In Brasilien hat sich ein Cyberangriff ereignet, der zeigt, wie gefährlich eine einzige menschliche Entscheidung sein kann. Eine Gruppe von Cyberkriminellen hat gemeinsam mit einem Insider rund 140 Millionen US-Dollar von sechs Banken abgezogen. Die Methode war dabei weniger technischer Natur als vielmehr ein Fall von gezieltem Social Engineering.
Ein Gespräch vor der Bar
Der Insider war kein hochbezahlter IT-Profi, sondern ein ehemaliger Elektriker, der später als Backend-Entwickler für C&M arbeitete. C&M ist ein Unternehmen, das Banken mit dem brasilianischen Zahlungssystem Pix verbindet. Genau hier lag der Angriffspunkt.
Im März sprachen ihn Kriminelle am Eingang einer Bar an. Was harmlos begann, entwickelte sich zu einem Deal. Für insgesamt 2800 Dollar verkaufte er ihnen Zugangsdaten zu einem geschützten System, das mit der Zentralbank verbunden ist. Außerdem führte er gezielt Befehle auf den internen Systemen seines Arbeitgebers aus.
Der Angriff
Am 30. Juni schlugen die Täter zu. Der Insider hatte alle nötigen Vorbereitungen getroffen. Der Transfer der gestohlenen Gelder verlief offenbar ohne große technische Hürden. In kürzester Zeit verschwanden 140 Millionen US-Dollar aus den Systemen der betroffenen Banken.
Ein Teil des Geldes, etwa 50 Millionen Dollar, konnte inzwischen eingefroren werden. Doch rund 30 bis 40 Millionen wurden bereits in Kryptowährungen wie Bitcoin, Ethereum oder den Stablecoin USDT umgewandelt. Die Täter nutzten dafür Krypto-Börsen und sogenannte Over-the-Counter-Handelsplattformen in Lateinamerika.
Die Spur führt zu einem alten Handy
Der Insider versuchte, seine Spuren zu verwischen. Dennoch flog er auf. Am 3. Juli nahm ihn die Polizei in São Paulo fest. Mittlerweile wurden mindestens vier weitere mutmaßliche Täter identifiziert.
Kein Softwarefehler
C&M reagierte schnell auf die Vorwürfe und betonte, dass der Angriff nicht durch eine Schwachstelle in der eigenen Software möglich gewesen sei. Die Systeme selbst seien sicher. Es handelte sich um klassischen Missbrauch von Zugriffsrechten durch eine interne Vertrauensperson.
Der Vorfall zeigt eindrücklich, dass Cybersicherheit nicht allein eine Frage von Codequalität oder Verschlüsselung ist. Es geht auch um das Verhalten der Menschen, die diese Systeme bedienen. Technik kann vieles verhindern, aber sie kann nicht verhindern, dass jemand aus freien Stücken die Tür öffnet.
Was wir daraus lernen können
Ein Insider, gekauft für weniger als 3000 Dollar, ermöglichte einen der größten digitalen Banküberfälle der letzten Jahre. Das zeigt nicht nur die Macht sozialer Manipulation, sondern auch die Schwäche vieler Unternehmen, wenn es um menschliche Sicherheitsfaktoren geht.
IT-Sicherheit muss viel früher ansetzen. Nicht nur bei Software-Architekturen oder Authentifizierungsprotokollen, sondern bei den Menschen selbst. Denn oft ist es nicht der Code, der versagt, sondern das Vertrauen, das falsch platziert wurde.
© stock.adobe.com, James Thew