A principal tarefa era estudar minuciosamente o formato das mensagens SWIFT (padrões como MT103 e MT202) e as especificidades do preenchimento dos campos. Para que o FRB de Nova York aprovasse transferências de centenas de milhões de dólares sem perguntas, as solicitações deveriam parecer absolutamente rotineiras.
Parte Técnica
O sistema SWIFT em si não é apenas um programa em uma área de trabalho. É um complexo de hardware e software protegido. Os bancos se conectam à rede financeira global por meio de software de servidor especializado — Alliance Access.
Aproveitando a fraca arquitetura da rede (os mesmos switches baratos e a ausência de isolamento rígido do contorno SWIFT), os hackers comprometeram o controlador de domínio, encontraram as contas necessárias e chegaram aos servidores que executavam o Alliance Access.
Malware Personalizado
Simplesmente obter acesso ao servidor não foi suficiente. O SWIFT possui mecanismos rígidos de proteção criptográfica e verificação da integridade dos dados. Portanto, Lazarus escreveu um malware personalizado, projetado exclusivamente para hackear o Alliance Access. Este malware (mais tarde, pesquisadores de segurança da informação o identificarão como um conjunto de bibliotecas DLL modificadas e arquivos executáveis) foi implantado profundamente nos processos do software bancário. Ele fez três coisas:
Interceptou o controle dos processos do Alliance Access na memória operacional.
Substituiu as verificações dos mecanismos de validação embutidos e contornou o sistema de controle de integridade do banco de dados local (Oracle), no qual o software se baseava.
Formulou solicitações de transferência de dinheiro em nome do Banco Central de Bangladesh, contornando os operadores, assinando-as automaticamente com chaves criptográficas legítimas do banco.
Para os servidores do FRB em Nova York, tudo parecia que um funcionário autorizado em Daca sentou-se no terminal e enviou dinheiro normalmente. O malware subjugou completamente o complexo de software. Restava apenas escolher o momento certo para o ataque.
Impressora Cega e Timing Perfeito: Roubo Sob o Disfarce do Fim de Semana
Um hack perfeito requer não apenas código complexo, mas também um planejamento de tempo impecável. Para retirar um bilhão de dólares, os hackers precisavam de uma janela em que ninguém estivesse monitorando os monitores e verificando os saldos das contas.
Escolha do Tempo
O ataque começou na noite de quinta-feira, 4 de fevereiro de 2016. A escolha da data foi matematicamente precisa:
Em Bangladesh, sexta-feira e sábado são feriados estaduais oficiais, o banco está vazio.
Nos EUA (onde está localizado o FRB de Nova York), os fins de semana são sábado e domingo.
Essa diferença nos horários e fusos horários deu ao grupo Lazarus quase quatro dias de uma perfeita "zona cega". Durante esse tempo, em ambos os bancos, não havia pessoas capazes de entrar em contato rapidamente umas com as outras e bloquear transferências.
Remoção de Evidências no Mundo Físico
Substituir rastros digitais dentro do servidor comprometido é metade do trabalho. No quarto seguro do Banco Central de Bangladesh, havia um mecanismo de controle independente: uma impressora matricial comum. Foi configurada para imprimir automaticamente recibos em papel para cada transação SWIFT de entrada e saída.
Para os funcionários do banco, este foi o principal log físico. Se o dinheiro sair da conta, a impressora deve começar a fazer barulho e imprimir a confirmação. O papel não pode ser excluído remotamente.
Patch do Mecanismo de Impressão
Os hackers tiveram que resolver o problema no mundo físico com a ajuda de software. Um programa malicioso instalado nos servidores SWIFT incluía um módulo especial que interceptava e bloqueava o envio de dados para impressão. Quando, na noite de quinta-feira, o malware começou a gerar dezenas de solicitações falsas para transferir US$ 1 bilhão para o FRB de Nova York, a impressora em Bangladesh simplesmente silenciou.
Na manhã de domingo, quando os funcionários do Banco Central foram trabalhar (o início de sua semana de trabalho), eles descobriram que a impressora não estava funcionando. No início, isso foi atribuído a uma falha de hardware banal. Levou horas para consertar a rede e reiniciar o equipamento. Quando a impressora finalmente reviveu e começou a cuspir continuamente os cheques acumulados para a retirada de centenas de milhões de dólares, já era tarde demais — as solicitações já haviam chegado a Nova York.
O Erro de Digitação Fatal: Fandation em vez de Foundation
O FRB de Nova York começou a processar automaticamente as solicitações recebidas. As assinaturas criptográficas eram autênticas, o formato das mensagens era correto. O sistema não viu motivos para bloqueio. As quatro primeiras transações, totalizando US$ 81 milhões, passaram com sucesso por todas as verificações e voaram para contas pré-preparadas nas Filipinas. O roubo estava indo conforme o planejado.
Fator Humano
A quinta transferência, no valor de US$ 20 milhões, foi enviada para a conta de uma organização sem fins lucrativos no Sri Lanka chamada Shalika Foundation.
Aqui, a fadiga humana ou o simples desconhecimento da língua inglesa interferiram no plano técnico perfeito. O hacker, ao inserir os detalhes do destinatário, cometeu um erro de digitação banal. Em vez de Foundation, ele digitou Fandation.
Intervenção do Acaso
Transferências internacionais raramente vão diretamente, geralmente passam por bancos correspondentes. O pagamento para o Sri Lanka foi roteado através do Deutsche Bank.
Palavra Errada
Fandation chamou a atenção do sistema automatizado de conformidade (ou de um operador vigilante). No setor bancário rigidamente regulamentado, discrepâncias nos nomes das entidades legais são um sinal vermelho. O Deutsche Bank suspendeu a transação e enviou uma solicitação de rotina ao Banco Central de Bangladesh para confirmar os detalhes.
Foi essa solicitação que destruiu todo o esquema. Naquele momento, os sistemas de monitoramento de fraude do FRB de Nova York também soaram o alarme, registrando um número anormal de transferências de reservas de um estado soberano para contas de fundos privados duvidosos. A cadeia foi interrompida. O FRB bloqueou urgentemente as transferências restantes de US$ 850 milhões.
A operação cibernética multifacetada mais complexa, usando malware personalizado e patch de dispositivos físicos, falhou devido a três letras incorretas no teclado.
Nos Rastros de US$ 81 Milhões: Cassinos, Filipinas e o Legado de Lazarus
Os US$ 81 milhões que conseguiram passar pelos filtros do FRB desapareceram sem deixar vestígios no Sudeste Asiático. Essa etapa da operação mostrou o quão profundo foi o planejamento.
Lavagem Perfeita
O dinheiro caiu em quatro contas no banco filipino RCBC em Manila. Essas contas foram abertas com documentos falsos um ano antes do ataque — em maio de 2015, e durante todo esse tempo ficaram com um saldo de US$ 500, esperando sua hora. Assim que milhões chegaram às contas, eles foram imediatamente transferidos para corretores, convertidos em pesos filipinos e sacados em dinheiro. O ponto final da rota foram os grandes cassinos de Manila. Nas zonas de jogos, o dinheiro foi trocado por fichas, girado nas mesas de bacará e novamente sacado. Nesse momento, a cadeia de transações foi finalmente interrompida: no mundo do jogo legal, os rastros de tal dinheiro se perdem para sempre. Apenas migalhas miseráveis da quantia roubada puderam ser devolvidas.
Contexto Geopolítico
Empresas de segurança da informação de ponta (FireEye, Symantec, Kaspersky) foram encarregadas de investigar o incidente. Ao analisar logs, endereços IP e fragmentos de código de malware personalizado, os pesquisadores encontraram interseções diretas com as ferramentas do notório grupo Lazarus.
Essa descoberta registrou um precedente histórico único. Até esse momento, acreditava-se que os hackers governamentais de elite (grupos APT) estavam envolvidos exclusivamente em espionagem cibernética, roubo de segredos militares ou sabotagem da infraestrutura do inimigo. A Coreia do Norte mudou as regras do jogo: um estado inteiro usou armas cibernéticas e especialistas de ponta para um roubo bancário banal, a fim de reabastecer o orçamento em condições de duras sanções internacionais.
Resultado
A história do hack do Banco Central de Bangladesh é um exemplo clássico de como, no mundo da segurança da informação, a tecnologia sempre colide com o fator humano. O grupo Lazarus fez um trabalho fenomenal: eles ficaram na rede por meses, escreveram um exploit complexo para hackear o complexo SWIFT fechado e até mesmo corrigiram remotamente a impressora matricial para cegar o serviço de segurança no mundo físico. E toda essa operação multimilionária de serviços especiais, cuja preparação levou mais de um ano, fracassou devido ao conhecimento banal da língua inglesa e à atenção de rotina do funcionário do banco. Um erro de digitação de três letras salvou o mundo de US$ 850 milhões.
