Si arriti një haker të vjedhë 140 milionë dollarë nga bankat braziliane duke shpenzuar vetëm 2,700 dollarë
Hakerët vodhën afërsisht 800 milionë dollarë rand (140 milionë dollarë) nga bankat braziliane, pasi i paguan një punonjësi të një kompanie teknologjike vetëm 15,000 dollarë rand (2,760 dollarë) për kredencialet e tij të korporatës, sipas zyrtarëve të zbatimit të ligjit që po hetojnë atë që ata e përshkruajnë si grabitjen më të madhe dixhitale në historinë e vendit.
Sulmi kishte në shënjestër C&M Software, një kompani me seli në São Paulo që lidh bankat dhe kompanitë fintech më të vogla me infrastrukturën e Bankës Qendrore të Brazilit, përfshirë sistemin e pagesave të menjëhershme Pix. Gjashtë institucione financiare përjetuan akses të paautorizuar në llogaritë e tyre rezervë më 30 qershor, me kriminelë që thithën fonde në më pak se tre orë.
“Ky është mashtrimi më i madh që kanë pësuar institucionet financiare përmes internetit”, tha Paulo Barbosa, detektivi i policisë së São Paulo që drejton hetimin, në një konferencë për shtyp të enjten.
Skema filloi në mars kur kriminelët iu afruan João Nazareno Roque, një operator IT në C&M, jashtë një bari pranë shtëpisë së tij. Roque rrëfeu se shiti fillimisht kredencialet e sistemit të tij për 5,000 dollarë rand, më pas mori edhe 10,000 dollarë rand për të ndihmuar në krijimin e softuerit që mundësoi shkeljen. Policia arrestoi 30-vjeçarin në rezidencën e tij në City Jaraguá më 3 korrik.
Midis orës 4 dhe 7 të mëngjesit sipas orës lokale më 30 qershor, sulmuesit lëshuan urdhra mashtrues transferimi Pix duke u shtirur si bankat e prekura. BMP, një ofrues shërbimesh bankare, ishte një nga më të prekurit, duke konfirmuar humbje prej më shumë se 400 milionë rand dollarë (73.8 milionë dollarë) nga llogaria e saj rezervë e bankës qendrore. Kompania paraqiti raportin fillestar të policisë që ekspozoi sulmin më të gjerë.
Kriminelët menjëherë filluan të konvertonin reais-et e vjedhura në kriptomonedha përmes sporteleve dhe bursave pa pagesë të Amerikës Latine. Analiza e blockchain nga detektivi i kriptomonedhave ZachXBT tregon se të paktën 30 deri në 40 milionë dollarë janë transferuar në Bitcoin, Ethereum dhe Tether (USDT) përpara se autoritetet të mund të ngrinin llogaritë. Një portofol që përmbante 270 milionë rand (49.8 milionë dollarë) është bllokuar që atëherë.
Hetuesi me pseudonim tha më herët sot nëpërmjet Telegram se ai i ka ndihmuar hetuesit të identifikojnë dhe ngrijnë adresat e kriptomonedhave të lidhura me atë që ai e përshkroi si “një nga rastet më të çmendura të këtij viti”.
Pix, platforma e pagesave të menjëhershme në Brazil, e lançuar në nëntor 2020, përpunon miliarda transaksione çdo muaj dhe është bërë metoda dominuese e pagesës në të gjithë vendin. Sistemi lejon transferta të menjëhershme midis bankave 24 orë në ditë, duke përfshirë fundjavat dhe festat, me transaksione që përfundojnë pothuajse menjëherë.
Është përdorur gjerësisht sepse përdoruesit mund t’i lidhin llogaritë e tyre me identifikues të njohur si numri i telefonit, emaili ose numri i identifikimit. Pix gjithashtu mundëson pagesat me kod QR dhe ofron veçori të ndryshme të dizajnuara për të konkurruar me ofruesit e kartave të kreditit, duke përfshirë opsione që u lejojnë përdoruesve të paguajnë për blerjet me këste.
Sistemi funksionon duke ndërlidhur bankat dhe institucionet financiare direkt përmes infrastrukturës dixhitale të bankës qendrore, duke lejuar që fondet të lëvizin menjëherë midis llogarive. Kur një përdorues fillon një transferim Pix, kërkesa për pagesë kalon direkt përmes bankës qendrore, e cila verifikon detajet dhe autorizon transaksionin në kohë reale. Kjo eliminon vonesat që lidhen me transfertat tradicionale bankare, të cilat shpesh zgjasin minuta ose edhe orë për t’u shlyer, duke mundësuar që pagesat dhe transfertat të përfundojnë brenda sekondave, në çdo kohë të ditës.
Në Brazil janë zbatuar teknologji të tjera të ngjashme, si për shembull, bankat që janë në gjendje të monitorojnë transaksionet e bankave të tjera për vlerësimin e kreditit.
Ndryshe nga sulmet e mëparshme që synonin përdoruesit individualë të Pix përmes programeve keqdashëse si PixPirate, kjo shkelje shfrytëzoi infrastrukturën që lidhte institucionet financiare me bankën qendrore. Sulmuesit hynë në llogaritë rezervë që bankat mbajnë për zgjidhjen e transaksioneve, në vend të depozitave të klientëve.
“Analizat e kryera deri më tani nuk kanë identifikuar ndonjë dështim teknik ose dobësi në sistemet e CMSW. Incidenti ndodhi për shkak të përdorimit të paautorizuar të kredencialeve legjitime. Përveç kredencialeve të punonjësit, ka indikacione se metoda të tjera të vërtetimit mund të jenë shfrytëzuar. Përgjigja e shpejtë e kompanisë ishte e mundur vetëm falë arkitekturës së saj të fuqishme të sigurisë”, tha C&M në një seancë zyrtare pyetje-përgjigjesh.
E themeluar në vitin 1992 nga Orli Machado, C&M ofron shërbime mesazhesh që u lejojnë afërsisht 23 institucioneve financiare më të vogla të hyjnë në sistemet e pagesave të Brazilit pa ndërtuar infrastrukturën e tyre. Roli i kompanisë si ndërmjetës e bëri atë një objektiv tërheqës për kriminelët që kërkonin qasje në disa banka njëkohësisht.
Banka qendrore e Brazilit urdhëroi C&M të shkëputej nga e gjithë infrastruktura financiare më 2 korrik, duke ndërprerë përkohësisht shërbimet Pix për disa institucione. Banco Paulista raportoi një “ndërprerje të përkohshme” në pagesat e menjëhershme për shkak të një “defekti të jashtëm”, ndërsa i siguroi klientët se nuk u kompromentuan të dhëna personale ose fonde.
Drejtori i Policisë Federale, Andrei Passos Rodrigues, tha se agjencia e tij nisi një hetim të menjëhershëm në koordinim me autoritetet shtetërore të São Paulos. Hetuesit po shqyrtojnë nëse sulmi lidhet me rrjetet e sofistikuara kiberkriminale të Brazilit, të cilat shpesh koordinohen përmes kanaleve Telegram dhe WhatsApp.
Roque, operatori i kompromentuar i IT-së, u tha hetuesve se komunikoi me të paktën katër zëra të ndryshëm gjatë sulmit të 30 qershorit, të gjithë dukeshin si të rinj. Ai pretendoi se kishte ndërruar telefonat celularë çdo 15 ditë për të shmangur zbulimin dhe nuk i kishte takuar kurrë personalisht komplotistët e tjerë përtej takimit fillestar në bar.
Shkelja ndodhi pavarësisht se sektori bankar i Brazilit investoi shumë në sigurinë kibernetike pas incidenteve të mëparshme. C&M deklaroi se kishte zbatuar “të gjitha masat teknike dhe ligjore” pasi zbuloi ndërhyrjen dhe vazhdon të bashkëpunojë me autoritetet.
BMP i siguroi klientët se kolateral i mjaftueshëm mbulonte shumat e vjedhura, duke parandaluar çdo humbje të klientëve. Banka qendrore konfirmoi se rikuperoi pjesë të fondeve të devijuara nga subjektet e rregulluara nën mbikëqyrjen e saj, megjithëse përpjekjet e rikuperimit mbeten të kufizuara për transferimet në bursat e kriptomonedhave të parregulluara.
Policia vazhdon analizimin e pajisjeve të sekuestruara nga banesa e Roque, ndërkohë që punon për të identifikuar pjesëmarrës të tjerë. Autoritetet kanë krijuar një task forcë të përbashkët me Policinë Federale dhe Ministrinë Publike për të gjurmuar transaksionet e kriptomonedhave dhe potencialisht për të ngrirë asete shtesë.