11 sierpnia 2025

Jak 2 000 dolarów otworzyło złodziejom drogę do 80 milionów - lekcja z ataku na brazylijski system finansowy.

Kiedy jeden pracownik i 2 000 dolarów mogą kosztować 80 milionów

Na pierwszy rzut oka może się wydawać niemożliwe, by tak niewielka kwota była w stanie uruchomić lawinę zdarzeń, która zakończy się stratą rzędu 80 mln USD. A jednak - dokładnie to wydarzyło się w Brazylii w czerwcu 2025 roku.

Wszystko zaczęło się od pracownika dostawcy usług IT (PSTI), który został zwerbowany przez cyberprzestępców. W zamian za zaledwie około 2 000 USD (800$ za przekazanie poświadczeń i 1 200$ po „wejściu”), przekazał im uprzywilejowany dostęp do systemów, a wraz z nim - możliwość przejęcia cyfrowych certyfikatów klientów instytucji finansowych.

Te certyfikaty były kluczem do systemu płatności natychmiastowych (SPI) i brazylijskiego systemu płatniczego (SPB). Cyberprzestępcy, podszywając się pod legalne instytucje, zaczęli wstrzykiwać podpisane transakcje PIX (czyli odpowiedni polskiego Elixir), które były automatycznie rozliczane - bez jakichkolwiek alarmów.

Oś czasu ataku - od wykrycia do aresztowań

30/06/2025, 00:18 - giełdy kryptowalut zauważają podejrzane transakcje BTC/USDT.
04:00 - bank CorpX informuje BMP Money Plus o przelewie 18 mln R$.
05:00 - incydent zgłoszony do C&M Software.
Kilka godzin później - Bank Centralny odłącza C&M od SPB.
03/07/2025 - częściowe wznowienie działalności i areszt podejrzanego pracownika.

Efekt? 80 mln USD w kryptowalutach rozproszonych po świecie - odzyskanie tych środków stało się praktycznie niemożliwe.

Co w tym wszystkim jest warte podkreślenia? Otóż zlecenia realizowane za pomocą przelewów natychmiastowych (PIX), są realizowane nie z konta „obciążanego”, a ze środków rezerwowych Banku za pomocą którego są realizowane. Co za tym idzie, powyższa sytuacja może doprowadzić do całkowitego upadku takiego banku, jeśli jego rezerwy zostaną wyczerpane. Przez to impakt może odczuć każdy klient wspomnianego banku.

Mechanizm ataku - „Cicha iniekcja”

Przejęcie certyfikatów cyfrowych instytucji finansowych.
Wstrzyknięcie podpisanych przelewów PIX do systemów SPB/SPI.
Automatyczne rozliczenie transakcji, bez wzbudzania podejrzeń.
Obciążenie kont rezerwowych w Banku Centralnym.
Rozproszenie środków - transfery na zagraniczne konta, konwersja na BTC/USDT, podział na setki małych przelewów.

Dlaczego to mogło się wydarzyć?

Brak separacji środowisk między klientem a dostawcą usług IT.
Centralizacja haseł i certyfikatów.
Brak monitoringu i kontroli sesji z dostępem uprzywilejowanym.
Brak mechanizmów „just-in-time” i wymuszonej wieloskładnikowej autoryzacji (MFA).

W efekcie - jeden zaufany pracownik, dysponujący odpowiednimi uprawnieniami, był w stanie wpuścić cyberprzestępców prosto do serca systemu finansowego.

Jak Segura® eliminuje takie zagrożenia

Segura® to 360° Privilege Platform, która zabezpiecza wszystkie newralgiczne punkty w łańcuchu dostępu uprzywilejowanego:

PAM Core - kontrola i nagrywanie sesji, pełna audytowalność działań administratorów.
Certificate Manager - pełny cykl życia certyfikatów z automatycznym unieważnianiem i monitorowaniem użycia.
Domum - bezpieczny dostęp zdalny bez VPN, zarządzanie dostępem zewnętrznym.
DevOps Secret Manager - rotacja haseł i ochrona sekretów środowiskowych.

Dzięki wbudowanej analityce zachowań i zasadzie „just-in-time”, Segura® skutecznie blokuje wektory ataku, które umożliwiłyby powtórkę scenariusza brazylijskiego.

Wnioski dla polskich firm

Choć ta historia wydarzyła się w Brazylii, mechanizmy ataku są uniwersalne – i mogą dotyczyć każdej organizacji w Polsce, która korzysta z dostawców IT lub operuje w systemach finansowych.

Koszt przekupienia pracownika – 2 000 USD.
Koszt strat – 80 000 000 USD.
Różnica? Bezcenna.