فيما يلي بعض الذخيرة لمدافعين اللامركزية: سرق المتسللون حوالي 800 مليون دولار (140 مليون دولار) من البنوك البرازيلية بعد دفع موظف شركة التكنولوجيا فقط 15000 دولار (2760 دولارًا) عن بيانات اعتماده للشركات ، وفقًا لمسؤولي إنفاذ القانون الذين يبحثون عن ما يصفونه بأنه أكبر دروع رقمي في تاريخ البلاد.
استهدف الهجوم برنامج C&M ، وهي شركة مقرها في ساو باولو تربط البنوك الأصغر والتقنية بالبنية التحتية للبنك المركزي في البرازيل ، بما في ذلك نظام الدفع الفوري للبيكس. شهدت ست مؤسسات مالية وصولًا غير مصرح به إلى حساباتها الاحتياطية في 30 يونيو ، مع استنزاف المجرمين في أقل من ثلاث ساعات.
وقال باولو باربوسا ، محقق شرطة ساو باولو ، في مؤتمر صحفي يوم الخميس: “هذا أكبر عملية احتيال عانت منها المؤسسات المالية عبر الإنترنت”.
بدأ المخطط في مارس عندما اقترب المجرمون من جواو نازارينو روك ، مشغل تكنولوجيا المعلومات في C&M ، خارج حانة بالقرب من منزله. اعترف Roque ببيع بيانات اعتماد نظامه مقابل 5000 دولار في البداية ، ثم حصل على 10،000 دولار أخرى للمساعدة في إنشاء برنامج مكّن الخرق. ألقت الشرطة القبض على اللاعب البالغ من العمر 30 عامًا في مقر إقامته في مدينتي Jaraguá في 3 يوليو.
بين الساعة الرابعة صباحًا و 7 صباحًا بالتوقيت المحلي في 30 يونيو ، أصدر المهاجمون أوامر نقل بيكس الاحتيالية أثناء انتحال شخصية البنوك المتأثرة. كانت BMP ، وهي مزود للخدمات المصرفية كخدمة ، واحدة من أكثر الخسائر تضرراً ، مما يؤكد الخسائر التي تزيد عن 400 مليون دولار (73.8 مليون دولار) من حساب الاحتياطي البنكي المركزي. قدمت الشركة تقرير الشرطة الأولي الذي كشف الهجوم الأوسع.
بدأ المجرمون على الفور في تحويل REAIS المسروقة إلى العملة المشفرة من خلال مكاتب وتبادلات أمريكا اللاتينية دون وصفة طبية. يشير تحليل blockchain من Crypto sleuth Zachxbt إلى ما لا يقل عن 30 مليون دولار إلى 40 مليون دولار انتقل إلى Bitcoin و Ethereum و Tether (USDT) قبل أن تتمكن السلطات من تجميد الحسابات. تم حظر محفظة واحدة تحتوي على 270 مليون دولار (49.8 مليون دولار).
قال المحقق المستعار في وقت سابق اليوم عبر Telegram إنه يساعد المحققين في تحديد وتجميد عناوين العملة المشفرة المرتبطة بما وصفه بأنه “واحدة من أكثر الحالات المجنونة من هذا العام”.
ما هو PIX و C&M ولماذا تم استهدافهم؟
PIX ، منصة الدفع الفورية للبرازيل التي تم إطلاقها في نوفمبر 2020 ، تعالج مليارات المعاملات شهريًا وأصبحت طريقة الدفع المهيمنة في جميع أنحاء البلاد. يتيح النظام عمليات نقل فورية بين البنوك على مدار 24 ساعة في اليوم ، بما في ذلك عطلات نهاية الأسبوع والأعياد ، مع إكمال المعاملات على الفور تقريبًا.
لقد تم تبنيه على نطاق واسع لأن المستخدمين يمكنهم ربط حساباتهم بالمعرفات المألوفة مثل رقم هاتفهم أو بريدهم الإلكتروني أو رقم الهوية. يتيح PIX أيضًا مدفوعات QR ويقدم ميزات مختلفة مصممة للتنافس مع مقدمي بطاقات الائتمان ، بما في ذلك الخيارات التي تتيح للمستخدمين دفع مقابل عمليات الشراء على أقساط.
يعمل النظام من خلال ربط البنوك والمؤسسات المالية مباشرة من خلال البنية التحتية الرقمية للبنك المركزي ، مما يسمح للأموال بالانتقال على الفور بين الحسابات. عندما يبدأ المستخدم في تحويل PIX ، يتم توجيه طلب الدفع مباشرة من خلال البنك المركزي ، والذي يتحقق من التفاصيل ويسمح للمعاملة في الوقت الفعلي. هذا يلغي التأخيرات المرتبطة بالتحويلات المصرفية التقليدية ، والتي غالبًا ما استغرق الأمر دقائق أو حتى ساعات لتنظيفها ، مما يتيح الانتهاء من المدفوعات والتحويلات في غضون ثوانٍ ، في أي وقت من اليوم.
كانت هناك تقنيات مجاورة أخرى تم تنفيذها في البرازيل ، مثل القدرة على مراقبة معاملات البنوك الأخرى لتصنيف الائتمان ، على سبيل المثال.
على عكس الهجمات السابقة التي تستهدف مستخدمي PIX الفردي من خلال البرامج الضارة مثل Pixpirate ، استغل هذا الخرق البنية التحتية التي تربط المؤسسات المالية بالبنك المركزي. وصل المهاجمون إلى حسابات الاحتياطي التي تحتفظ بها البنوك من أجل تسوية المعاملات ، بدلاً من ودائع العملاء.
“لم تحدد التحليلات التي أجريت حتى الآن أي إخفاقات فنية أو نقاط ضعف في أنظمة CMSW. وقع الحادث بسبب الاستخدام غير المصرح به لبيانات الاعتماد المشروعة. بالإضافة إلى بيانات اعتماد الموظف ، كانت هناك دلائل على أنه قد تم استغلال أساليب المصادقة الأخرى.
تأسست C&M في عام 1992 من قبل Orli Machado ، توفر خدمات المراسلة التي تسمح لحوالي 23 مؤسسة مالية أصغر بالوصول إلى أنظمة دفع البرازيل دون بناء بنيتها التحتية الخاصة بها. جعل دور الشركة كوسيط هدفًا جذابًا للمجرمين الذين يسعون للوصول إلى العديد من البنوك في وقت واحد.
أمر البنك المركزي البرازيلي C&M بالانفصال عن جميع البنية التحتية المالية في 2 يوليو ، مما أدى إلى تعطيل خدمات PIX مؤقتًا للعديد من المؤسسات. أبلغت Banco Paulista عن “انقطاع مؤقت” في المدفوعات الفورية بسبب “الفشل الخارجي” ، بينما يطمئن العملاء إلى عدم وجود بيانات شخصية أو أموال.
أبلغ بانكو باوليستا عن “انقطاع مؤقت” في المدفوعات الفورية. الصورة: لقطة الشاشة
وقال مدير الشرطة الفيدرالية أندريه باسوس رودريغز إن وكالته أطلقت تحقيقًا فوريًا بالتنسيق مع سلطات ولاية ساو باولو. يقوم المحققون بفحص ما إذا كان الهجوم يتصل بشبكات مجريم الإنترنت المتطورة في البرازيل ، والتي تنسق بشكل متكرر من خلال قنوات Telegram و WhatsApp.
أخبر Roque ، مشغل تكنولوجيا المعلومات المتساوي ، المحققين أنه تواصل مع أربعة أصوات مختلفة على الأقل خلال هجوم 30 يونيو ، وجميعهم يبدو مثل الشباب. ادعى أنه غير الهواتف المحمولة كل 15 يومًا لتجنب الاكتشاف ولم يلتقي أبداً المتآمرين الآخرين شخصيًا خارج اللقاء الأولي.
حدث الانتهاك على الرغم من أن القطاع المصرفي في البرازيل يستثمر بشدة في الأمن السيبراني بعد الحوادث السابقة. صرحت C&M بأنها نفذت “جميع التدابير الفنية والقانونية” بعد اكتشاف التسلل وتواصل التعاون مع السلطات.
أكد BMP للعملاء أن ضمانات كافية غطت المبالغ المسروقة ، مما يمنع أي خسائر للعملاء. أكد البنك المركزي أنه استعاد أجزاء من الأموال المحدودة من الكيانات الخاضعة للتنظيم تحت إشرافه ، على الرغم من أن جهود الاسترداد تظل محدودة للتحويلات إلى تبادل العملة المشفرة غير الخاضعة للتنظيم.
تواصل الشرطة تحليل الأجهزة التي تم الاستيلاء عليها من مقر Roque أثناء العمل على تحديد المشاركين الآخرين. أنشأت السلطات فرقة عمل مشتركة مع الشرطة الفيدرالية والوزارة العامة لتتبع معاملات العملة المشفرة وتجميد الأصول الإضافية.