Trace Id is missing

Uvid u rastući rizik prijevara s poklon-bonovima

Preuzmi
Zajedničko korištenje
Prijenosno računalo s poklon-bonovima i kreditnim karticama koje izlaze iz njega

Cyber Signals izdanje 7: U lavljem brlogu

Živimo u doba u kojem su digitalne transakcije i kupovina na mreži postali sastavni dio svakodnevice i suočavamo se s prijetnjama računalnog zločina. Posebnu prijetnju predstavljaju prijevare s poklon-bonovima i platnim karticama, uključujući i poklon-bonove tvrtki za kreditne kartice i one koje izdaje maloprodaja, jer su rasprostranjene i neprekidno se razvijaju. Zločinci koriste sve složenije načine rada kojima ugrožavaju portale s poklon-bonovima, sve dok ih ne pretvore u gotovinu koja nestaje bez traga.

U ovom izdanju biltena Cyber Signals obrazložene su taktike, tehnike i procedure zlonamjernog aktera u području računalnog zločina kojeg Microsoft naziva Storm-0539, poznatog i kao Atlas Lion, kao i njegove aktivnosti u području krađe poklon-bonova, složenosti načina rada, posljedica po pojedince, tvrtki i okruženja u kojem se odvija računalna sigurnost.

Grupa Storm-0539 godinama održava svoj značaj tako što se neprekidno prilagođava promjenjivim uvjetima zločinačkog okruženja. Uspješno prolazeći kroz složenu mrežu šifriranih kanala i podzemnih foruma, ova grupa rukovodi nezakonitim pothvatima tako što koristi tehnološke propuste i primjenjuje pametne kampanje društvenog inženjeringa kako bi povećala domet svojih operacija.

Dok mnogi zlonamjerni akteri u području računalnog zločina radi brzog stjecanja dobiti koriste liniju manjeg otpora i fokusiraju se na obujam, kod grupe Storm-0539 vidimo tiho i produktivno fokusiranje na ugrožavanje sustava i transakcija s poklon-bonovima. Ovaj napadač neumorno cilja izdavatelje poklon-bonova tako što prilagođava tehnike i prati tempo svih promjena u maloprodaji, plaćanju, kao i drugim područjima rada.

Svi sudjelujemo u obrani.

Gledajući unatrag, Storm-0539 pojačava aktivnost napada uoči velikih praznika. Od ožujka do svibnja 2024., uoči sezone ljetnih godišnjih odmora, Microsoft je uočio da je grupa Storm-0539 za 30 % povećala aktivnost upada u sustave. Od rujna do prosinca 2023., u razdoblju koji se preklapa s jesenskim i zimskim praznicima, uočili smo porast aktivnosti napada od 60 %.

  • 30 posto povećanja aktivnosti upada grupe Storm-0539 od ožujka do svibnja 2024.
  • 60 posto povećanja aktivnosti upada grupe Storm-0539 od rujna do prosinca 2024.

Napadači poboljšavaju načine krađe poklon-bonova i platnih kartica

Storm-0539 obavlja aktivnosti iz Maroka i uključen je u financijske zločine kao prijevara s poklon-bonovima. Služe se tehnikama kao što su krađa identiteta, krađa identiteta putem SMS-a, registriranje njihovih vlastitih uređaja u okruženju žrtava radi dobivanja neprekidnog pristupa, kao i korištenje pristupa ciljanim organizacijama trećih strana. Uređaje registriraju tako da se zahtjevi za višestruku provjeru autentičnosti (MFA) preusmjeravaju s ugroženog računa žrtve na uređaj napadača. Registriranje uređaja omogućava im da potpuno ugroze identitet i zadrže se u okruženju oblaka. 

Aktivna od kraja 2021. godine, ova grupa u području računalnog zločina pokazuje kako se zlonamjerni akteri sve više fokusiraju na napade na račune i sustave platnih kartica. Napadači su ranije obično ugrožavali podatke o platnim karticama zlonamjernim softverom na prodajnom mjestu (POS). Ipak, s jačanjem obrane na prodajnim mjestima, grupa Storm-0539 u svojim zločinačkim aktivnostima je prilagodila svoje tehnike napada kako bi uspjela ugroziti usluge u oblaku i identiteta na portalima s poklon-bonovima koji su povezani sa velikim maloprodajama, luksuznim robnim markama i poznatim restoranima brze hrane.

Gledajući unatrag, prijevare s platnim karticama i poklon-bonovima povezane su sa složenim kampanjama u kojima se koristi zlonamjerni softver i krađa identiteta. Međutim, ova grupa koristi svoje temeljno znanje o oblaku kako bi u organizaciji provodila izviđanje procesa izdavanja poklon-bonova, portala s poklon-bonovima, kao i onih zaposlenih koji imaju pristup poklon-bonovima.

Lanac napada obično se sastoji od sljedećih radnji:
  • S pomoću direktorija i rasporeda zaposlenih, popisa s podacima o kontakt-osobama i ulaznom poštom, Storm-0539 usmjerava napade na osobne i poslovne mobilne uređaje zaposlenih koristeći tekstualne poruke za krađu identiteta putem SMS-a. 
  • Kada uspiju ući u račun zaposlenog u organizaciji koja predstavlja metu napada, napadači se kreću bočno u pokušaju da otkriju poslovni proces u vezi s poklon-bonovima, a zatim se okreću ugroženim računima povezanim s tim posebnim portfeljem. 
  • Grupa se bavi i prikupljanjem informacija o virtualnim računalima, VPN vezama, SharePoint i OneDrive resursima, kao i Salesforce, Citrix i drugim udaljenim okruženjima. 
  • Kada dobije pristup, grupa izrađuje nove poklon-bonove koristeći ugrožene račune zaposlenih. 
  • Nakon toga otkupljuje vrijednost povezanu s tim bonovima, prodaje poklon-bonove drugim zlonamjernim akterima na crnom tržištu ili koristi posrednike za prijenos novca kako bi unovčila poklon-bonove.
Slika koja prikazuje dva telefona s porukama krađe identiteta putem SMS-a grupe Storm-0539, koja u SMS porukama oponaša tehničku podršku tvrtke u kojoj je ciljani pojedinac zaposlen.
Storm-0539 krade identitet putem SMS poruka, tako što oponaša tehničku podršku tvrtke u kojoj je ciljani pojedinac zaposlen.

Izviđanje i sposobnost grupe Storm-0539 da iskoristi okruženje oblaka slični su onome što Microsoft opaža kod zlonamjernih aktera pod pokroviteljstvom nacionalne države, i pokazuje kako tehnike koje populariziraju špijunažu i napadači fokusirani na geopolitičku situaciju u današnje vrijeme utječu na financijski motivirane zločince.

Na primjer, grupa Storm-0539 koristi znanje koje ima o softveru temeljenom na oblaku, sustavu identiteta i privilegije pristupa kako bi usmjerila napad na lokaciju na kojoj se izrađuju poklon-bonovi, umjesto da se fokusira isključivo na krajnjeg korisnika. Ta aktivnost predstavlja trend i viđamo je među grupama koje ne spadaju u grupe nacionalne države, kao što su Octo Tempest i Storm-0539, koje su dobro upućene u resurse oblaka baš kao i napredni akteri koje sponzorira država.

Da bi se uspješno prikrila i ne bi bila otkrivena, grupa Storm-0539 se dobavljačima usluga u oblaku predstavlja kao zakonita organizacija, s ciljem preuzimanja privremene aplikacije, skladišta i drugih početnih besplatnih resursa za obavljanje aktivnosti napada.

U sklopu tih pokušaja, grupa izrađuje web-mjesta koje lažno predstavlja kao dobrotvorne organizacije, skloništa za životinje i druge neprofitne organizacije u Sjedinjenim Američkim Državama, obično se služeći namjernim propustima u unosu naziva, obmanjujućom praksom koja podrazumijeva pogrešno napisanu domenu organizacije kako bi naveli korisnike da posjete lažna web-mjesta i unesu osobne podatke ili profesionalne akreditive.

Microsoft je uočio da grupa Storm-0539, radi dodatnog proširenja kompleta alata za prijevaru, s javnih web-mjesta neprofitnih organizacija preuzima zakonite kopije pisama 501(c)(3) koje je objavila Porezna uprava SAD-a (IRS). Opremljena kopijom zakonitog pisma 501(c)(3) i odgovarajućom domenom koji predstavlja domenu neprofitne organizacije za koju se lažno predstavlja, a za koju je pismo izdano, grupa se obraća velikim dobavljačima usluga u oblaku radi dobivanja tehnoloških usluga koje se sponzoriraju ili nude po sniženim cijenama, a često se pružaju neprofitnim organizacijama.

Infografika s prikazom kako Storm-0539 operira.
Storm-0539 operira kroz besplatne probne verzije, pretplate s plaćanjem prema potrošnji i ugrožene resurse u oblaku. Također smo primijetili da Storm-0539 oponaša zakonite neprofitne organizacije kako bi dobio neprofitna sponzorstva od više dobavljača usluga u oblaku.

Grupa izrađuje i naloge za besplatne probne verzije ili studente na platformama za usluge u oblaku, koje novim korisnicima obično omogućavaju pristup u trajanju od 30 dana. U okviru tih naloga grupa zatim izrađuje virtualna računala koja služe pokretanju ciljanih operacija. Vještina grupe Storm-0539 u ugrožavanju i izradi infrastrukture napada zasnovane na oblaku omogućava joj da izbjegne uobičajene prethodne troškove u ekonomiji računalnog zločina, poput plaćanja za glavna računala i poslužitelje, jer nastoji smanjiti troškove, povećati učinkovitost.

Microsoft procjenjuje da grupa Storm-0539 u ciljanim tvrtkama provodi temeljno izviđanje vanjskih dobavljača usluga identiteta kako bi što uvjerljivije oponašala funkciju prijavljivanja korisnika, uključujući ne samo izgled stranice s napadačem u sredini (AiTM), već i korištenje registriranih domena koje jako sliče zakonitim uslugama. U nekim drugim slučajevima, grupa Storm-0539 je ugrozila zakonite nedavno registrirane WordPress domene kako bi izradila odredišnu stranicu za AiTM.

Preporuke

  • Zaštita tokena i pristup s najnižom razinom privilegija: Primijenite pravilnike za zaštitu od napada tehnikom ponavljanja tokena tako što ćete povezati token sa zakonitim uređajem korisnika. Primijenite principe pristupa s najnižom razinom privilegija na čitav niz tehnologija kako biste smanjili potencijalni utjecaj napada.
  • Usvojite sigurnosnu platformu za poklon-bonove i primijenite rješenja za zaštitu od prijevara: Razmislite o prelasku na sustav koji je dizajniran za potvrdu plaćanja. Trgovci mogu integrirati funkcije za zaštitu od prijevara radi smanjenja gubitaka.
  • Višestruka provjera autentičnosti koja je otporna na krađu identiteta: Prelazak na akreditive otporne na krađu identiteta koji odolijevaju raznim vrstama napada, kao što su FIDO2 sigurnosni ključevi.
  • Zatražite sigurnosnu promjenu lozinke kada je razina rizika po korisnike visoka: Microsoft Entra višestruka provjera autentičnosti zahtijeva se prije nego što korisnik bude u mogućnosti izraditi novu lozinku s pomoću povratne lozinke kako bi se otklonio rizik.
  • Obučite zaposlene: Trgovci trebaju obučavati zaposlene tako da mogu prepoznati potencijalne prijevare s poklon-bonovima i odbiti sumnjive narudžbe.

Kako prebroditi krizu: obrana od grupe Storm-0539

Poklon-bonovi predstavljaju privlačne mete za prijevaru jer, za razliku od kreditnih ili debitnih kartica, ne sadrže imena klijenata niti brojeve bankovnih računa. Microsoft opaža porast aktivnosti grupe Storm-0539 fokusiranih na tu industriju u razdobljima uoči i tokom praznika. Dan sjećanja, Praznik rada i Dan zahvalnosti u Sjedinjenim Američkim Državama, kao i Crni petak i zimski praznici koji se obilježavaju širom svijeta, obično su povezani s povećanom aktivnošću grupe.

Organizacije obično postavljaju ograničenje na gotovinsku vrijednost koja se može izdati po pojedinačnom poklon-bonu. Na primjer, ako ograničenje iznosi 100 000 USD, zlonamjerni akter će izdati karticu za 99 000 USD, a zatim će sebi poslati šifru za poklon-bon i unovčiti je. Njihova primarna motivacija je da ukradu poklon-bonove i ostvare dobit tako što će ih prodati na mreži po sniženoj cijeni. Viđali smo i takve primjere da je u nekim tvrtkama zlonamjerni akter krao i po 100 000 USD dnevno.

Da bi se zaštitile od takvih napada i spriječile ovu grupu da dobije neovlašten pristup odjelima za poklon-bonove, tvrtke koje izdaju poklon-bonove trebaju se odnositi prema portalima s poklon-bonovima kao prema metama visokog rizika. Treba ih pažljivo nadgledati i neprekidno nadzirati radi otkrivanja bilo kakve nepravilne aktivnosti.

Svakoj organizaciji koja izrađuje i izdaje poklon-bonove može koristiti primjena provjera i salda za sprečavanje brzog pristupa portalima s poklon-bonovima i drugim potencijalnim značajnim metama, čak i ako je račun već ugrožen. Neprestano nadgledajte evidencije kako biste identificirali sumnjive prijave i druge uobičajene vektore za početni pristup koji se oslanjaju na ugrožavanje identiteta u oblaku i promijenite pravilnike za uvjetni pristup koji ograničavaju prijave i označavaju rizične prijave.

Organizacije trebaju razmotriti i uvođenje pravilnika za uvjetni pristup kao dopune višestrukoj provjeri autentičnosti jer se na taj način zahtjevi za potvrdu identiteta procjenjuju korištenjem dodatnih signala na osnovu identiteta, kao što su, između ostalog, informacije o lokaciji IP adrese ili status uređaja.

Još jedna taktika koja može olakšati suzbijanje napada je postupak programske provjere korisnika za kupovinu domena. Propisi i pravilnici dobavljača možda ne mogu potpuno širom svijeta spriječiti zlonamjerne propuste u tipkanju, što znači da obmanjujuća web-mjesta mogu i dalje biti popularna za skaliranje računalnih napada. Postupci programske provjere za izradu domena mogu olakšati sprječavanje stvaranja većeg broja web-mjesta koji služe isključivo za obmanjivanje žrtava.

Microsoft je uočio da grupa Storm-0539 osim obmanjujućih naziva domena koristi i zakonite interne liste s adresama kako bi širila poruke s krađom identiteta kada stvori uporište u tvrtki i upozna se s popisima distribucije i drugim standardima poslovanja.

Ne radi se samo o tome da krađa identiteta putem važećih popisa distribucije dodaje još jedan sloj zlonamjernom sadržaju, već omogućava i uspješnije ciljanje za slanje sadržaja većem broju osoba s pristupom akreditivima, odnosima i informacijama na koje se Storm-0539 oslanja radi dobivanja postojanosti i dosega.

Kada korisnici kliknu na veze koje se nalaze u e-porukama ili tekstualnim porukama s krađom identiteta, preusmjeravaju se na stranicu s krađom identiteta za AiTM radi krađe akreditiva i snimanje sekundarnog tokena za potvrdu identiteta. Prodavatelje u maloprodaji treba potaknuti da obučavaju osoblje o načinima na koje funkcioniraju prijevare krađe identiteta i krađe identiteta putem SMS-a, kako da ih identificiraju i kako da ih prijavljuju.

Važno je istaknuti da za razliku od bučnih zlonamjernih aktera koji prijete ucjenjivačkim softverom, a koji šifriraju i kradu podatke, a zatim vas prisile da platite, Storm-0539 se neprimjetno kreće po okruženju u oblaku, tiho prikuplja podatke za izviđanje i zloupotrebljava infrastrukturu kako oblaka tako i identiteta radi postizanja krajnjih ciljeva.

Operacije grupe Storm-0539 su učinkovite jer akter koristi zakonite ugrožene adrese e-pošte i lažirane zakonite platforme koje koristi tvrtka na koju je usmjeren napad. Neka tvrtke su u mogućnosti da nadoknade gubitke s poklon-bonovima. To je postupak koji zahtijeva iscrpnu istragu kako bi se utvrdilo koje poklon-bonove je izdao zlonamjerni akter.

Služba Microsoftovo obavještavanje o prijetnjama poslala je obavijesti organizacijama kojima je grupa Storm-0539 nanijela štetu. Djelomično i zbog te razmjene informacija i suradnje, zapazili smo da se tijekom posljednjih nekoliko mjeseci povećala sposobnost velikih trgovaca da se uspješno zaštite od aktivnosti grupe Storm-0539.

Infografika koja prikazuje životni ciklus upada grupe Storm-0539, koji počinje s „krađom identiteta/krađom identiteta putem SMS-a” i nastavlja se „pristupom resursima u oblaku“, „utjecajem (izvlačenjem podataka i krađom poklon-bonova)” i „informacijama za buduće napade“. „Identitet” ostaje po sredini grafike.
Životni ciklus upada grupe Storm-0539.

Preporuke

  • Ponovo postavite lozinke korisnicima koji su povezani s aktivnostima krađe identiteta i AiTM aktivnostima: Da biste opozvali sve aktivne sesije, odmah ponovo postavite lozinke. Opozovite sve promjene koje je u postavkama višestruke provjere autentičnosti izvršio napadač na ugrožene naloge. Zatražite ponovnu provjeru višestruke provjere autentičnosti kako biste ažuriranja za MFA postavili kao zadana. Obavezno provjerite jesu li mobilni uređaji koje zaposlenici koriste za pristup korporativnim mrežama zaštićeni na sličan način.
  • Omogućite Zero-Hour Auto Purge (naknadno automatsko uklanjanje, ZAP) u usluzi Microsoft Defender za Office 365: Automatsko čišćenje u zakazano vrijeme pronalazi i poduzima automatizirane radnje na e-porukama koje se nalaze u sklopu kampanje krađe identiteta na osnovu identičnih elemenata već poznatih neželjenih poruka.
  • Ažurirajte identitete, privilegije za pristup i popise distribucije kako biste smanjili površine napada: Napadači poput grupe Storm-0539 pretpostavljaju da će pronaći korisnike s privilegijama visoke razine pristupa koje mogu ugroziti radi ostvarenja veoma velikog utjecaja. Uloge zaposlenika i timova mogu se učestalo mijenjati. Uspostavljanje redovnog pregleda privilegija, članstva na popisima distribucije i drugih atributa može smanjiti stupanj posljedica početnog upada i otežati posao uljezu.

Saznajte više o grupi Storm-0539 i stručnjacima Microsoftova obavještavanje o prijetnjama koji su posvećeni praćenju računalnog zločina i najnovijih prijetnji.

Metodologija: Snimka stanja i statistički podaci s naslovnice predstavljaju povećanje broja obavijesti i zapažanja naših klijenata o zlonamjernom akteru Storm-0539. Ti brojevi odražavaju povećanje u broju osoblja i resursa utrošenih na praćenje ove grupe. Azure Active Directory pružio je anonimizirane podatke o zlonamjernoj aktivnosti, kao što su zlonamjerni računi e-pošte, poruke e-pošte za krađu identiteta i kretanja napadača unutar mreža. Dodatni uvidi dobiveni su iz 78 triliona dnevnih sigurnosnih signala koje Microsoft obrađuje svakog dana, uključujući oblak, krajnje točke, inteligentno poslovanje, kao i telemetriju s Microsoftovih platformi i usluga, uključujući Microsoft Defender.

Cyber Signals Krađa identiteta Zlonamjerni akteri

Povezani članci

Upoznajte stručnjake koji prate prijevaru s poklon-bonovima grupe Storm-0539

Analitičari u Microsoftovu obavještavanju o prijetnjama, Alison Ali, Waymon Ho i Emiel Haeghebaert, s iskustvom u međunarodnim odnosima, saveznim tijelima za provođenje zakona, sigurnosti i državnoj upravi, nude niz jedinstvenih vještina za praćenje grupe Storm-0539, zlonamjernog aktera specijaliziranog za krađu platnih kartica i prijevare s poklon-bonovima.
Saznajte više

Iskorištavanje ekonomije povjerenja: prijevare društvenim inženjeringom

Istražite razvijajući digitalni krajolik gdje je povjerenje i valuta i ranjivost. Otkrijte taktiku prijevare društvenim inženjeringom koju računalni napadači najviše primjenjuju i pregledajte strategije koje vam mogu pomoći u identifikaciji i nadmudrivanju prijetnji društvenim inženjeringom koje su dizajnirane za manipuliranje ljudskom prirodom.
Saznajte više

Mijenjanje taktike potiče porast ugrožavanja poslovne e-pošte

Ugrožavanje poslovne e-pošte (BEC) u porastu je sada kada računalni zločinci mogu zamračiti izvor svojih napada kako bi bio još opakiji. Saznajte više o CaaS-u i kako pomoći u zaštiti svoje tvrtke ili ustanove.
Saznajte više

Pratite Microsoft Security