Trace Id is missing
דלג לתוכן הראשי
Security Insider

מבט מבפנים על הסיכון הגובר של הונאת כרטיסי מתנה

הורד
שתף
מחשב נישא שמתוכו מתעופפים כרטיסי מתנה וכרטיסי תשלום

אותות סייבר, מהדורה 7: אל גוב האריות

בעידן שבו עסקאות דיגיטליות וקניות באינטרנט הפכו לחלק בלתי נפרד מחיי היום-יום שלנו, האיום של פשע סייבר רלוונטי יותר מתמיד. בין האיומים האלה, הונאות שמבוססות על כרטיסי תשלום וכרטיסי מתנה, הכוללים כרטיסי מתנה של חברות אשראי וגם עסקים קמעונאיים, הן נפוצות ומתפתחות. הפושעים משתמשים בשיטות שהולכות ונעשה מתוחכמות יותר כדי לפגוע בפורטלי כרטיסי מתנה ואז להפוך אותם לכסף מזומן שכמעט לא ניתן לעקוב אחריו.

מהדורה זו של 'אותות סייבר' בוחנת מקרוב את הטקטיקות, את הטכניקות ואת הנהלים של גורם פשע סייבר ש- Microsoft מכנה Storm-0539, המכונה גם Atlas Lion – ואת הפעילויות שלו בתחום גניבת כרטיסי המתנה, את המורכבות של השיטות שלו ואת ההשלכות שלהן על אנשים, על עסקים ועל נוף אבטחת הסייבר.

קבוצת Storm-0539 נשארת רלוונטית במהלך השנים והסתגלה לסביבת הפשע המשתנה ללא הרף. הם מתאמים, דרך רשת סבוכה של ערוצים מוצפנים ופורומים מחתרתיים,מיזמים בלתי חוקיים שמנצלים פרצות בטכנולוגיה ופורסים קמפיינים מתוחכמים של הנדסה חברתית כדי להרחיב את המבצע שלהם.

למרות שגורמי איום רבים של פשע סייבר בוחרים בנתיב הקל ביותר לרווחים מהירים ומתמקדים במגוון תחומים, Storm-0539 מפגינים התמדה שקטה ופרודוקטיבית בפגיעה במערכות ועסקאות של כרטיסי מתנה. היריב הזה תוקף ללא הרף את מנפיקי כרטיסי המתנה באמצעות התאמה של הטכניקות לקצב של השינויים המתרחשים בענפי הקמעונאות, התשלום ובענפים קשורים אחרים.

כולנו מגינים.

באופן היסטורי, קבוצת Storm-0539 מגבירה את פעילות ההתקפות שלה לקראת עונות החגים הגדולים. בין מרץ למאי 2024, לפני חופשת הקיץ, Microsoft זיהתה עלייה של 30% בפעילות חדירה של Storm-0539. בין ספטמבר לדצמבר 2023 ראינו עלייה בשיעור של 60% בפעילות ההתקפות, במקביל לחגי הסתיו והחורף.

  • עלייה של 30% בפעילות חדירה של Storm-0539 בין מרץ למאי 2024.
  • עלייה של 60% בפעילות חדירה של Storm-0539 בין ספטמבר לדצמבר 2024.

התוקפים משכללים את ההונאות המבוססות על כרטיסי מתנה וכרטיסי תשלום

קבוצת Storm-0539 פועלת ממרוקו ומעורבת בפשעים פיננסיים כמו הונאת כרטיסי מתנה. הטכניקות שלהם כוללות דיוג, מתקפות סמישינג (פישינג באמצעות SMS), רישום מכשירים משלהם בסביבות של הקורבנות כדי לקבל גישה מתמדת ומינוף של גישה כדי להתמקד בארגונים חיצוניים. הם רושמים מכשירים כך שהנחיות אימות רב-גורמי (MFA) המשויכות לחשבון של קורבן שנפגע יעברו למכשיר של התוקף. רישום של מכשיר מאפשר להם לפגוע פגיעה מקיפה בזהות ולהתבסס בסביבת הענן. 

קבוצת פשע סייבר סייבר זו פעילה מסוף שנת 2021 ומייצגת התפתחות של גורמי איום שממוקדים בתקיפה של חשבונות ומערכות של כרטיסי תשלום. בעבר, התוקפים פגעו בנתונים של כרטיסי תשלום באמצעות תוכנה זדונית בנקודות מכירה (POS). כיום, עם הקשחת ההגנות על נקודות POS בענפי התעשייה, Storm-0539 התאימה את טכניקות המתקפה שלה כדי לפגוע בשירותי זהות וענן בפשיעה שתוקפת פורטלי כרטיסי מתנה המקושרים לקמעונאים גדולים, מותגי יוקרה ומסעדות מזון מהיר מוכרות.

באופן היסטורי, הונאת כרטיסי תשלום וכרטיסי מתנה משויכת לקמפיינים של דיוג ותוכנה זדונית מתוחכמת. אבל הקבוצה הזאת ממנפת את הידע המעמיק שלה בענן כדי לבצע איסוף זדוני של מידע על תהליכי הנפקת כרטיסי מתנה, פורטלים של כרטיסי מתנה ועובדים עם גישה לכרטיסי מתנה בארגון.

בדרך כלל, שרשרת המתקפה כוללת את הפעולות הבאות:
  • באמצעות ספריות ולוחות זמנים, רשימות אנשי קשר ותיבות דואר נכנס של עובדים, Storm-0539 מתמקדת בטלפונים הניידים, אישיים או מיוחדים לעבודה, של עובדים באמצעות הודעות סמישינג (פישינג באמצעות SMS). 
  • לאחר חדירה לחשבון של עובד בארגון המותקף, התוקפים נעים לרוחב ברשת ומנסים לזהות את תהליך הנפקת כרטיס המתנה, תוך התמקדות בחשבונות שנפגעו הקשורים לתיק ספציפי זה. 
  • הם גם אוספים מידע על מכונות וירטואליות, חיבורי VPN, משאבי SharePoint ו- OneDrive וכן סביבות Salesforce, ‏Citrix וסביבות מרוחקות אחרות. 
  • לאחר שהקבוצה מקבלת גישה, היא יוצרת כרטיסי מתנה חדשים באמצעות חשבונות של עובדים שנפגעו. 
  • לאחר מכן הם יכולים לממש את הערך של כרטיסים אלה, למכור אותם לגורמי איום אחרים בשווקים שחורים או להשתמש בבלדרי כספים כדי להמיר את כרטיסי המתנה במזומן.
תמונה שבה מוצגים שני מכשירי טלפון עם הודעות סמישינג (פישינג באמצעות SMS) שמתחזות לצוות התמיכה בחברה של העובד המהווה מטרה.
הודעות סמישינג (פישינג באמצעות SMS) של Storm-0539 מתחזות לצוות התמיכה בחברה של העובד המהווה מטרה.

האיסוף הזדוני של מידע שמבצעת Storm-0539 והיכולת שלה למנף סביבות ענן דומים למה ש- Microsoft רואה אצל גורמי איום במימון מדינות, עובדה שממחישה כיצד טכניקות שפופולריות בקרב יריבים פוליטיים ומרגלים משפיעות עכשיו על פושעים בעלי מניעים פיננסיים.

לדוגמה, Storm-0539 ממנפת את ההיכרות שלה עם תוכנה המבוססת על ענן, מערכות זהות והרשאות גישה כדי להתמקד בנקודות שבהן נוצרים כרטיסי מתנה במקום להתמקד במשתמש הקצה בלבד. הפעילות הזו מהווה מגמה שאנחנו רואים בקבוצות שאינן גורמי מדינה כמו Octo Tempest, ו- Storm-0539, שחבריהן בקיאים בטקטיקה של משאבי ענן בדומה לגורמים מתקדמים במימון מדיני.

כדי להסוות את עצמה ולחמוק מזיהוי, Storm-0539 מציגה את עצמה לספקי ענן כארגונים לגיטימיים על מנת לקבל יישום זמני, שטח אחסון ומשאבים חינמיים נוספים לפעילות התקיפה שלה.

כחלק ממאמץ זה, הקבוצה יוצרת אתרי אינטרנט שמתחזים לארגוני צדקה, בתי מחסה לבעלי חיים ולארגונים ללא כוונת רווח אחרים בארצות הברית, בדרך כלל בשיטת Typosquatting, שיטת מרמה שבה אנשים רושמים שגיאת איות נפוצה של תחום השייך לארגון בתחום שלהם כדי לגרום לאנשים במרמה להיכנס לאתרים מזויפים ולהזין מידע אישי או פרטי כניסה מקצועיים.

בנוסף לערכת כלי ההונאה של הקבוצה, Microsoft הבחינה ש- Storm-0539 מורידה עותקים תקניים של מכתבי 501(c)(3) שהונפקו על-ידי רשות מס ההכנסה (IRS) מאתרי אינטרנט ציבוריים של ארגונים ללא כוונת רווח. כשבידם העתק של מכתב 501(c)(3) תקני ותחום תואם שמתחזה לארגון הצדקה שעבורו הונפק המכתב, חברי הקבוצה ניגשים לספקי ענן גדולים כדי לקבל שירותי טכנולוגיה ממומנים או מסובסדים, שניתנים לעתים קרובות לארגונים ללא כוונת רווח.

אינפוגרפיקה שמציגה כיצד פועלת קבוצת Storm-0539.
קבוצת Storm-0539 פועלת דרך גירסאות ניסיון, מינויים בתשלום לפי שימוש ומשאבי ענן שנחשפו לסכנה. הבחנו אצל Storm-0539 גם התחזות לארגונים ללא כוונת רווח חוקיים כדי לקבל מימון מיוחד לארגוני צדקה ממספר ספקי ענן.

הקבוצה יוצרת גם חשבונות סטודנט או גירסאות ניסיון חינמיות בפלטפורמות שירותי ענן שבדרך כלל מעניקות ללקוחות חדשים 30 ימי גישה. בחשבונות אלה חברי הקבוצה יוצרים מכונות וירטואליות שדרכן הם מוציאים את המתקפות הממוקדות שלהם. הכישרון של Storm-0539 בפגיעה בתשתית ענן ושימוש בה לצורך מתקפות מאפשר להם להימנע מעלויות הנפוצות בכלכלת פשע הסייבר, כגון תשלום על מארחים ושרתים, במטרה להקטין עלויות ולהתייעל.

Microsoft מעריכה ש- Storm-0539 מבצעת איסוף זדוני של מידע בקנה מידה רחב מספקי שירותי זהות מאוחדים בחברות היעד כדי לחקות באופן משכנע את חוויית הכניסה שלל משתמש, כולל לא רק את הופעת דף adversary-in-the-middle (יריב בתווך) (AiTM), אלא גם שימוש בתחומים רשומים שתואמים במידה רבה לשירותים לגיטימיים. במופעים אחרים, Storm-0539 פגעה בתחומי WordPress לגיטימיים שנרשמו לאחרונה כדי ליצור את דף הנחיתה מסוג AiTM.

המלצות

  • הגנת אסימונים וגישה עם הרשאות מינימליות: שימוש בכללי מדיניות להגנה מפני מתקפות הפעלה חוזרת של אסימונים באמצעות קשירת האסימון למכשיר של המשתמש החוקי. החלת עקרונות של גישה עם הרשאות מינימליות במערך הטכנולוגי כולו כדי למזער את ההשפעה האפשרית של מתקפה.
  • אימוץ פלטפורמה מאובטחת של כרטיסי מתנה והטמעת פתרונות להגנה מפני הנאות: כדאי לשקול לעבור למערכת שמתוכננת לאימות תשלומים. הסוחרים יכולים גם לשלב תכונות להגנה מפני הונאות כדי למזער את ההפסדים.
  • אימות רב-גורמי למניעת דיוג: מעבר לפרטי כניסה עמידים בפני דיוג שחסינים מפני מתקפות שונות, כגון מפתחות אבטחה FIDO2.
  • דרישה לשינוי סיסמה מאובטחת כאשר רמת הסיכון של המשתמש גבוהה: נדרש אימות רב-גורמי של Microsoft Entra לפני שמשתמש יוכל ליצור סיסמה חדשה עם Writeback של הסיסמה לצמצום הסיכונים.
  • הדרכת עובדים: על הסוחרים להדריך את העובדים לזהות הונאות כרטיסי מתנה אפשריות ולדחות הזמנות חשודות.

לעבור את הסערה: הגנה מפני Storm-0539

כרטיסי מתנה מהווים יעד אטרקטיבי להונאה מכיוון שלא בדומה לכרטיסי אשראי או חויב, לא מצורפים אליהם שמות של לקוחות או חשבונות בנק. Microsoft רואה עלייה בפעילות של Storm-0539 שמתמקדת בענף זה לקראת עונות החגים. יום הזיכרון, יום העבודה וחג ההודיה בארצות הברית וכן בלאק פריידיי וחגי החורף שמציינים ברחבי העולם, נוטים להיות קשורים לפעילות מוגברת של הקבוצה.

ככלל, ארגונים קובעים מגבלה על הערך הכספי שניתן להנפיק בכרטיס מתנה אישי. לדוגמה, אם המגבלה הזאת עומדת על USD$100,000, גורם האיום ינפיק כרטיס בסך USD$99,000 ואז שולח לעצמו את קוד כרטיס המתנה ומממש אותו. המטרה העיקרית שלהם היא לגנוב כרטיסי מתנה ולהרוויח על-ידי מכירתם באינטרנט במחיר מוזל. ראינו מספר דוגמאות שבהן גורם האיום גנב מחברות מסוימות סכומים של עד USD$100,000 ביום.

כדי להתגונן ממתקפות כאלה ולמנוע מהקבוצה לקבל גישה בלתי מורשית למחלקות כרטיסי אשראי, החברות שמנפיקות כרטיסי מתנה צריכות להתייחס לפורטלי כרטיסי המתנה שלהן כאל יעדים בעלי ערך גבוה. יש לעקוב אחריהם מקרוב ולבדוק באופן רצוף לאיתור פעילות חריגה.

ראוי שארגונים שיוצרים או מנפיקים כרטיסי מתנה יבצעו בדיקות ומאזנים כדי למנוע גישה מהירה לפורטלי כרטיסי מתנה ויעדים אחרי בעלי ערך גבוה, גם אם חשבון נחשף לסכנה. חשוב לנטר באופן שוטף יומנים כדי לזהות כניסות חשודות ווקטורים נפוצים נוספים לגישה ראשונית שמסתמכים על פגיעה בזהויות בענן – וליישם מדיניות גישה מותנית שמגבילה כניסה ומסמנת כניסות מסוכנות.

ארגונים צריכים גם לשקול ליישם אימות רב-גורמי עם מדיניות גישה מותנית שבה בקשות אימות מוערכות באמצעות אותות נוספים המבוססים על זהות, בין היתר כתובת IP, פרטי מיקום או מצב המכשיר.

טקטיקה אחרת שיכולה לעזור בהתמודדות עם מתקפות אלה היא תהליך לאימות לקוחות ברכישת תחומים. תקנות וכללי מדיניות של ספקים לא בהכרח ימנעו מתקפות Typosquatting ברחבי העולם, כלומר שאתרי הונאה אלה יכולים להישאר יעד פופולרי למתקפות שהולכות וגוברות. תהליכי אימות ליצירת תחומים יכולים לעזור במניעה של יצירת אתרים נוספים שמטרתם היחידה היא הונאה.

בנוסף לשמות תחומים מטעים, Microsoft זיהתה אצל Storm-0539 גם שימוש ברשימות תפוצה פנימיות לגיטימיות של חברה כדי להפיץ הודעות דיוג לאחר שהקבוצה משיגה דריסת רגל בחברה ומתוודעת לרשימות התפוצה ולנוהלי עסקים אחרים שלה.

לא רק שהדיוג שנעשה דרך רשימת תפוצה תקינה מוסיף שכבת אותנטיות נוספת לתוכן זדוני, הוא גם עוזר למקד את התוכן באנשים רבים יותר עם גישה לפרטי כניסה, מערכות יחסים ומידע שמשמשים את Storm-0539 כדי להשיג נוכחות ולהמשיך להתפרס.

כאשר משתמשים לוחצים על קישורים בהודעות הדוא"ל או הטקסט המשמשים לדיוג, הם מופנים לדף דיוג מסוג AiTM לצורך גניבת אישורים ולכידת אסימון האימות המשני. חשוב שהקמעונאים ילמדו את העובדים כיצד פועלות מתקפות דיוג/סמישינג (פישינג באמצעות SMS), כיצד ניתן לזהות אותן וכיצד מדווחים עליהן.

חשוב להדגיש שלא בדומה לדפוס הפעולה הקולני של תוכנת כופר, גורמי איום שמצפינים וגונבים נתונים ואז דורשים מכם לשלם, Storm-0539 מסתובבת בסביבת ענן ומבצעת בשקט איסוף זדוני של מידע ומנצלת לרעה את תשתית הענן והזהויות כדי להשיג את מטרותיה.

הפעולות של Storm-0539 משכנעות עקב השימוש שלה בהודעות דוא"ל אמיתיות שנחשפו לסכנה והחיקוי של פלטפורמות חוקיות המשמשות את החברה המהווה מטרה. עבור חלק מהחברות, יש אפשרות להחזיר את האובדן שנגרם מהונאות כרטיסי מתנה. הדבר דורש חקירה יסודית כדי לקבוע אילו כרטיסי מתנה הנפיק גורם האיום.

בינת האיומים של Microsoft שלחה הודעות לארגונים שהושפעו מ- Storm-0539. בין היתר, בזכות שיתוף המידע ושיתוף הפעולה האלה, בחודשים האחרונים ראינו עלייה ביכולת של הקמעונאים הגדולים להדוף ביעילות את הפעילות של Storm-0539.

אינפוגרפיקה שמציגה את מחזור החיים של החדירות המתבצעות על-ידי Storm-0539, שמתחילות במתקפת דיוג / סמישינג (פישינג באמצעות SMS)", לאחר מכן "גישה למשאבי ענן", "השפעה (חילוץ נתונים וגניבת כרטיסי מתנה)" ו"מידע לצורך מתקפות עתידיות". הכיתוב "זהות" נשאר במרכז הגרפיקה.
מחזור החיים של חדירות Storm-0539.

המלצות

  • איפוס סיסמאות של משתמשים המשויכים לפעילות AiTM ודיוג: כדי לבטל הפעלות פעילות, יש לאפס באופן מיידי את הסיסמאות. יש לבטל שינויים בהגדרות האימות הרב-גורמי שבוצעו על-ידי התוקף בחשבונות שנחשפו לסכנה. חשוב לדרוש כברירת מחדל ביצוע חוזר של MFA לעדכוני MFA. כמו כן, יש לוודא שהמכשירים הניידים המשמשים את העובדים לגישה לרשתות הארגוניות מוגנים באופן דומה.
  • הפעלת ניקוי אוטומטי בשעת האפס (ZAP) ב- Microsoft Defender עבור Office 365: פעולת ZAP מאתרת את הודעות הדוא"ל המהוות חלק מקמפיין הדיוג המבוסס על רכיבים זהים של הודעות זדוניות מוכרות – ונוקטת לגביהן פעולות אוטומטיות.
  • עדכון זהויות, הרשאות גישה ורשימות תפוצה כדי למזער את משטחי התקיפה: תוקפים כמו Storm-0539 מניחים שהם ימצאו משתמשים עם הרשאות גישה נרחבות שאותן יוכלו לנצל להשפעה מרבית. תפקידי העובדים והצוותים יכולים להשתנות לעתים קרובות. קביעת ביקורת רציפה של הרשאות, חברויות ברשימות תפוצה ותכונות אחרות יכולה להגביל את ההשלכות של חדירה ראשונית ולהקשות על הפולשים.

קבל מידע נוסף על Storm-0539 ומומחי בינת האיומים של Microsoft המקדישים את זמנם למעקב אחר פשע סייבר והאיומים האחרונים.

מתודולוגיה: תמונת מצב ונתונים סטטיסטיים של כיסוי מייצגים עלייה בהודעות ותצפיות של גורם האיום Storm-0539 אצל הלקוחות שלנו. מספרים אלה משקפים את העלייה במספר העובדים והמשאבים שמוקדשים למעקב אחר קבוצה זו. Azure AD סיפקה נתונים אנונימיים לגבי פעילות של גורמי איום, כגון חשבונות דוא"ל זדוניים, הודעות דוא"ל לדיוג ותנועת תוקף בתוך רשתות. תובנות נוספות מתקבלות מ- 78 טריליון אותות האבטחה היומיים שמעובדים מדי יום על-ידי Microsoft, כולל נתונים שמתקבלים מהענן, מנקודות הקצה, מהקצה החכם ונתוני אבחון משירותים ופלטפורמות של Microsoft, כולל Microsoft Defender.

אותות סייבר דיוג גורמי איום

מאמרים קשורים

הכר את המומחים שעוקבים אחרי הונאת כרטיסי המתנה של Storm-0539

האנליסטים של 'בינת איומים של Microsoft' Alison Ali,‏ Waymon Ho, ו- Emiel Haeghebaert עם רקע מקצועי שמתפרס על קשרים בינלאומיים, אכיפת חוק פדרלית, אבטחה וממשל, מציעים מגוון מיומנויות ייחודיות לצורך מעקב אחר Storm-0539, גורם איום המתמחה בגניבה של פרטי כרטיסי תשלום והונאה שמבוססת על כרטיסי מתנה.
מידע נוסף

ניצול של כלכלת האמון: הונאת ההנדסה החברתית

בוא לגלות נוף דיגיטלי מתפתח שבו האמון הוא גם הון וגם פגיעות. גלה את טקטיקות ההונאה של הנדסה חברתית שבהן משתמשים תוקפי סייבר יותר מכל היתר, וסקור אסטרטגיות שיכולות לעזור לך לזהות איומי הנדסה חברתית שנועדו לתמרן את הטבע האנושי, ולהערים עליהם.
מידע נוסף

שינוי טקטיקות מקדם את העלייה החדה בחשיפת דואר אלקטרוני עסקי לסכנה

חשיפה לסכנה של דואר אלקטרוני עסקי (BEC) נמצאת בעלייה עכשיו כשפושעי סייבר יכולים להסתיר את המקור של המתקפות שלהם כך שיהיו אף יותר מרושעות. קבל מידע אודות CaaS וכיצד לעזור להגן על הארגון שלך.
מידע נוסף

עקוב אחר 'האבטחה של Microsoft'