Trace Id is missing

Informácie o rastúcom riziku podvodov s darčekovými poukazmi

Stiahnuť
Zdieľať
Notebook, z ktorého odletujú darčekové poukazy a kreditné karty

Cyber Signals, 7. vydanie: Do jamy levovej

V dobe, keď sa digitálne transakcie a online nakupovanie stali neoddeliteľnou súčasťou nášho každodenného života, hrozí nebezpečenstvo počítačovej kriminality. Medzi týmito hrozbami sú rozšírené a vyvíjajúce sa podvody s darčekovými poukazmi a platobnými kartami, ktoré zahŕňajú darčekové poukazy od spoločností vydávajúcich kreditné karty aj od maloobchodníkov. Zločinci používajú čoraz sofistikovanejšie metódy na zneužívanie portálov darčekových poukazov pred ich premenou na takmer nevystopovateľnú hotovosť.

Toto vydanie bulletinu Cyber Signals sa zaoberá taktikou, technikami a postupmi aktéra počítačovej kriminality, ktorého spoločnosť Microsoft nazýva Storm-0539 a ktorý je známy aj ako Atlas Lion, a jeho aktivitami v oblasti krádeží darčekových poukazov, zložitosťou jeho metód a dôsledkami pre jednotlivcov, podniky a oblasť kybernetickej bezpečnosti.

Skupina Storm-0539 si v priebehu rokov zachováva relevantnosť a prispôsobuje sa neustále sa meniacemu kriminálnemu prostrediu. Prostredníctvom labyrintovej siete šifrovaných kanálov a podzemných fór organizujú nezákonné podniky, pričom využívajú technologické medzery a na rozšírenie svojich operácií používajú šikovné kampane sociálneho inžinierstva.

Hoci mnohí aktéri kybernetickej kriminality idú cestou najmenšieho odporu k rýchlym ziskom a zameriavajú sa na rozsah, skupina Storm-0539 sa pokojne a produktívne zameriava na zneužívanie systémov darčekových poukazov a transakcií. Tento protivník sa neúnavne zameriava na vydavateľov darčekových poukazov a prispôsobuje svoje techniky tak, aby držali krok so zmenami v maloobchode, platobnom styku a ďalších súvisiacich odvetviach.

Všetci sme obrancovia.

Skupina Storm-0539 dlhodobo zvyšuje svoju útočnú aktivitu pred najväčšími sviatkami a dovolenkovými sezónami. V období od marca do mája 2024, teda pred letnou dovolenkovou sezónou, zaznamenala spoločnosť Microsoft 30 % nárast aktivity narušenia zo strany skupiny Storm-0539. V období od septembra do decembra 2023 sme pozorovali 60 % nárast útočnej aktivity, čo sa zhoduje s obdobím jesenných a zimných sviatkov.

  • 30-percentný nárast aktivít narušenia skupiny Storm-0539 v období od marca do mája 2024
  • 60-percentný nárast aktivít narušenia skupiny Storm-0539 v období od septembra do decembra 2023

Útočníci zdokonaľujú lúpeže darčekových poukazov a platobných kariet

Skupina Storm-0539 pôsobí v Maroku a je zapojená do finančných trestných činov, ako sú podvody s darčekovými poukazmi. Medzi jej techniky patria phishing, smishing, registrácia vlastných zariadení do prostredí obetí s cieľom získať trvalý prístup a využívanie prístupu k cieľovým organizáciám tretích strán. Registruje zariadenia tak, aby výzvy na viacfaktorovú autentifikáciu (MFA) spojené so zneužitým kontom obete prešli na zariadenie útočníka. Registrácia zariadenia jej umožňuje úplne zneužívať identitu a pretrvávať v cloudovom prostredí. 

Táto kyberzločinecká skupina, ktorá je aktívna od konca roka 2021, predstavuje vývoj aktérov hrozieb zameraných na útoky na kontá a systémy platobných kariet. Útočníci v minulosti bežne zneužívali údaje o platobných kartách pomocou škodlivého softvéru v platobných termináloch (POS). Keďže však priemyselné odvetvia posilnili obranu platobných systémov, skupina Storm-0539 prispôsobila svoje útočné techniky na zneužívanie cloudových a identifikačných služieb a zamerala sa na portály darčekových poukazov prepojené s veľkými maloobchodnými predajcami, luxusnými značkami a známymi reštauráciami rýchleho občerstvenia.

V minulosti sa podvody s platobnými kartami a darčekovými poukazmi spájali so sofistikovanými malvérovými a phishingovými kampaňami. Táto skupina však využíva svoje hlboké znalosti cloudu na prieskum procesov vydávania darčekových poukazov, portálov darčekových poukazov a zamestnancov s prístupom k darčekovým poukazom.

Reťazec útoku zvyčajne zahŕňa tieto činnosti:
  • Pomocou adresárov a rozvrhov zamestnancov, zoznamov kontaktov a e-mailových schránok sa skupina Storm-0539 zameriava na osobné a pracovné mobilné telefóny zamestnancov pomocou smishingových správ. 
  • Po infiltrácii zamestnaneckého konta v cieľovej organizácii sa útočníci pohybujú laterálne po sieti a snažia sa identifikovať obchodný proces darčekových poukazov, pričom sa zameriavajú na zneužité kontá spojené s týmto konkrétnym portfóliom. 
  • Zhromažďujú tiež informácie o virtuálnych počítačoch, pripojeniach VPN, zdrojoch na SharePointe a vo OneDrive, ako aj o prostrediach Salesforce, Citrix a ďalších vzdialených prostrediach. 
  • Po získaní prístupu skupina vytvorí nové darčekové poukazy pomocou zneužitých kont zamestnancov. 
  • Potom si uplatnia hodnotu spojenú s týmito poukazmi, predajú darčekové poukazy iným aktérom hrozieb na čiernom trhu alebo použijú „biele kone“ na vyplatenie darčekových poukazov.
Smishingové správy skupiny Storm-0539 vydávajúce sa za firemný help desk cieľového zamestnanca.
Smishingové správy skupiny Storm-0539 vydávajúce sa za firemný help desk cieľového zamestnanca.

Prieskum a schopnosť skupiny Storm-0539 využívať cloudové prostredia sa podobajú tomu, čo spoločnosť Microsoft pozoruje u aktérov hrozieb sponzorovaných štátmi, čo ukazuje, ako techniky spopularizované špionážou a geopoliticky zameranými protivníkmi teraz ovplyvňujú finančne motivovaných zločincov.

Skupina Storm-0539 napríklad využíva svoje znalosti cloudového softvéru, systémov identít a prístupových oprávnení na to, aby sa zamerala na miesta, kde sa darčekové poukazy vytvárajú, namiesto toho, aby sa sústredila len na koncového používateľa. Túto aktivitu pozorujeme medzi neštátnymi skupinami, ako sú Octo Tempest a Storm-0539, ktoré sa takticky dobre orientujú v cloudových zdrojoch podobne ako pokročilí štátom sponzorovaní aktéri.

Aby sa skupina Storm-0539 maskovala a zostala neodhalená, prezentuje sa poskytovateľom cloudových služieb ako legitímna organizácia s cieľom získať dočasné aplikácie, úložiská a iné počiatočné bezplatné zdroje pre svoju útočnú činnosť.

V rámci tohto úsilia vytvára webové stránky, ktoré sa vydávajú za charitatívne organizácie, útulky pre zvieratá a iné neziskové organizácie v Spojených štátoch, zvyčajne pomocou typosquattingu, čo je podvodná praktika, pri ktorej si jednotlivci registrujú bežne nesprávne napísanú doménu organizácie ako svoju vlastnú, aby používateľov oklamali a prinútili ich navštíviť podvodné stránky a zadať osobné údaje alebo pracovné prihlasovacie údaje.

Spoločnosť Microsoft pozorovala skupinu Storm-0539 pri jej snahe ďalej rozšíriť svoj súbor nástrojov na podvody, ako sťahuje z verejných webových stránok neziskových organizácií legitímne kópie listov 501(c)(3) vydaných daňovým odborom Ministerstva financií USA (IRS). Vyzbrojená kópiou legitímneho listu 501(c)(3) a zodpovedajúcou doménou vydávajúcou sa za neziskovú organizáciu, pre ktorú bol list vydaný, skupina oslovuje hlavných poskytovateľov cloudových služieb s cieľom získať sponzorované alebo zľavnené technologické služby, ktoré sa často poskytujú neziskovým organizáciám.

Informačná grafika zobrazujúca fungovanie skupiny Storm-0539.
Skupina Storm-0539 funguje v oblasti bezplatných skúšobných verzií, platených predplatných a zneužitých cloudových zdrojov. Zaznamenali sme tiež, že skupina Storm-0539 sa vydávala za legitímne neziskové organizácie s cieľom získať sponzorstvo neziskových organizácií od viacerých poskytovateľov cloudových služieb.

Skupina tiež vytvára bezplatné skúšobné alebo študentské účty na platformách cloudových služieb, ktoré novým zákazníkom zvyčajne poskytujú prístup na 30 dní. V rámci týchto kont vytvárajú virtuálne počítače, z ktorých spúšťajú svoje cielené operácie. Šikovnosť skupiny Storm-0539 pri zneužívaní a vytváraní útočnej infraštruktúry založenej na cloude jej umožňuje vyhnúť sa bežným počiatočným nákladom v ekonomike počítačovej kriminality, ako je platba za hostiteľov a servery, keďže sa snažia minimalizovať náklady a maximalizovať efektivitu.

Spoločnosť Microsoft usudzuje, že skupina Storm-0539 vykonáva rozsiahly prieskum poskytovateľov služieb federatívnej identity v cieľových spoločnostiach s cieľom presvedčivo napodobniť prihlasovanie používateľov, vrátane nielen vzhľadu stránky pre útok typu adversary-in-the-middle (AiTM), ale aj používania registrovaných domén, ktoré sa veľmi podobajú legitímnym službám. V iných prípadoch skupina Storm-0539 napadla legitímne nedávno zaregistrované domény WordPress, aby vytvorila vstupnú stránku pre útok AiTM.

Odporúčania

  • Tokenová ochrana a prístup s najmenšími oprávneniami: Používajte politiky na ochranu pred útokmi na opakovanie tokenu naviazaním tokenu na zariadenie legitímneho používateľa. Uplatňujte zásady prístupu s najmenšími oprávneniami v celom technologickom zoskupení s cieľom minimalizovať potenciálny vplyv útoku.
  • Používanie zabezpečenej platformy darčekových poukazov a zavedenie riešení na ochranu pred podvodmi: Zvážte prechod na systém navrhnutý na overovanie platieb. Obchodníci môžu tiež integrovať funkcie ochrany pred podvodmi s cieľom minimalizovať straty.
  • MFA odolná voči phishingu: Prechod na prihlasovacie údaje odolné voči phishingu, ktoré sú odolné voči rôznym útokom, ako napríklad bezpečnostné kľúče FIDO2.
  • Vyžadujte bezpečnú zmenu hesla, keď je úroveň rizika používateľa vysoká: Pred vytvorením nového hesla so spätným zápisom hesla sa vyžaduje Microsoft Entra MFA, aby používateľ mohol napraviť svoje riziko.
  • Vzdelávajte zamestnancov: Obchodníci by mali vyškoliť zamestnancov, aby rozpoznávali potenciálne podvody s darčekovými poukazmi a odmietli podozrivé objednávky.

Prežitie búrky: Obrana proti skupine Storm-0539

Darčekové poukazy sú atraktívnym cieľom podvodov, pretože na rozdiel od kreditných alebo debetných kariet k nim nie sú pripojené mená zákazníkov ani bankové účty. Spoločnosť Microsoft zaznamenáva nárast aktivity zo strany skupiny Storm-0539 zameranej na toto odvetvie v období sezónnych sviatkov. Sviatky Memorial Day, Labor Day a Deň vďakyvzdania v USA, ako aj Čierny piatok a zimné sviatky na celom svete bývajú spojené so zvýšenou aktivitou tejto skupiny.

Organizácie zvyčajne stanovujú limit peňažnej hodnoty, ktorá môže byť vydaná na jednotlivý darčekový poukaz. Ak je tento limit napríklad 100 000 USD, aktér hrozby vydá poukaz na 99 000 USD, potom si pošle kód darčekového poukazu a speňaží ho. Jeho hlavnou motiváciou je kradnúť darčekové poukazy a profitovať z ich predaja online za zvýhodnenú cenu. Videli sme niekoľko príkladov, keď aktér hrozby ukradol v niektorých spoločnostiach až 100 000 USD denne.

Aby sa spoločnosti vydávajúce darčekové poukazy bránili proti takýmto útokom a zabránili tejto skupine získať neoprávnený prístup do oddelení darčekových poukazov, mali by svoje portály pre darčekové poukazy považovať za vysokohodnotné ciele. Mali by ich pozorne sledovať a priebežne kontrolovať, či sa v nich nevyskytujú anomálie.

Každej organizácii, ktorá vytvára alebo vydáva darčekové poukazy, môže pomôcť zavedenie kontrolných mechanizmov, ktoré zabránia rýchlemu prístupu k portálom s darčekovými poukazmi a iným vysokohodnotným cieľom, a to aj v prípade zneužitia konta. Priebežne monitorujte denníky s cieľom identifikovať podozrivé prihlásenia a iné bežné vektory počiatočného prístupu, ktoré sa spoliehajú na zneužitie cloudovej identity, a implementujte politiky podmieneného prístupu, ktoré obmedzujú prihlásenia a označujú rizikové prihlásenia.

Organizácie by mali zvážiť aj doplnenie MFA o politiky podmieneného prístupu, pri ktorých sa žiadosti o overenie vyhodnocujú okrem iného na základe ďalších signálov založených na identite, ako sú informácie o polohe IP adresy alebo stave zariadenia.

Ďalšou taktikou, ktorá by mohla pomôcť obmedziť tieto útoky, je proces overovania zákazníkov pri nákupe domén. Predpisy a zásady predajcov nemusia dôsledne zabrániť škodlivému typosquattingu na celom svete, čo znamená, že tieto podvodné webové stránky môžu zostať populárne na účely rozširovania kybernetických útokov. Procesy overovania pri vytváraní domén by mohli pomôcť obmedziť väčší počet stránok vytvorených výlučne na účely oklamania obetí.

Okrem zavádzajúcich názvov domén spoločnosť Microsoft zaznamenala aj prípady, keď skupina Storm-0539 využíva legitímne interné poštové zoznamy spoločnosti na šírenie podvodných správ, keď sa v spoločnosti uchytí a pochopí jej distribučné zoznamy a iné obchodné normy.

Phishing prostredníctvom platného distribučného zoznamu nielen pridáva škodlivému obsahu ďalšiu vrstvu autenticity, ale pomáha tiež zdokonaliť zacielenie obsahu na viac osôb s prístupom k prihlasovacím údajom, vzťahom a informáciám, na ktoré sa Storm-0539 spolieha pri získavaní trvalosti a dosahu.

Keď používatelia kliknú na prepojenia obsiahnuté vo phishingových e-mailoch alebo textoch, sú presmerovaní na phishingovú stránku AiTM s cieľom odcudziť prihlasovacie údaje a získať sekundárny overovací token. Maloobchodníkom odporúčame, aby poučili zamestnancov o tom, ako fungujú podvody typu smishing/phishing, ako ich rozpoznať a ako ich nahlásiť.

Je dôležité zdôrazniť, že na rozdiel od hlučných aktérov hrozby využívajúcich ransomware, ktorí šifrujú a kradnú údaje a potom vás obťažujú, aby ste zaplatili, skupina Storm-0539 sa pohybuje v prostredí cloudu a potichu zhromažďuje prieskum a zneužíva infraštruktúru cloudu a identity na dosiahnutie svojich konečných cieľov.

Operácie skupiny Storm-0539 sú presvedčivé vďaka tomu, že tento aktér používa legitímne zneužité e-maily a napodobňuje legitímne platformy používané zacielenou spoločnosťou. V prípade niektorých spoločností sa straty z darčekových poukazov dajú získať späť. To si vyžaduje dôkladné vyšetrovanie, aby sa zistilo, ktoré darčekové poukazy aktér hrozby vydal.

Centrum Microsoft Analýza hrozieb vydalo oznámenia pre organizácie zasiahnuté skupinou Storm-0539. Čiastočne vďaka tejto výmene informácií a spolupráci sme v posledných mesiacoch zaznamenali zvýšenie schopnosti veľkých maloobchodných predajcov účinne odvrátiť aktivity skupiny Storm-0539.

Infografika zobrazujúca životný cyklus napadnutia skupiny Storm-0539, ktorý sa začína bodom „Phishing/smishing“, nasledujú „Prístup ku cloudovým zdrojom“, Vplyv (exfiltrácia údajov a krádež darčekových poukazov)" a „Informácie pre budúce útoky“. V centre grafiky zostáva text „Identita“.
Životný cyklus napadnutia skupiny Storm-0539.

Odporúčania

  • Resetovanie hesiel používateľov spojených s phishingom a aktivitou AiTM: Ak chcete zrušiť všetky aktívne relácie, okamžite resetujte heslá. Zrušte všetky zmeny nastavení MFA vykonaných útočníkom na zneužitých účtoch. Vyžadujte opätovnú výzvu MFA pre aktualizácie MFA ako predvolené nastavenie. Zabezpečte tiež, aby boli podobne chránené aj mobilné zariadenia, ktoré zamestnanci používajú na prístup do podnikových sietí.
  • Povolenie automatického čistenia doručenej pošty (ZAP) v programe Microsoft Defender pre Office 365: ZAP nachádza e-maily, ktoré sú súčasťou phishingovej kampane, na základe rovnakých prvkov známych zlých správ, a vykonáva automatické akcie.
  • Aktualizácia identít, prístupových oprávnení a distribučných zoznamov s cieľom minimalizovať priestor na útok: Útočníci, ako napríklad Storm-0539, predpokladajú, že nájdu používateľov s nadmernými prístupovými právami, ktorých môžu zneužiť, aby dosiahli veľký vplyv. Roly zamestnancov a tímov sa môžu často meniť. Zavedenie pravidelnej kontroly oprávnení, členstva v distribučných zoznamoch a ďalších atribútov môže pomôcť obmedziť následky počiatočného narušenia a sťažiť prácu narušiteľov.

Získajte ďalšie informácie o skupine Storm-0539 a expertoch centra Microsoft Analýza hrozieb , ktorí sa venujú sledovaniu počítačovej kriminality a najnovších hrozieb.

Metodika: Snímky a údaje zo štatistík predstavujú nárast počtu oznámení našich zákazníkov a pozorovaní aktéra hrozby Storm-0539. Tieto čísla odrážajú nárast počtu zamestnancov a zdrojov vynaložených na monitorovanie tejto skupiny. Služba Azure Active Directory poskytla anonymizované údaje o aktivitách hrozieb, ako sú škodlivé e-mailové kontá, phishingové e-maily a pohyb útočníkov v sieťach. Ďalšie poznatky pochádzajú zo 78 biliónov bezpečnostných signálov, ktoré spoločnosť Microsoft denne spracuje, vrátane cloudu, koncových bodov, inteligentného okraja a telemetrie z platforiem a služieb spoločnosti Microsoft vrátane Microsoft Defender.

Cyber Signals Phishing Aktéri hrozieb

Súvisiace články

Spoznajte odborníkov, ktorý sledujú skupinu Storm-0539 a podvody s darčekovými poukazmi

Alison Aliová, Waymon Ho a Emiel Haeghebaert, analytici centra Microsoft Analýza hrozieb so znalosťami v oblasti medzinárodných vzťahov, federálneho presadzovania práva, bezpečnosti a verejnej správy, ponúkajú širokú a jedinečnú odbornosť na sledovanie zdroja hrozby Storm-0539, ktorý sa špecializuje na krádeže platobných kariet a podvody s darčekovými poukazmi.
Ďalšie informácie

Žije z ekonomiky dôvery: podvod v oblasti sociálneho inžinierstva

Preskúmajte vyvíjajúce sa digitálne prostredie, v ktorom je dôvera menou aj zraniteľnosťou. Objavte taktiky podvodov sociálneho inžinierstva, ktoré kybernetickí útočníci používajú najčastejšie, a prečítajte si o stratégiách, ktoré vám pomôžu identifikovať a prekonať hrozby sociálneho inžinierstva zamerané na manipuláciu s ľudskou povahou.
Ďalšie informácie

Zmena taktiky spôsobuje nárast ohrozenia firemných e-mailov

Útoky BEC (ohrozenie zabezpečenia firemného e-mailu) sú na vzostupe, keďže počítačoví zločinci môžu zakryť zdroj svojich útokov, aby mohli byť ešte horšie. Získajte informácie o CaaS a o tom, ako sa dá pomôcť pri ochrane organizácie.
Ďalšie informácie

Sledujte zabezpečenie od spoločnosti Microsoft