Атаки на Pix вновь подогревают недоверие к безопасности бразильской системы

Серия хакерских атак вновь вызвала подозрения относительно безопасности финансовой системы Бразилии. Как минимум в двух из них были взломаны платёжные счета учреждений, подключающих банки к системе Pix Центрального банка. По оценкам, было похищено около 2 млрд реалов.

В начале июля преступники похитили, по оценкам, более 1 млрд реалов. В конце августа было украдено ещё 710 млн реалов. После этих атак в сентябре было совершено как минимум ещё две, но ни одной из них не удалось украсть средства, связанные с Pix.

Череда атак побудила Центральный банк в пятницу (5) объявить о ряде мер по укреплению безопасности финансовой системы и Pix. Среди них — ограничение в 15 000 реалов на TED и Pix, проводимые платежными учреждениями, не имеющими разрешения Центрального банка, и теми, кто пользуется услугами поставщиков услуг информационных технологий (PSTI) для их проведения.

В числе прочих инициатив Британский совет также установил минимальный размер в 15 миллионов реалов наличными для аккредитации поставщиков услуг в системе и перенес срок подачи платежными учреждениями заявок на авторизацию с декабря 2029 года на май 2026 года (подробнее здесь ) .

Эксперты, опрошенные Gazeta do Povo до того, как Центральный банк объявил о мерах, оценивают, что система не стала более уязвимой со временем, но существующие нарушения были замечены преступниками и не устранены, что способствовало новым попыткам взлома.

Хуан Феррес, экономист и партнёр платформы автоматизации бизнеса Teros, утверждает, что в процессе обмена сообщениями, связывающем Pix, есть уязвимость, позволяющая проводить подобные атаки. По словам предпринимателя, эта уязвимость связана с тем, как организации структурируют свои механизмы контроля и аутентификации.

«Недостаточно полагаться исключительно на пароль или двухфакторную аутентификацию; необходимо внедрить более надежный уровень безопасности, включая выделенные VPN, шифрование данных, цифровые подписи и несколько этапов проверки, которые гарантируют целостность транзакций, а также проверку баланса», — говорит он.

Он также поясняет, что многие транзакции, особенно по счётам, не требуют мгновенного исполнения — транзакции Pix обычно завершаются за десять секунд. Поэтому учреждения могут и должны определить сценарии использования таких транзакций, чтобы способствовать созданию более безопасных процессов и предотвращению атак.

«Две недавние атаки использовали именно эту уязвимость Pix: злоумышленники определили возможность прямой атаки на резервные счета и воспользовались ею», — сказал он.

Даже после атаки система осталась уязвимой

По мнению Педро Магальяйнса, партнера Pixley, финтех-компании, занимающейся криптовалютными платежами, атака на C&M в начале июля выявила устойчивые недостатки — и с тех пор система не была усовершенствована.

По мнению предпринимателя, вторая атака , совершенная 29 августа против Sinqia, вероятно, следовала той же схеме, что и предыдущая, с использованием взлома системы Pix.

По его словам, повторение инцидентов свидетельствует не только о том, что уязвимости не были устранены, но и о том, что параллельно, возможно, уже планируются другие атаки.

Две кредитные финтех-компании подверглись атакам на систему Pix

В течение трёх дней две финтех-компании подверглись атакам на систему Pix. Во вторник (2) рынок был оповещён об атаке на Monetarie . В общей сложности было похищено 4,9 млн реалов, из которых 4,7 млн ​​реалов были возвращены в тот же день.

Первоначально преступники предположительно пытались воспользоваться той же уязвимостью в системе Pix. После блокировки доступа их стратегия заключалась в переходе в систему обмена сообщениями TED, где они смогли осуществить диверсии.

Рынок был оперативно предупрежден о необходимости блокировать переводы, исходящие от Monetarie, усилить постоянный мониторинг всех финансовых транзакций и повысить уровень аутентификации и наблюдения во всех платежных системах.

В четверг (4) злоумышленники снова атаковали систему Pix неназванной финтех-компании. Несмотря на отсутствие хищения средств или кражи данных, атака приостановила генерацию кодов запросов Pix целевой компанией.

Выявить преступников для предотвращения новых атак Pix

По словам Педро Магальяйнса из Pixley, выявление и наказание хакеров, ответственных за диверсии, имеет решающее значение для предотвращения дальнейших атак. «Их редко обнаруживают, что увеличивает вознаграждение», — говорит он.

Он также считает, что на самом деле имеет место определенная халатность со стороны компаний, которые осуществляют такого рода соединения, начиная от отсутствия контроля доступа с более высоким индексом безопасности и заканчивая использованием передовых практик хранения цифровых ключей.

Проблема не в отсутствии регулирования

По мнению Тероса, проблема не в отсутствии регулирования. Он объясняет, что необходима корректировка текущей модели, поскольку Центральный банк со временем создал несколько систем регулирования с крайне фрагментированным применением.

«Это снизило барьеры для входа, что положительно сказалось на стимулировании инноваций и конкурентоспособности, но также открыло простор для деятельности в системе плохо подготовленных, а в некоторых случаях и злонамеренных агентов», — оценивает он.

По мнению бизнесмена, решение заключается в установлении более строгих минимальных стандартов. Он считает, что чрезмерная фрагментация системы, в которой множество платёжных организаций (ПУ), некоторые из которых даже не регулируются, выполняют функции хранителей средств, неустойчива.

Open Finance теперь работает в более безопасной среде

Феррес утверждает, что необходимые технические изменения не слишком сложны. Он приводит в пример то, что уже происходит в среде Open Finance, которая работает по более строгим стандартам, чем те, которые в настоящее время используются для обмена сообщениями по резервным счетам.

Открытые финансы, также называемые Открытой финансовой системой, — это инициатива Центрального банка, которая позволяет различным учреждениям обмениваться финансовыми данными клиентов.

По словам Ферреса, открытые финансы требуют более открытой и совместимой среды, которая требует минимального масштаба и консолидированных стандартов безопасности, а также поощряет консолидацию платежных учреждений.

В модели, например, используется центральная точка обмена сообщениями (CMP), которая отслеживает транзакции в режиме реального времени, проверяя отправителя и получателя. «Эта модель обеспечивает централизованную блокировку и лучшую прозрачность потока, значительно снижая риск атак», — утверждает он.