Хакеры украли $140 миллионов из бразильских банков, потратив всего $2,7 тыс. на взлом через корпоративные данные.

Как хакер потратил всего $2,7 тыс., чтобы украсть $140 миллионов из бразильских банков

Вот некоторые аргументы для сторонников децентрализации: хакеры украли примерно 800 миллионов бразильских реалов (140 миллионов долларов) из бразильских банков, заплатив сотруднику технологической компании всего 15 тысяч реалов (2 760 долларов) за его корпоративные учетные данные, согласно данным правоохранительных органов, расследующих то, что они описывают как крупнейшее цифровое мошенничество в истории страны.

Атака нацелилась на компанию C&M Software, расположенную в Сан-Паулу, которая соединяет небольшие банки и финтехи с инфраструктурой Центрального банка Бразилии, включая мгновенную платежную систему Pix. Шесть финансовых учреждений подверглись несанкционированному доступу к своим резервным счетам 30 июня, причем преступники вывели средства менее чем за три часа.

«Это самое крупное мошенничество, которое подверглись финансовые учреждения через интернет», - заявил на пресс-конференции в четверг Полу Барбоза, детектив полиции Сан-Паулу, ведущий расследование.

Схема началась в марте, когда преступники подошли к Жоау Назарену Роке, оператору ИТ в C&M, у бара недалеко от его дома. Роке признался, что сначала продал свои системные учетные данные за 5 тысяч реалов, а затем получил еще 10 тысяч за помощь в создании программного обеспечения, которое позволило совершить взлом. Полиция арестовала 30-летнего мужчину у его дома в Сити Жарагуа 3 июля.

С 4 до 7 утра по местному времени 30 июня злоумышленники выдали поддельные заявки на перевод Pix, выдавая себя за пострадавшие банки. BMP, провайдер банковских услуг, пострадал больше остальных, подтвердив потерю более 400 миллионов реалов (73,8 миллиона долларов) со своего резервного счета в центральном банке. Компания подала первоначальный полицейский отчет, который раскрыл более широкую атаку.

Преступники немедленно начали конвертировать украденные реалы в криптовалюту через торговые площадки и обменные пункты Латинской Америки. Анализ блокчейна крипто-аналитика Закса показывает, что как минимум 30-40 миллионов долларов были переведены в Bitcoin, Ethereum и Tether (USDT) до того, как власти смогли заморозить счета. Один кошелек, содержащий 270 миллионов реалов (49,8 миллиона долларов), с тех пор был заблокирован.

Анонимный исследователь сообщил сегодня ранее через Telegram, что он помогает следователям идентифицировать и замораживать криптовалютные адреса, связанные с тем, что он описал как «один из самых безумных случаев этого года». Что такое Pix и C&M и почему они стали целью?

Pix, платформа мгновенных платежей в Бразилии, запущенная в ноябре 2020 года, обрабатывает миллиарды транзакций ежемесячно и стала преобладающим методом оплаты по всей стране. Система позволяет мгновенные переводы между банками круглосуточно, включая выходные и праздничные дни, с практически мгновенным завершением транзакций.

Она получила широкое распространение, потому что пользователи могут связывать свои счета с привычными идентификаторами, такими как номер телефона, электронная почта или номер ID. Pix также позволяет оплачивать покупки по QR-коду и предлагает различные функции, разработанные для конкуренции с провайдерами кредитных карт, включая варианты, которые позволяют пользователям оплачивать покупки в рассрочку.

Система работает за счет непосредственного соединения банков и финансовых учреждений через цифровую инфраструктуру центрального банка, что позволяет средствам мгновенно перемещаться между счетами. Когда пользователь инициирует перевод Pix, запрос на платеж направляется напрямую через центральный банк, который проверяет данные и авторизует транзакцию в режиме реального времени. Это устраняет задержки, связанные с традиционными банковскими переводами, которые часто занимали минуты или даже часы для завершения, позволяя платежам и переводам завершаться в течение секунд, в любое время суток.

В Бразилии были внедрены и другие сопутствующие технологии, например, банки могут контролировать транзакции других банков для оценки кредитоспособности.

В отличие от предыдущих атак, нацеленных на отдельных пользователей Pix через вредоносные программы, такие как PixPirate, этот взлом использовал инфраструктуру, соединяющую финансовые учреждения с центральным банком. Злоумышленники получили доступ к резервным счетам, которые банки поддерживают для расчета транзакций, а не к вкладам клиентов.

«Проведенные до сих пор анализы не выявили технических сбоев или уязвимостей в системах CMSW. Инцидент произошел из-за несанкционированного использования законных учетных данных. В дополнение к учетным данным сотрудника есть данные о том, что могли быть использованы и другие методы аутентификации. Быстрая реакция компании была возможна только благодаря ее надежной архитектуре безопасности», - заявила C&M в официальном вопрос-ответ.

Основанная в 1992 году Орли Мачадо, C&M предоставляет услуги обмена сообщениями, которые позволяют примерно 23 небольшим финансовым учреждениям получить доступ к платёжным системам Бразилии без необходимости создания собственной инфраструктуры. Роль компании в качестве посредника сделала ее привлекательной целью для преступников, стремящихся получить доступ к нескольким банкам одновременно.

Центральный банк Бразилии приказал C&M отключиться от всей финансовой инфраструктуры 2 июля, временно нарушив услуги Pix для нескольких учреждений. Banco Paulista сообщила о «временном сбое» в мгновенных платежах из-за «внешнего сбоя», подтверждая клиентам, что никакие личные данные или средства не были скомпрометированы. Banco Paulista сообщила о «временном сбое» в мгновенных платежах.

Директор Федеральной полиции Андрей Пассус Родригес заявил, что его агентство начало немедленное расследование в координации с властями штата Сан-Паулу. Следователи изучают, связано ли нападение с высокоорганизованными киберпреступными сетями Бразилии, которые часто координируются через Telegram и WhatsApp.

Роке, скомпрометированный оператор ИТ, рассказал следователям, что во время атаки 30 июня общался как минимум с четырьмя разными голосами, все звучали как молодые люди. Он утверждал, что менял мобильные телефоны каждые 15 дней, чтобы избежать обнаружения, и никогда не встречался с другими участниками за пределами первой встречи у бара.

Взлом произошел, несмотря на то, что банковский сектор Бразилии значительно инвестировал в кибербезопасность после предыдущих инцидентов. C&M заявила, что она внедрила «все технические и юридические меры» после обнаружения вторжения и продолжает сотрудничать с властями.

BMP заверила клиентов, что достаточные залоги покрывали украденные суммы, предотвращая любые потери клиентов. Центральный банк подтвердил, что он восстановил части перенаправленных средств от регулируемых организаций под своим надзором, хотя усилия по восстановлению остаются ограниченными для переводов в нерегулируемые криптовалютные обменники.

Полиция продолжает анализировать устройства, изъятые из дома Роке, одновременно работая над идентификацией других участников. Власти создали совместную рабочую группу с Федеральной полицией и Генеральной прокуратурой для отслеживания криптовалютных транзакций и потенциального замораживания дополнительных активов.