史上最大數位劫案,內部員工 2,770 美元出賣登入憑證
巴西發生該國史上最大規模的數位金融劫案,駭客集團僅花費 15,000 巴西雷亞爾(約 2,770 美元)收買一名 IT 工程師,成功從巴西央行相關的準備金帳戶中盜走約 8 億巴西雷亞爾(約 1.48 億美元)。這起震驚金融界的案件發生在 6 月 30 日,涉及六家金融機構的準備金帳戶遭到未經授權的存取。
負責調查此案的聖保羅警探 Paulo Barbosa 表示:「這是金融機構透過網路遭受的最大詐欺案件。」案件的關鍵人物是 30 歲的 IT 操作員 João Nazareno Roque,他任職於聖保羅的軟體公司 C&M Software,該公司負責連接較小型銀行和金融科技公司至巴西央行基礎設施。
根據警方調查,犯罪集團早在今年 3 月就開始策劃,在 Roque 住家附近的酒吧外接觸他,最初以 5,000 巴西雷亞爾購買其系統憑證,隨後又支付 10,000 巴西雷亞爾請他協助創建入侵軟體工具。Roque 為了避免被監控,每 15 天就更換一次手機,且除了最初接觸外,從未與其它共犯面對面會面。
三小時內完成轉帳,加密貨幣成洗錢工具
駭客在 6 月 30 日當地時間凌晨 4 點至 7 點之間執行攻擊,冒充受影響的銀行發出虛假的 Pix 轉帳指令。Pix 是巴西的即時支付系統,每月處理數十億筆交易,已成為該國主要的支付方式,允許銀行和金融機構之間 24 小時即時轉帳。
銀行即服務提供商 BMP 是受影響最嚴重的機構之一,從其央行準備金帳戶中損失超過 4 億巴西雷亞爾(約 7,380 萬美元)。值得注意的是,這次攻擊針對的是銀行在央行維持的用於交易結算的準備金帳戶,而非客戶存款,因此沒有客戶遭受損失。
區塊鏈分析師 ZachXBT 的調查顯示,犯罪分子立即透過拉丁美洲的場外交易平臺和加密貨幣交易所,將被盜資金轉換為加密貨幣。據估計,至少有 3,000 萬至 4,000 萬美元的資金在當局凍結帳戶之前,已被轉換為比特幣、以太坊和 $USDT。
圖源:Telegram ZachXBT 的調查顯示,犯罪分子立即透過拉丁美洲的場外交易平臺和加密貨幣交易所,將被盜資金轉換為加密貨幣
當局追回部分資金,凸顯中心化系統風險
巴西當局迅速採取行動,央行在發現入侵後立即命令所有透過 C&M 路由的機構斷開連接。警方已凍結價值 2.7 億巴西雷亞爾(約 4,980 萬美元)的資金,同時持續追蹤其它資金流向。Roque 於 7 月 3 日在聖保羅被捕,目前仍被拘留等待進一步調查。
這起案件凸顯了社交工程攻擊日益成長的風險,犯罪分子透過操縱員工來獲取關鍵系統存取權限。Blockworks 數據分析師 Fernando Molina 指出:「最薄弱的環節永遠是人。」根據 Sprinto 的報告,98% 的網路攻擊者使用社交工程戰術來獲取敏感資訊。而根據 Chainalysis 的資料顯示,2024 年第 3 季與第 4 季期間,中心化加密貨幣交易所(CEX)遭駭事件有所增加,顯示駭客正將目標轉向這類具備單一失敗點的數位平臺。
圖源:Chainalysis 2024 年針對中心化服務的攻擊激增
Shielded Technologies 執行長 Eran Barak 表示,網路犯罪分子看到攻擊中心化系統的「巨大」報酬率,這些系統可能包含數百萬個密碼或數十億美元的資本。他認為,零知識證明等去中心化區塊鏈技術可以消除這種誘惑,迫使駭客針對個別錢包而非包含數百萬筆記錄的中心化資料庫。
『巴西央行有內鬼!駭客花小錢買通工程師,直接偷走1.48億鎂』這篇文章最早發佈於『加密城市』
