Trace Id is missing

Informācija par pieaugošo dāvanu karšu krāpniecības risku

Lejupielādēt
Kopīgot
Klēpjdators, no kura izlido dāvanu kartes un kredītkartes

Kibersignālu 7. izdevums: Lauvas nagos

Laikā, kad digitālie darījumi un iepirkšanās tiešsaistē kļuvuši par neatņemamu mūsu ikdienas sastāvdaļu, palielinās kibernoziegumu draudi. Starp šiem draudiem ir izplatīta un attīstās dāvanu un maksājumu karšu krāpšana, kas ietver gan kredītkaršu uzņēmumu, gan mazumtirgotāju dāvanu kartes. Noziedznieki izmanto arvien atjautīgākas metodes, lai apdraudētu dāvanu karšu portālus, pirms tie tiek pārvērsti gandrīz neizsekojamā naudā.

Šajā “Kibersignāli” izdevumā aplūkota kibernozieguma draudu izpildītāja, Microsoft dēvētā Storm-0539, zināms arī kā Atlas Lion, taktika, metodes un procedūras, kā arī darbības dāvanu karšu zādzību jomā, tā metožu sarežģītība un ietekme uz privātpersonām, uzņēmumiem un kiberdrošības vidi.

Storm-0539 gadiem ilgi ir saglabājis savu popularitāti, pielāgojoties mūždien mainīgajai noziedzības videi. Izmantojot šifrētu kanālu un pagrīdes forumu labirintu, viņi veic nelikumīgus darījumus, izmantojot tehnoloģiskās nepilnības un izdomātas sociālās inženierijas kampaņas, lai paplašinātu savu darbību.

Lai gan daudzi kibernoziegumu draudu izpildītāji izvēlas vismazākās pretestības ceļu, lai gūtu ātru peļņu un koncentrētos uz mērogu, grupējums Storm-0539 klusi un veiksmīgi koncentrējas uz dāvanu karšu sistēmu un darījumu apdraudēšanu. Šis pretinieks nemitīgi vēršas pret dāvanu karšu izdevējiem, pielāgojot metodes, lai sekotu līdzi izmaiņām mazumtirdzniecības, maksājumu un citās saistītās jomās.

Mēs visi esam aizstāvji.

Vēsturiski Storm-0539 palielina uzbrukumu aktivitāti pirms lieliem svētku periodiem. Laikā no 2024. gada marta līdz maijam, pirms vasaras atvaļinājumu sezonas, Microsoft konstatēja par 30% lielāku ielaušanās aktivitāti no Storm-0539. No 2023. gada septembra līdz decembrim, mēs konstatējām par 60% lielāku uzbrukumu aktivitātes pieaugumu, kas sakrita ar rudens un ziemas brīvdienām.

  • 30% pieaugums Storm-0539 ielaušanās aktivitātē no 2024. marta līdz maijam
  • 60% pieaugums Storm-0539 ielaušanās aktivitātē no 2023. septembra līdz decembrim

Uzbrucēji uzlabo dāvanu un maksājumu karšu zādzības

Storm-0539 darbojas no Marokas un ir iesaistīts finanšu noziegumos, kā dāvanu karšu krāpniecība. To metodes iekļauj pikšķerēšanu, smikšķerēšanu, savu ierīču reģistrēšanu upuru vidēs, lai iegūtu pastāvīgu piekļuvi, un piekļuves izmantošanu, lai uzbruktu trešo pušu organizācijām. Tie reģistrē ierīces tā, lai daudzfaktoru autentifikācijas (MFA) pieprasījumi, kas attiecas uz apdraudētu upura kontu, tiktu nosūtīti uz uzbrucēja ierīci. Ierīces reģistrēšana ļauj tiem pilnībā apdraudēt identitāti un saglabāties mākoņvidē. 

Šis kibernoziedzības grupējums, kas aktīvi darbojas kopš 2021. gada beigām, ir attīstījies, un tā mērķis ir uzbrukt maksājumu karšu kontiem un sistēmām. Agrāk uzbrucēji maksājumu karšu datus parasti apdraudēja, izmantojot pārdošanas punktu (POS) ļaunprogrammatūru. Tomēr, nozarēm nostiprinot POS aizsardzību, grupējums Storm-0539 pielāgoja uzbrukumu metodes, lai apdraudētu mākoņu un identitātes pakalpojumus, noziedzīgi uzbrūkot dāvanu karšu portāliem, kas saistīti ar lieliem mazumtirgotājiem, luksusa zīmoliem un labi zināmiem ātrās ēdināšanas restorāniem.

Tradicionāli maksājumu un dāvanu karšu krāpniecība ir saistīta ar ļaunprogrammatūru un pikšķerēšanas kampaņām. Tomēr šis grupējums izmanto savas padziļinātās zināšanas par mākoni, lai veiktu izlūkošanu par organizācijas dāvanu karšu izdošanas procesiem, dāvanu karšu portāliem un darbiniekiem, kuriem ir piekļuve dāvanu kartēm.

Parasti uzbrukuma ķēde ietver šādas darbības:
  • Izmantojot darbinieku katalogus un grafikus, kontaktpersonu sarakstus un e-pasta iesūtnes, Strom-0539 mērķē uz darbinieku personiskajiem un darba mobilajiem tālruņiem, sūtot smikšķerēšanas ziņojumus. 
  • Kad mērķa organizācijas darbinieka konts iefiltrēts, uzbrucēji tīklā pārvietojas laterāli, cenšoties identificēt dāvanu karšu uzņēmuma procesu, un virzoties uz apdraudētajiem kontiem, kas saistīti ar šo konkrēto portfeli. 
  • Viņi arī apkopo informāciju par virtuālajām mašīnām, VPN savienojumiem, SharePoint un OneDrive resursiem, kā arī Salesforce, Citrix un citām attālām vidēm. 
  • Pēc piekļuves ieguves grupējums izveido jaunas dāvanu kartes, izmantojot apdraudēto darbinieku kontus. 
  • Pēc tam viņi izmanto šo karšu vērtību, pārdod dāvanu kartes citiem draudu izpildītājiem melnajos tirgos vai izmanto starpniekus, lai no dāvanu kartēm izņemtu naudu.
Attēlā redzami divi tālruņi ar Storm-0539 smikšķerēšanas ziņojumiem, kas uzdodas par mērķa darbinieka uzņēmuma palīdzības dienestu.
Storm-0539 smikšķerēšanas ziņojumi, kas uzdodas par mērķa darbinieka uzņēmuma palīdzības dienestu.

Storm-0539 izlūkošana un spēja izmantot mākoņu vidi ir līdzīga tam, ko Microsoft novēro no valsts sponsorētiem draudu izpildītājiem, tādējādi parādot, kā metodes, ko popularizējuši spiegošanas un ģeopolitiski orientēti pretinieki, tagad ietekmē finansiāli motivētus noziedzniekus.

Piemēram, grupējums Storm-0539 izmanto savas zināšanas par mākonī izvietotu programmatūru, identitātes sistēmām un piekļuves privilēģijām, lai noteiktu, kur dāvanu kartes tiek izveidotas, nevis koncentrētos tikai uz lietotāju. Šāda aktivitāte ir vērojama starp tādām nevalstiskajiem grupējumiem kā Octo Tempest un Storm-0539, kas taktiski labi pārzina mākoņu resursus, līdzīgi kā progresīvi valsts sponsorēti izpildītāji.

Lai maskētos un paliktu nepamanīti, Storm-0539 mākoņpakalpojumu sniedzējiem uzdodas par likumīgām organizācijām, tādējādi iegūstot pagaidu programmu, krātuvi un citus sākotnēji bezmaksas resursus savām uzbrukuma aktivitātēm.

Šo centienu ietvaros, viņi izveido tīmekļa vietnes, kas uzdodas par labdarības organizācijām, dzīvnieku patversmēm un citām bezpeļņas organizācijām Amerikas Savienotajās Valstīs, parasti izmantojot vietrāžu URL viltošanu – maldinošu praksi, kad personas reģistrē organizācijas domēnu ar parastu pareizrakstības kļūdu kā savu, lai maldinātu lietotājus apmeklēt krāpnieciskas vietnes un ievadīt savus personas datus vai profesionālos akreditācijas datus.

Lai vēl vairāk paplašinātu krāpšanas rīkkopu, Microsoft ir novērojis, ka Storm-0539 no bezpeļņas organizāciju publiskajām vietnēm lejupielādē likumīgas Ieņēmumu dienesta (IRS) izdotas 501(c)(3) vēstuļu kopijas. Bruņojušies ar likumīgas 501(c)(3) vēstules kopiju un atbilstošu domēnu, kas uzdodas par bezpeļņas organizāciju, kurai vēstule tika izdota, viņi vēršas pie lielākajiem mākoņpakalpojumu sniedzējiem, lai saņemtu sponsorētus tehnoloģiju pakalpojumus vai pakalpojumus ar atlaidēm, kas bieži tiek piešķirti bezpeļņas organizācijām.

Infografika, kurā parādīts, kā darbojas Storm-0539.
Storm-0539 darbojas, izmantojot bezmaksas izmēģinājumus, maksas abonementus un kompromitētus mākoņa resursus. Mēs arī novērojām, ka Storm-0539 uzdodas par leģitīmām bezpeļņas organizācijām, lai iegūtu bezpeļņas sponsorēšanu no vairākiem mākoņpakalpojumu sniedzējiem.

Grupējums mākoņpakalpojumu platformās izveido arī bezmaksas izmēģinājumversijas vai studentu kontus, kas jauniem klientiem parasti nodrošina 30 dienu piekļuvi. Šajos kontos izveido virtuālas mašīnas, no kurām palaiž mērķtiecīgas operācijas. Storm-0539 prasme apdraudēt un izveidot mākonī izvietotu uzbrukumu infrastruktūru ļauj viņiem izvairīties no kibernoziegumu ekonomikā ierastajām sākotnējām izmaksām, piemēram, maksājumiem par viesotājiem un serveriem, jo viņi cenšas samazināt izmaksas un maksimizēt efektivitāti.

Microsoft uzskata, ka Storm-0539 veic plašu izlūkošanu federatīvo identitātes pakalpojumu sniedzējos mērķa uzņēmumos, lai pārliecinoši imitētu lietotāja pierakstīšanās pieredzi, tostarp ne tikai pretinieka vidus uzbrukuma (AiTM) lapas izskatu, bet arī izmantotu reģistrētus domēnus, kas ļoti atbilst likumīgiem pakalpojumiem. Citos gadījumos Storm-0539 ir apdraudējis likumīgus un nesen reģistrētus WordPress domēnus, lai izveidotu AiTM reklāmas mērķlapu.

Ieteikumi

  • Marķieru aizsardzība un piekļuve ar vismazākajām privilēģijām: Izmantojiet politikas, lai aizsargātu pret marķiera atdarināšanas uzbrukumiem, piesaistot marķieri likumīgai lietotāja ierīcei. Lietojiet vismazākās privilēģijas piekļuves principus savā tehnoloģiju kopā, lai samazinātu potenciālo uzbrukuma ietekmi.
  • Izmantojiet drošu dāvanu karšu platformu un ieviesiet risinājumus aizsardzībā pret krāpniecību: Apsveriet iespēju pāriet uz sistēmu, kas paredzēta maksājumu autentificēšanai. Arī tirgotāji var integrēt aizsardzības pret krāpniecību funkcijas, lai mazinātu zaudējumus.
  • Pret pikšķerēšanu izturīga MFA: Pāreja uz pret pikšķerēšanu izturīgiem akreditācijas datiem, kas ir imūni pret dažādiem uzbrukumiem, piemēram, FIDO2 drošības atslēgām.
  • Pieprasiet drošu paroles maiņu, kad lietotāja riska līmenis ir augsts: Microsoft Entra MFA ir nepieciešama pirms lietotājs var izveidot jaunu paroli ar paroles pārrakstīšanu, lai novērstu risku.
  • Darbinieku izglītošana: Tirgotājiem jāapmāca darbinieki atpazīt potenciālos dāvanu karšu krāpniecības gadījumus un noraidīt aizdomīgus pasūtījumus.

Vētras pārvarēšana: Aizsardzība pret storm-0539

Dāvanu kartes ir pievilcīgs krāpniecības mērķis, jo atšķirībā no kredītkartēm vai debetkartēm tām nav piesaistīti klientu vārdi vai bankas konti. Microsoft novērojis, ka sezonālo brīvdienu laikā palielinās uz šo nozari vērstā grupējuma Storm-0539 aktivitāte. Piemiņas diena, Darba svētki un Pateicības diena Amerikas Savienotajās Valstīs, kā arī Melnā piektdiena un ziemas brīvdienas visā pasaulē parasti ir saistītas ar šī grupējuma pastiprinātu aktivitāti.

Parasti organizācijas nosaka naudas vērtības ierobežojumu, ko var piešķirt vienai dāvanu kartei. Piemēram, ja šis ierobežojums ir 100 000 USD, draudu izpildītājs izdos karti 99 000 USD vērtībā,pēc tam nosūtīs sev dāvanu kartes kodu un iekasēs no tās peļņu. Viņu galvenā motivācija ir zagt dāvanu kartes un gūt peļņu, pārdodot tās tiešsaistē ar atlaidi. Esam redzējuši piemērus, kad draudu izpildītājs dažos uzņēmumos ir nozadzis līdz pat 100 000 USD dienā.

Lai aizsargātos pret šādiem uzbrukumiem un neļautu šim grupējumam saņemt nesankcionētu piekļuvi dāvanu karšu nodaļām, uzņēmumiem, kas izdod dāvanu kartes, pret saviem dāvanu karšu portāliem jāizturas kā pret ļoti vērtīgiem mērķiem. Tos ir rūpīgi jāuzrauga un nepārtraukti jāauditē, lai konstatētu jebkādas anormālas aktivitātes.

Jebkurai organizācijai, kas veido vai izdod dāvanu kartes, var noderēt pārbaužu un līdzsvara ieviešana, lai novērstu ātro piekļuvi dāvanu karšu portāliem un citiem ļoti vērtīgiem mērķiem, pat ja konts ir apdraudēts. Nepārtraukti pārraugiet žurnālus, lai identificētu aizdomīgu pieteikšanos un citus izplatītus sākotnējās piekļuves vektorus, kas balstās uz mākoņa identitātes apdraudējumiem un ievietojiet nosacītās piekļuves politikas, kas ierobežo pierakstīšanos un atzīmē riskantus pierakstīšanās gadījumus.

Organizācijām arī jāapsver iespēja papildināt MFA ar nosacītās piekļuves politikām, kurās autentifikācijas pieprasījumi tiek izvērtēti, izmantojot papildu uz identitāti balstītus signālus, piemēram, informāciju par IP adreses atrašanās vietu vai ierīces statusu.

Vēl viena taktika, kas varētu palīdzēt ierobežot šos uzbrukumus, ir klientu verifikācijas process domēnu iegādei. Noteikumi un piegādātāju politikas var konsekventi nenovērst ļaunprātīgu vietrāžu URL viltošanu visā pasaulē, kas nozīmē, ka šīs maldinošās vietnes var saglabāt popularitāti kiberuzbrukumu mērogošanā. Domēnu izveides verifikācijas procesi varētu palīdzēt ierobežot vairāk vietņu, kas izveidotas tikai ar mērķi maldināt upurus.

Papildus maldinošiem domēnu nosaukumiem Microsoft ir novērojis, ka Storm-0539 izmanto likumīgus iekšējo uzņēmumu pasta sarakstus, lai izplatītu pikšķerēšanas ziņojumus, tiklīdz viņi ir nostiprinājušies uzņēmumā un pārzina tā izplatīšanas sarakstus un citas uzņēmējdarbības normas.

Pikšķerēšana, izmantojot derīgu izplatīšanas sarakstu, ne tikai piešķir ļaunprātīgam saturam vēl vienu autentiskuma līmeni, bet arī palīdz pilnveidot satura mērķauditoriju, aptverot vairāku personu, kam ir piekļuve akreditācijas datiem, attiecībām un informācijai, uz kuru paļaujas Storm-0539, lai iegūtu noturību un ietekmi.

Kad lietotāji noklikšķina uz pikšķerēšanas e-pasta ziņojumos vai īsziņās esošajām saitēm, viņi tiek novirzīti uz AiTM pikšķerēšanas lapu akreditācijas datu zādzībai un sekundārā autentifikācijas žetons iegūšanai. Mazumtirgotāji ir aicināti mācīt darbiniekiem, kā darbojas smikšķerēšanas/pikšķerēšanas krāpniecība, kā to atpazīt un kā par to ziņot.

Svarīgi uzsvērt, ka atšķirībā no agresīvajiem izspiedējprogrammatūru draudu izpildītājiem, kuri šifrē un zog datus un pēc tam pieprasa jūs maksāt, Storm-0539 klusi darbojas mākoņa vidē, veicot izlūkošanu un ļaunprātīgi izmantojot mākoņa un identitātes infrastruktūru, lai sasniegtu savus mērķus.

Storm-0539 operācijas ir pārliecinošas, jo izpildītājs izmanto likumīgus apdraudētus e-pastus un imitē likumīgas platformas, ko izmanto apdraudētais uzņēmums. Dažiem uzņēmumiem dāvanu karšu zaudējumi ir atgūstami. Tādēļ ir jāveic rūpīga izmeklēšana, lai noteiktu, kuras dāvanu kartes izsniedzis draudu izpildītājs.

Microsoft draudu informācija ir izdevusi paziņojumus organizācijām, kuras skāris grupējums Storm-0539. Daļēji pateicoties šai informācijas apmaiņai un sadarbībai, pēdējos mēnešos esam novērojuši, ka palielinās lielāko mazumtirgotāju spēja efektīvi novērst Storm-0539 aktivitātes.

Infografika, kurā parādīts Storm-0539 ielaušanās dzīves cikls, sākot ar “Pikšķerēšanu/smikšķerēšanu”, kam seko “Piekļuve mākoņa resursiem”, “Ietekme (datu izfiltrēšana un dāvanu karšu zādzība)” un “Informācija turpmākajiem uzbrukumiem”. “Identitāte” paliek grafikas centrā.
Storm-0539 ielaušanās dzīves cikls.

Ieteikumi

  • Atiestatiet paroles lietotājiem, kas saistīti ar pikšķerēšanas un AiTM aktivitātēm: Lai atsauktu visas aktīvās sesijas, nekavējoties atiestatiet paroles. Atsauciet visas uzbrucēja veiktās MFA iestatījumu izmaiņas apdraudētajos kontos. Kā noklusējuma iestatījumu pieprasiet atkārtotu MFA pieprasījumu MFA atjauninājumiem. Nodrošiniet arī to, ka mobilās ierīces, ko darbinieki izmanto, lai piekļūtu uzņēmuma tīkliem, arī būtu aizsargātas.
  • Ieslēdziet automātisko iztīrīšanu pēc izpildes (ZAP) programmā Microsoft Defender pakalpojumam Office 365: ZAP atrod un veic automātiskas darbības attiecībā uz e-pasta ziņojumiem, kas ir daļa no pikšķerēšanas kampaņas, pamatojoties uz identiskiem zināmu slikto ziņojumu elementiem.
  • Atjauniniet identitātes, piekļuves privilēģijas un sadales sarakstus, lai samazinātu uzbrukuma iespējas: Uzbrucēji kā Storm-0539 pieņem, ka viņi atradīs lietotājus ar pārmērīgām piekļuves privilēģijām, kurus viņi var apdraudēt, lai panāktu lielāku ietekmi. Darbinieki un komandas lomas var bieži mainīties. Regulāra privilēģiju, adresātu saraksta abonementu un citu atribūtu pārskatīšana var palīdzēt ierobežot sākotnējās ielaušanās sekas un apgrūtināt iebrucēju darbu.

Papildinformācija par Storm-0539 un Microsoft draudu informācijas ekspertiem , kas nodarbojas ar kibernoziegumu un jaunāko draudu izsekošanu.

Metodoloģija: Snapshot un Cover stat dati atspoguļo mūsu klientu paziņojumu un novērojumu par draudu izpildītāju Storm-0539. Šie skaitļi atspoguļo to, ka ir palielinājies darbinieku skaits un resursi, kas tiek tērēti šī grupējuma uzraudzībai. Azure Active Directory sniedza anonīmus datus par draudu darbībām, piemēram, ļaunprātīgiem e-pasta kontiem, pikšķerēšanas e-pasta ziņojumiem un uzbrucēju pārvietošanos tīklos. Papildu ieskati iegūti no 78 triljoniem drošības signālu, ko Microsoft katru dienu apstrādā, tostarp no mākoņa, galapunktiem, intelektiskās malas un telemetrijas no Microsoft platformām un pakalpojumiem kā Microsoft Defender.

Kibersignāli Pikšķerēšana Draudu izpildītāji

Saistītie raksti

Iepazīstieties ar ekspertiem, kuri strādā ar grupējuma Storm-0539 dāvanu karšu krāpniecību

Ar pieredzi starptautisko attiecību, federālās tiesībaizsardzības, drošības un valsts pārvaldes jomā Microsoft draudu informācijas analītiķi Alisona Alī (Alison Ali), Veimons Ho (Waymon Ho) un Īmiels Hegebaerts (Emiel Haeghebaert) piedāvā virkni unikālu prasmju, lai izsekotu grupējumu Storm-0539 — draudu izpildītāju, kas specializējas maksājumu karšu zādzībā un dāvanu karšu krāpniecībā.
Papildinformācija

Sociālās inženierijas krāpniecība, kas balstās uz uzticamu ekonomiku

Izpētiet mainīgo digitālo vidi, kur uzticēšanās ir gan “valūta”, gan ievainojamība. Atklājiet sociālās inženierijas krāpniecības taktiku, kuru kiberuzbrucēji izmanto visbiežāk, un pārskatiet stratēģijas, kas var jums palīdzēt identificēt un pārspēt sociālās inženierijas apdraudējumus, kas radīti, lai manipulētu ar cilvēka dabu.
Papildinformācija

Taktikas maiņa palielina biznesa e-pasta apdraudējumu apmēru

Tagad, kad kibernoziedznieki var slēpt savu uzbrukumu avotu, lai tie būtu vēl ļaunprātīgāki, pieaug biznesa e-pasta apdraudējumi (BEC). Papildinformācija par kibernoziegumiem kā pakalpojumu (CaaS) un to, kā aizsargāt jūsu organizāciju.
Papildinformācija

Sekot Microsoft drošībai