# DET0495 — Detection Strategy for Financial Theft ## Descrição Roubo financeiro cibernético é o objetivo final de grupos criminosos especializados em comprometer sistemas bancários, plataformas de criptomoedas e infraestruturas de pagamento. A técnica abrange desde a manipulação fraudulenta de transações via SWIFT/ISO 20022, passando por ataques a exchanges de criptomoedas e carteiras digitais, até comprometimento de terminais de ponto de venda (POS). Essa técnica é mapeada como [[t1657-financial-theft|T1657 — Financial Theft]] no MITRE ATT&CK e é o domínio primário de grupos como [[g0032-lazarus-group|Lazarus Group]], [[g0046-fin7|FIN7]] e [[g0008-carbanak|Carbanak]]. O [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) é responsável por alguns dos maiores roubos financeiros cibernéticos da história, incluindo o roubo ao Banco Central de Bangladesh (US$81M em 2016) e o roubo à Bybit Exchange (US$1.5B em 2025). A detecção de roubo financeiro requer visibilidade em múltiplas camadas: sistemas bancários core, infraestrutura SWIFT, plataformas de trading e carteiras de criptomoedas. A correlação de anomalias em padrões de transação com indicadores de comprometimento de sistemas é fundamental. A estratégia de detecção abrange indicadores técnicos (acesso não autorizado a sistemas de pagamento, modificação de configurações de transferência, criação de contas mula) e indicadores financeiros (transações de valor anormal, transferências para contas recém-criadas, padrões de fragmentação para evasão de limites de reporte). Instituições financeiras no Brasil e LATAM são alvos frequentes, tornando essa detecção especialmente relevante para o contexto regional. ## Indicadores de Detecção - Acesso a sistemas SWIFT ou plataformas de pagamento por credencial fora do horário de operação bancária - Criação ou modificação de contas de beneficiário de transferência por usuário sem histórico de gestão de contas - Transações de transferência de valor anormalmente alto para contas recém-criadas ou de alta rotatividade - Modificação de configurações de limites de transferência ou whitelist de beneficiários por conta administrativa - Acesso a sistemas de trading ou carteiras de criptomoedas a partir de IP/localização inconsistente com o perfil do usuário - Múltiplas transferências de valor fracionado (smurfing) para evadir limites de reportagem regulatória - Instalação de malware em terminais POS detectada por variação de hash em binários de software de pagamento ## Técnicas Relacionadas - [[t1657-financial-theft|T1657 — Financial Theft]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an1361-analytic-1361|AN1361 — Analytic 1361]] - [[an1362-analytic-1362|AN1362 — Analytic 1362]] - [[an1363-analytic-1363|AN1363 — Analytic 1363]] - [[an1364-analytic-1364|AN1364 — Analytic 1364]] - [[an1365-analytic-1365|AN1365 — Analytic 1365]] --- *Fonte: [MITRE ATT&CK — DET0495](https://attack.mitre.org/detectionstrategies/DET0495)*