Шест финансиски институции доживеале неовластен пристап до нивните резервни сметки на 30 јуни, при што криминалците успеале да ги исцрпат средствата за помалку од три часа.
Според извештаите на странските медиуми, хакерите украле приближно 800 милиони бразилски реали (околу 140 милиони американски долари) од бразилските банки откако му платиле на вработен во технолошка компанија само 15.000 реали (околу 2.760 американски долари) за неговите корпоративни податоци за најавување.
Според полицијата, која истражува она што го опишува како најголема дигитална кражба во историјата на земјата, нападот бил насочен кон C&M Software со седиште во Сао Паоло, која ги поврзува помалите банки и финтех компаниите со инфраструктурата на Бразилската централна банка, вклучувајќи го и системот за инстант плаќање Pix. Шест финансиски институции доживеале неовластен пристап до нивните резервни сметки на 30 јуни, при што криминалците успеале да ги исцрпат средствата за помалку од три часа.
„Ова е најголемата измама што некогаш ја претрпеле финансиските институции преку интернет“, изјави Пауло Барбоса, детективот од Сао Паоло кој ја води истрагата, на прес-конференција во четврток.
Шемата започнала во март, кога криминалците му се обратиле на Жоао Назарен Роке, ИТ оператор во C&M, пред бар во близина на неговиот дом. Роке признал дека прво ги продал своите податоци за најавување за 5.000 реали, а потоа добил уште 10.000 реали за да помогне во развојот на софтверот што го овозможил упадот. Полицијата го уапсила 30-годишникот во неговиот дом во населбата Сити Харагва на 3 јули.
Помеѓу 4 и 7 часот наутро по локално време на 30 јуни, напаѓачите издале лажни налози за трансфер на пари од Pix, претставувајќи се како погодените банки. BMP, давател на банкарски услуги, беше еден од најтешко погодените, потврдувајќи загуби од повеќе од 400 милиони реали (околу 73,8 милиони долари) од својата резервна сметка во централната банка. Компанијата поднесе првичен извештај до полицијата, кој откри поширок напад.
Криминалците веднаш почнале да ги конвертираат украдените реали во криптовалути преку латиноамериканските берзи и платформи за тргување преку шалтер (OTC). Анализата на блокчејн од страна на крипто истражувачот ZachXBT покажува дека најмалку 30 до 40 милиони долари биле префрлени во биткоин, етереум и тетер пред властите да можат да ги замрзнат сметките. Еден паричник што содржел 270 милиони реали (околу 49,8 милиони долари) оттогаш е замрзнат.
Истражувачот, кој се претстави под својот псевдоним, претходно денес на Telegram изјави дека им помага на властите да идентификуваат и замрзнат крипто адресите поврзани со она што го опиша како „еден од најлудите случаи во годината“.
Зошто Pix беше цел?
Pix, бразилска платформа за инстант плаќања, лансирана во ноември 2020 година, обработува милијарди трансакции месечно и стана доминантен метод на плаќање низ целата земја. Системот овозможува инстант трансфери помеѓу банките 24 часа на ден, вклучувајќи викенди и празници, при што трансакциите се извршуваат речиси моментално.
Тој е широко усвоен бидејќи корисниците можат да ги поврзат своите сметки со познати идентификатори како што се телефонски број, адреса за е-пошта или број на лична карта. Pix исто така овозможува плаќања преку QR код и нуди различни функционалности дизајнирани да се натпреваруваат со давателите на кредитни картички, вклучувајќи опции што им овозможуваат на корисниците да плаќаат за купувања на рати.
Системот работи со директно поврзување на банките и финансиските институции преку дигиталната инфраструктура на Централната банка, овозможувајќи моментални трансфери на средства помеѓу сметките. Кога корисникот ќе иницира трансфер на Pix, барањето за плаќање се насочува директно преку централната банка, која ги проверува податоците и ја одобрува трансакцијата во реално време. Ова ги елиминира доцнењата што беа карактеристични за традиционалните банкарски трансфери, кои честопати траеја минути или дури часови, овозможувајќи плаќања и трансфери да се вршат во рок од неколку секунди – во кое било време од денот.
Други технологии за поддршка се имплементирани и во Бразил, како што се системи што им овозможуваат на банките да ги следат трансакциите во други банки за цели на проценка на кредитната способност, на пример.
За разлика од претходните напади што ги таргетираа индивидуалните корисници на Pix преку малициозен софтвер како што е PixPirate, овој упад ја искористи инфраструктурата што ги поврзува финансиските институции со централната банка. Напаѓачите пристапија до резервните сметки што банките ги користат за решавање на трансакции, а не до депозитите на корисникот.
- Анализите спроведени досега не идентификуваа никакви технички грешки или ранливости во системите на CMSW. Инцидентот се случил поради неовластена употреба на легитимни податоци за пристап. Покрај акредитивите на вработените, постојат индикации дека можеби биле злоупотребени и други методи за автентикација. Брзиот одговор на компанијата беше можен благодарение на нејзината робусна безбедносна архитектура, соопшти C&M во официјален документ за прашања и одговори.
Компанијата е основана во 1992 година од Орли Мачадо. C&M обезбедува услуги за пораки што им овозможуваат на околу 23 помали финансиски институции пристап до платните системи во Бразил без да мора да развиваат сопствена инфраструктура. Улогата на компанијата како посредник ја направи привлечна цел за криминалци кои сакаат да добијат пристап до повеќе банки истовремено.
Централната банка на Бразил ѝ нареди на C&M да се исклучи од целата своја финансиска инфраструктура на 2 јули, привремено запирајќи ги операциите на Pix за неколку институции. Banco Paulista пријави „привремен прекин“ во моменталните плаќања поради „надворешна грешка“, уверувајќи ги клиентите дека нивните лични податоци и средства не се компромитирани.
Директорот на Федералната полиција, Андрес Пасос Родригез, изјави дека неговата агенција веднаш започнала истрага во координација со властите во државата Сао Паоло. Истражителите истражуваат дали нападот е поврзан со софистицирани сајбер-криминални мрежи во Бразил, кои често комуницираат преку канали на Telegram и WhatsApp.
Рокуе, компромитираниот ИТ оператор, им кажал на истражувачите дека за време на нападот на 30 јуни, комуницирал со најмалку четири различни гласови, од кои сите звучеле како млади мажи. Тој тврдеше дека менувал мобилни телефони на секои 15 дена за да избегне откривање и дека никогаш не се сретнал со другите соучесници лично, освен првата средба во бар.
Нападот се случи и покрај тоа што банкарскиот сектор на Бразил инвестираше многу во сајбер безбедноста по претходните инциденти. C&M соопшти дека ги имплементирала „сите технички и правни мерки“ по откривањето на нападот и продолжува да соработува со властите.
BMP ги увери клиентите дека украдените износи се покриени со доволен колатерал, избегнувајќи какви било загуби за корисниците. Централната банка потврди дека успеала да врати дел од пренасочените средства од регулирани субјекти под нејзин надзор, иако напорите за враќање беа ограничени кога стануваше збор за трансфери до нерегулирани берзи за криптовалути.
Полицијата сè уште ги анализира уредите запленети од домот на Рокуе, додека продолжува да ги идентификува другите учесници. Властите формираа заедничка работна група во соработка со Федералната полиција и Министерството за јавни услуги за следење на тековите на криптовалути и потенцијално замрзнување на дополнителни средства.