Мужчина, предоставивший хакерам доступ к мошенничеству Pix, получил 15 000 реалов; смотрите пошаговую инструкцию преступления

Сотрудник C&M Software, который предоставил доступ хакерам, осуществившим атаку, которая могла составить миллиарды долларов в незаконных переводах в мошенничестве Pix, сообщил гражданской полиции Сан-Паулу, что он получил 15 000 реалов за содействие преступникам во входе в системы. Власти считают этот акт крупнейшим киберфинансовым преступлением, когда-либо зарегистрированным в Бразилии.

В настоящее время ведется как минимум два расследования: одно возглавляет гражданская полиция Сан-Паулу, а другое — федеральная полиция, расследование начато в Бразилиа.

48-летний мужчина, вскоре после признания в преступлении и ареста в четверг вечером (3), обвиняется в передаче учетных данных доступа хакерам, которые вторглись в систему компании, где он работал. Эта компания связывает банки, финтехи ​​и кредитных операторов для проведения таких операций, как TED и Pix.

Полиция установила, что атака была совершена в ранние часы 30 июня, в результате чего сумма украденных средств могла составить от R$800 млн до R$1 млрд. Следователи отмечают, что пострадали по меньшей мере шесть из 22 компаний, обслуживаемых C&M.

Подозреваемый, у которого на данный момент нет адвоката, сообщил, что к нему подошли преступники в баре недалеко от его дома, где он сначала получил R$5000, а затем еще R$10000 за предоставление данных, которые позволили преступникам получить доступ к компьютерным системам. Полиция не объяснила, когда это произошло.

Расследование показало, что мошенничество было совершено с использованием учетных данных компании, которая привыкла перемещать крупные финансовые объемы, что изначально не позволяло транзакциям вызывать подозрения.

Преступникам потребовалось менее трех часов, чтобы совершить транзакцию

Поддельные заказы для мошенничества через Pix были выполнены последовательно с 4:30 утра до 7 утра 30-го числа и были обнаружены только после превышения исторической закономерности ежедневных транзакций.

Начальник полиции Ренан Топан из Государственного департамента уголовных расследований (Deic) гражданской полиции Сан-Паулу заявил во время интервью утром в эту пятницу (4), что, несмотря на свою серьезность, мошенничество не нанесло прямого ущерба Центральному банку, национальной финансовой системе или пользователям Pix. Центральный банк пока не сообщил, начал ли он также внутреннее расследование для получения более подробной информации о мошенничестве.

Полиция сейчас сосредоточила свои усилия на анализе мобильных телефонов и компьютеров, изъятых у подозреваемого, чтобы идентифицировать других участников и вернуть похищенные средства. Арестованный подозреваемый, как сообщается, сообщил полиции, что в деле участвовало по меньшей мере четыре человека, но следователи не исключают существование гораздо более крупной, интегрированной сети, имеющей опыт в такого рода действиях. Арестованному могут быть предъявлены обвинения в преступном сообществе и краже.

Пошаговое описание мошенничества через Pix

Продолжающееся расследование раскрывает пошаговый процесс преступления. Полиция не уточнила дату, когда к 48-летнему мужчине впервые подошли преступники, но он заявил, что у него был только личный контакт с одним из людей, когда он получил часть денег. Остальные переговоры всегда происходили по телефону. Предполагается, что преступление произошло в следующем порядке:

Подход к сотруднику C&M

К IT-оператору, сотруднику технологической компании C&M Software, в баре подошли преступники. Мошенники уже знали, где он работает, и изначально предложили ему 5000 реалов за предоставление учетных данных для доступа к системам компании. Позже он получил еще 10 000 реалов за предоставление более подробной информации о внутренних операциях компании.

Неправомерное использование учетных данных для транзакций через Pix

Имея пароли на руках, хакеры получили доступ к внутренней среде C&M, которая соединяет несколько учреждений с бразильской платежной системой (SPB), включая Pix. Имея действительные и официальные учетные данные, злоумышленники смогли выдать себя за законные учреждения и инициировать массовые переводы через Pix, особенно со счета одной из компаний, BMP, которая одна имела подтвержденные полицией убытки в размере 541 миллиона реалов.

Осуществление мошеннических операций

Транзакции были совершены в ранние часы 30 июня, с 4:30 утра до 7:00 утра. Это были последовательные операции с фальсифицированными заказами Pix, выдаваемыми за то, что они исходили от BMP и других операторов, перемещая средства быстро и в больших объемах. Первоначально эта деятельность осталась незамеченной, поскольку компания по своей природе уже работала с большими объемами переводов.

Отключение и реакция

Заметив необычные движения утром 30-го числа, C&M создала группу экстренного сдерживания и сообщила об инциденте в Центральный банк, который приказал немедленно отключить компанию от своих систем. Это привело к временной приостановке операций Pix в некоторых учреждениях.

Назначение ресурсов и конвертация в криптоактивы

Часть похищенных средств якобы была переведена на криптовалютные платформы. Одна из этих транзакций была перехвачена компанией, которая обнаружила необычную попытку покупки R$100,000 и заблокировала транзакцию, уведомив об этом финансовое учреждение.

Аресты и расследования мошенничества Pix

Единственным арестованным на данный момент был ИТ-специалист из C&M Software. Арест произошел в Сан-Паулу. Он признался в своей причастности, но заявил, что не знает других участников. Сотовые телефоны и компьютеры были изъяты, а гражданская полиция продолжает расследование судьбы средств. На данный момент заморожено около 270 миллионов реалов, в дополнение к 15 миллионам реалов, размещенным в криптоактивах.

Позиционирование C&M и Центрального банка

C&M утверждает, что не является источником атаки и что ее системы остаются нетронутыми, указывая на то, что инцидент был результатом социальной инженерии (психологической манипуляции), а не технологического сбоя. Центральный банк заявил, что его системы не были скомпрометированы и что C&M не имеет прямых договорных отношений с агентством, действуя только как поставщик услуг для финансовых учреждений.

Расследование также продолжается, и Федеральная полиция отслеживает около 140 счетов, используемых для переводов. Теперь полиция должна сосредоточиться на выявлении других участников схемы и попытаться вернуть оставшиеся украденные суммы.

См. примечание от компании C&M

Компания C&M Software сообщает, что продолжает активно сотрудничать с компетентными органами в расследовании инцидента, произошедшего в июле 2025 года.

С самого начала были приняты все необходимые технические и юридические меры, обеспечивающие строгий мониторинг и контроль безопасности систем компании.

Надежная структура защиты CMSW сыграла решающую роль в выявлении источника неправомерного доступа и содействовала ходу текущих расследований.

На сегодняшний день имеющиеся данные свидетельствуют о том, что инцидент стал результатом использования методов социальной инженерии для несанкционированного распространения учетных данных доступа, а не сбоев в системах или технологиях CMSW.

Мы хотели бы подчеркнуть, что CMSW не был источником инцидента и продолжает полностью функционировать, а все его продукты и услуги функционируют нормально.

Из уважения к работе властей и конфиденциальности, необходимой для расследований, компания будет сохранять осмотрительность и не будет делать никаких публичных заявлений, пока продолжаются процедуры. CMSW подтверждает свою приверженность целостности, прозрачности и безопасности всей финансовой экосистемы, частью которой она является, — принципы, которыми она руководствуется в своих этических и ответственных действиях на протяжении всей своей 25-летней истории.