巴西银行系统遭受网络攻击 - Kryptus

巴西最大的金融网络攻击发生在周二， 1 年 2025 月 XNUMX 日巴西银行系统遭遇了前所未有的网络攻击。据媒体报道（电视Globo)，黑客成功 挪用至少800亿雷亚尔 此次攻击事件发生在该国央行账户中，这可能是该国有史以来规模最大的此类事件。此次攻击利用了金融领域一家第三方技术公司的漏洞，揭示了日益互联的生态系统中的系统性风险。

发生了什么？

1 日凌晨，一群网络犯罪分子入侵了该公司的基础设施 管理软件，一家通过 巴西支付系统（SPB）黑客并没有直接攻击金融机构，而是窃取了 C&M 用于运营以下服务的访问凭证： Pix、TED 和 DDA 代表他们的客户。利用这种特权访问，他们进行了一系列 欺诈性高价值转账 对于橙色账户，将资源分散到 超过 40 个不同的机构。

一旦拿到贵重物品，犯罪分子就会立即试图 将钱转换成加密货币 使其难以追踪。交易所和支付平台被用来用挪用资金购买USDT（Tether）和比特币等资产。这一策略旨在 掩盖你的踪迹 并使追回资金变得更加复杂。事实上，初步估计只有大约 金额的2% 到目前为止都是可以恢复的，这凸显了转换为加密资产后逆转交易的有效性有限。

黑客是如何转移这些资金的？

调查仍在进行中，但已经发现了一系列 严重的安全漏洞 攻击者正是利用这些漏洞实施了诈骗。目前发现的主要漏洞包括：

无需 MFA 的特权凭证： 攻击者获得（可能通过内部泄露或网络钓鱼）高权限凭证（例如提供商的客户登录信息），并在没有遇到安全屏障的情况下使用它们。 多因素认证换句话说，用户名和密码足以访问关键区域，这在敏感的金融系统中是不可能实现的。这种对客户凭证的滥用是此次攻击的最初诱因， 红色警报 对整个行业来说。
缺乏细分和内部控制： 一旦进入 C&M 网络，犯罪分子显然能够 横向移动 并访问不同的系统而不会立即被阻止。由于缺乏足够的网络分段和行为监控，大量异常操作未能立即触发警报。可疑活动直到损害已经发生后才被发现。
API 集成中的漏洞： 的模型 银行即服务 (BaaS) C&M 采用的是基于 API 集成的方式，将银行连接到 SPB。然而， 这些 API 的安全实现存在缺陷 无论是身份验证、访问令牌还是操作验证，都为攻击留下了漏洞。管理不善的API可能会授予对关键系统的直接访问权限，这在本案中显而易见。
审计及响应不足： 此次事件暴露了 缺乏实时可观察性 交易量。异常转账持续了数小时，直到远超正常水平的交易量被转移后才被注意到。 日志和警报 实时监控以及自动响应机制（例如锁定可疑账户）未能及时阻止欺诈行为。这一监控漏洞使攻击者得以在资金被控制之前将其部分转换为加密货币。

简而言之，存在着一种危险的组合 凭证泄露、内部防御薄弱以及缺乏主动监控。到目前为止，已知 六家金融机构的储备账户 遭到不当访问，所有账户均为受攻击提供商的客户。值得注意的是，储备账户存放在中央银行，专门用于银行间结算——也就是说，银行将部分资金存入这些账户，以确保日常运营。没有个人账户持有人直接遭受损失；此次攻击涉及金融机构在其结算账户中的自有资金。

直接的后果是什么？

欺诈行为曝光后， 中央银行 采取了严厉的遏制措施。货币当局确定 立即关闭 C&M Software 的整个基础设施，以防止进一步的未经授权的访问。这意味着该公司的客户银行 暂时无法访问 Pix 以及其他通过C&M运营的服务。此次运营中断持续了一周左右，直到在央行的监督下，连接才得以控制性地恢复。周四（3月XNUMX日），该公司在采取紧急措施以缓解进一步事故影响后，获准逐步恢复运营。

联邦警察也接到了报警，并对该网络犯罪展开调查。有报道称，C&M 的一名员工涉嫌与黑客合作，可能向犯罪分子出售了访问凭证以换取报酬。该犯罪团伙使用的银行账户包含 R $ 270万已被当局封锁。这些调查表明，除了技术故障外，可能还存在 故意的人为错误 –这进一步凸显了严格的内部控制和对特权访问监督的必要性。

专家认为，此次事件将产生重大影响。监管机构和市场必须重新评估对关键第三方服务提供商（例如BaaS公司）的安全要求。对安全模型的信任外包银行基础设施的安全性受到了冲击，有关新法规、网络安全认证和更严格交易限制的讨论已经提上日程。与此同时，这一事件再次引发了关于使用 criptomoedas 作为洗钱手段。尽管像 SmartPay 这样的加密货币交易所和集成商能够及时阻止部分可疑交易，但被盗资金很容易转化为难以追踪的数字资产，这给欺诈预防带来了额外的挑战。

这次袭击给其他公司带来了什么教训？

即使金融行业以外的公司也应该关注这些发展。这次攻击极大地暴露了 数字供应链的风险：如今，各种规模的企业都依赖于软件提供商、云服务、支付 API 和各种集成网络。 任何链接中的漏洞 这一链条可能会危及整个运营。在C&M的案例中，第三方公司的倒闭影响了多家银行和数亿雷亚尔的资金，足以动摇人们对整个系统的信心。

对于公司来说，仔细评估安全性的重要性显而易见，这不仅在于 自己的基础设施，而且 所有技术合作伙伴和供应商信息安全尽职调查政策必须严格：服务提供合同必须要求遵守高数据保护标准、定期进行安全审计以及对所采用的控制措施完全透明。

此外，这一事件也强调了投资 深入的安全架构 在组织内部。IT 高管和经理可以学习的一些实践经验包括：

强制多因素身份验证： 确保所有特权访问（来自内部员工或供应商）都需要 MFA 或其他强大的验证形式。这使得被盗凭证更难被滥用。
网络分段和最小特权原则： 将关键环境划分为不同的网络段，并严格限制每个用户/系统的访问权限，使其达到必要的最低限度。这样，即使凭证被盗，攻击者的攻击范围也会受到限制。
持续监控和异常检测： 实施工具 SIEM 以及行为分析，在发生异常活动时触发实时警报（例如，凌晨的大额转账、从异常位置的访问）。自动响应，例如暂时阻止可疑账户（杀死开关)，可以在最初几分钟内遏制攻击。
定期审核和测试： 实现 渗透测试 定期审核 API 集成，并对关键供应商的安全性进行独立评估。模拟攻击场景，抢在犯罪分子之前发现漏洞。
事件响应计划： 制定明确的计划，应对涉及第三方的事件。这包括与合作伙伴和相关部门及时沟通、采取冗余措施（例如，在供应商出现故障时提供替代渠道），以及事先就应急程序达成一致。

与值得信赖的合作伙伴一起加强安全

类似最近这次袭击的案例表明 网络安全必须成为重中之重 在商业战略中，尤其是在金融领域。企业不能完全外包安全责任——保持积极警惕并要求整个合作伙伴网络实施高标准的保护至关重要。

A 克里普托斯作为密码学和网络安全领域的国家级权威机构，该公司将自己定位为应对这一挑战的组织盟友。凭借安全解决方案 经过认证并量身定制 对于金融领域，Kryptus 帮助机构实施上述措施，将其防护级别提升至相当于国防的水平。我们的专家团队与您的 IT 团队紧密合作，以弥补漏洞、监控威胁并 确保您的公司和供应商都遵循最佳安全实践.

不要让你的机构处于危险之中。 联系 Kryptus 并了解我们如何帮助保护您的企业免受网络威胁。

[email protected]

微信: +55 19 3112-5008