Trace Id is missing

Di balik kian besarnya risiko penipuan kartu hadiah

Unduh
Bagikan
Kartu hadiah dan kartu kredit terbang keluar dari sebuah laptop

Sinyal Cyber Edisi 7: Masuk ke sarang singa

Di sebuah era saat transaksi digital dan belanja online menjadi bagian yang terintegrasi di dalam kehidupan kita sehari-hari, ancaman kejahatan cyber semakin tinggi. Di antara ancaman-ancaman ini, penipuan kartu hadiah dan kartu pembayaran, yang meliputi kartu hadiah dari perusahaan atau retail kartu kredit, tersebar luas dan terus berkembang. Penjahat menggunakan metode yang semakin canggih untuk menyusupi portal kartu hadiah sebelum mengubahnya menjadi uang yang hampir tidak dapat dilacak.

Edisi Sinyal Cyber kali ini membedah taktik, teknik, dan prosedur yang dipakai oleh pelaku ancaman kejahatan cyber bernama Microsoft Storm-0539, yang dikenal juga sebagai Atlas Lion, serta aktivitas mereka di ranah pencurian kartu hadiah, seluk-beluk metode, serta implikasinya terhadap individu, bisnis, dan lanskap keamanan cyber.

Storm-0539 tetap relevan selama bertahun-tahun, beradaptasi dengan lanskap kejahatan yang terus berubah. Melalui rumitnya jaringan saluran yang terenkripsi dan forum bawah tanah, mereka menyusun bisnis terlarang yang mengeksploitasi celah teknologi dan menerapkan kampanye rekayasa sosial cerdas untuk menskalakan operasi mereka.

Meskipun banyak pelaku kejahatan cyber berfokus pada skala dan menempuh jalur termudah untuk memperoleh keuntungan dalam waktu cepat, Storm-0539 memperlihatkan fokus yang senyap dan produktif saat menyusupi sistem dan transaksi kartu hadiah. Musuh satu ini tanpa henti menarget penerbit kartu hadiah, dengan cara mengadaptasi sejumlah teknik untuk mengikuti perkembangan di area retail, pembayaran, dan industri terkait lainnya.

Kita bersama-sama mendirikan pertahanan.

Secara historis, Storm-0539 meningkatkan aktivitas serangan mereka menjelang musim liburan utama. Di antara bulan Maret dan Mei 2024, menjelang musim liburan musim panas, Microsoft memantau peningkatan aktivitas intrusi sebesar 30% oleh Storm-0539. Di antara bulan September dan Desember 2023, kami memantau peningkatan aktivitas serangan sebesar 60%, bertepatan dengan liburan musim gugur dan musim dingin.

  • Peningkatan aktivitas intrusi Storm-0539 sebesar 30 persen, di antara bulan Maret dan Mei 2024
  • Peningkatan aktivitas intrusi Storm-0539 sebesar 60 persen, di antara bulan September dan Desember 2024

Penyerang mengasah aksi pencurian kartu hadiah dan pembayaran

Storm-0539 beroperasi di Maroko dan terlibat di dalam kejahatan finansial seperti penipuan kartu hadiah. Teknik mereka mencakup pengelabuan, pengelabuan lewat SMS, mendaftarkan perangkat mereka ke lingkungan korban untuk memperoleh akses konstan, serta memanfaatkan akses untuk menarget organisasi pihak ketiga. Mereka mendaftarkan perangkat sehingga perintah autentikasi multifaktor (MFA) yang terasosiasi dengan akun korban penyusupan akan masuk ke perangkat penyerang. Dengan mendaftarkan perangkat, mereka dapat sepenuhnya menyusupi identitas dan bertahan di dalam lingkungan cloud. 

Aktif sejak penghujung 2021, kelompok kejahatan cyber ini menunjukkan adanya evolusi pelaku ancaman yang berfokus pada penyerangan akun dan sistem kartu pembayaran. Penyerang pada umumnya menyusupi data kartu pembayaran dengan program jahat point-of-sale (POS) di masa lalu. Namun, seiring industri memperkuat pertahanan POS, Storm-0539 mengadaptasi teknik serangan mereka untuk menyusupi layanan cloud dan identitas dalam penargetan kriminal, yang ditujukan pada portal kartu hadiah terkait perusahaan retail besar, merek mewah, dan restoran cepat saji tersohor.

Secara historis, penipuan kartu hadiah dan pembayaran diasosiasikan dengan program jahat canggih dan kampanye pengelabuan. Walaupun demikian, kelompok ini memanfaatkan pengetahuan tajam mereka tentang cloud untuk mengintai proses penerbitan kartu hadiah milik organisasi, portal kartu hadiah, dan karyawan yang mempunyai akses ke kartu hadiah.

Biasanya, rantai serangan mereka mencakup tindakan sebagai berikut:
  • Dengan menggunakan direktori dan jadwal karyawan, daftar kontak, serta kotak masuk email, Storm-0539 menarget ponsel pribadi dan ponsel kantor karyawan dengan menggunakan teks pengelabuan lewat SMS. 
  • Setelah menginfiltrasi akun karyawan pada organisasi target, penyerang bergerak lateral melalui jaringan, mencoba mengidentifikasi proses bisnis kartu hadiah, serta beralih ke akun yang disusupi terkait portofolio spesifik ini. 
  • Mereka juga mengumpulkan informasi tentang virtual machines, koneksi VPN, sumber daya SharePoint dan OneDrive, serta Salesforce, Citrix, dan lingkungan jarak jauh lainnya. 
  • Setelah memperoleh akses, kelompok ini membuat kartu hadiah baru dengan menggunakan akun karyawan yang disusupi. 
  • Lantas, mereka menebus nilai yang terasosiasi dengan kartu tersebut, menjual kartu hadiah kepada pelaku ancaman lain di pasar gelap, atau menggunakan transfer uang ilegal untuk menguangkan kartu hadiah tersebut.
Gambar yang menunjukkan dua ponsel dengan pesan smishing dari Storm-0539 menyamar sebagai staf dukungan perusahaan dari karyawan yang menjadi target.
Pesan smishing dari Storm-0539 menyamar sebagai staf dukungan perusahaan dari karyawan yang menjadi target.

Pengintaian dan kemampuan Storm-0539 untuk memanfaatkan lingkungan cloud tampak serupa dengan apa yang Microsoft pantau pada pelaku ancaman yang disponsori oleh negara bangsa, menunjukkan bagaimana teknik yang dipopulerkan oleh musuh yang berfokus pada spionase dan geopolitik kini memengaruhi penjahat yang bermotif finansial.

Contohnya, Storm-0539 memanfaatkan pengetahuan mereka tentang perangkat lunak berbasis cloud, sistem identitas, dan hak akses istimewa, dalam rangka menarget lokasi pembuatan kartu hadiah dan tidak berfokus pada pengguna akhir. Aktivitas ini merupakan tren yang kami temukan pada kelompok non-negara-bangsa seperti Octo Tempest dan Storm-0539, yang secara taktis mumpuni di bidang sumber daya cloud, seperti halnya pelaku kawakan yang disponsori oleh negara.

Untuk menyamar dan tetap tidak terdeteksi, Storm-0539 menampilkan diri sebagai organisasi sah bagi penyedia cloud, dengan tujuan memperoleh aplikasi temporer, penyimpanan, serta sumber daya awal lain yang gratis untuk aktivitas serangan mereka.

Sebagai bagian dari upaya tersebut, mereka membuat situs web yang menyamar sebagai badan amal, tempat penampungan hewan, dan organisasi nirlaba lainnya di Amerika Serikat, biasanya dengan penumpangan saltik (typosquatting), yaitu praktik penipuan yang dilakukan seseorang dengan mendaftarkan kesalahan ejaan umum pada domain organisasi sebagai miliknya, untuk mengelabui pengguna agar mengunjungi situs penipuan dan memasukkan informasi pribadi atau kredensial profesional.

Untuk semakin memperluas kotak alat penipuan mereka, Microsoft telah memantau Storm-0539 mengunduh salinan sah surat 501(c)(3) yang diterbitkan oleh Internal Revenue Service (IRS) dari situs web publik organisasi nirlaba. Bersenjatakan salinan surat 501(c)(3) yang sah dan domain yang serupa untuk meniru lembaga nirlaba kepada siapa surat tersebut diterbitkan, mereka menghampiri penyedia cloud utama untuk mendapatkan layanan teknologi bersponsor atau berdiskon yang kerap diberikan kepada lembaga nirlaba.

Infografik yang menunjukkan cara kerja Storm-0539.
Operasi Storm-0539 mencakup percobaan gratis, langganan PAYG, hingga sumber daya cloud yang disusupi. Kami mengidentifikasi bahwa Storm-0539 menyamar sebagai organisasi nirlaba yang sah untuk memperoleh dukungan nirlaba dari beberapa penyedia cloud.

Kelompok ini juga membuat uji coba gratis atau akun siswa di platform layanan cloud, yang biasanya memberikan akses selama 30 hari kepada pelanggan baru. Di dalam akun ini, mereka membuat virtual machines untuk meluncurkan operasi bertarget. Dengan keahlian menyusupi dan menciptakan infrastruktur serangan berbasis cloud, Storm-0539 dapat menghindari biaya awal umum di dalam ekonomi kejahatan cyber, seperti pembayaran host dan server, dengan tujuan meminimalkan biaya dan memaksimalkan efisiensi.

Microsoft menilai, bahwa Storm-0539 menyelenggarakan pengintaian ekstensif terhadap penyedia layanan identitas gabungan di perusahaan target untuk meniru pengalaman masuk pengguna secara meyakinkan. Ini tidak hanya mencakup tampilan halaman adversary-in-the-middle (AiTM), tetapi juga penggunaan domain terdaftar yang sangat mirip dengan layanan sah. Di dalam kasus lain, Storm-0539 menyusupi domain WordPress yang sah dan baru saja terdaftar untuk merancang halaman arahan AiTM.

Rekomendasi

  • Proteksi token dan akses hak istimewa terendah: Gunakan kebijakan untuk memberikan perlindungan melawan serangan token-replay dengan mengikat token ke perangkat pengguna yang sah. Untuk meminimalkan potensi dampak serangan, terapkan prinsip akses hak istimewa terendah di seluruh tumpukan teknologi.
  • Adopsi platform kartu hadiah yang aman dan implementasikan solusi fraud protection: Pertimbangkan untuk beralih ke sistem yang didesain untuk melakukan autentikasi pembayaran. Penjual juga dapat mengintegrasikan fitur fraud protection untuk meminimalkan kerugian.
  • Autentikasi multifaktor (MFA) yang tahan pengelabuan: Transisi ke kredensial tahan pengelabuan yang kebal terhadap berbagai serangan, seperti kunci keamanan FIDO2.
  • Minta perubahan kata sandi yang aman ketika pengguna memiliki tingkat risiko tinggi: Untuk remediasi risiko, autentikasi multifaktor (MFA) Microsoft Entra diperlukan sebelum pengguna dapat membuat kata sandi baru dengan penulisan balik kata sandi.
  • Edukasi karyawan: Penjual sebaiknya melatih karyawan untuk mengenali potensi scam kartu hadiah dan menolak pesanan yang mencurigakan.

Mengatasi badai: Bertahan melawan storm-0539

Kartu hadiah merupakan target penipuan yang menarik. Karena tidak seperti kartu kredit atau debit, tidak ada nama pelanggan atau rekening bank yang terlampir pada kartu tersebut. Di sekitar periode liburan musiman, Microsoft melihat peningkatan pada aktivitas Storm-0539 yang berfokus di industri ini. Memorial Day, Hari Buruh, dan Thanksgiving di AS, serta Black Friday dan liburan musim dingin yang diperingati di seluruh dunia, cenderung diasosiasikan dengan meningkatnya aktivitas kelompok tersebut.

Biasanya, organisasi menerapkan batasan nilai uang yang dapat diterbitkan untuk kartu hadiah individu. Misalnya, jika batasnya adalah USD$100.000, pelaku ancaman akan menerbitkan kartu seharga USD$99.000 lalu mengirimkan kode kartu hadiah dan melakukan monetisasi. Motif utama mereka adalah mencuri kartu hadiah dan mendapatkan keuntungan saat menjualnya online dengan harga diskon. Kami pernah menemukan beberapa contoh pelaku ancaman yang telah mencuri hingga USD$100.000 per hari di perusahaan tertentu.

Untuk bertahan melawan serangan dan mencegah kelompok ini mendapatkan akses tidak sah ke departemen kartu hadiah, perusahaan penerbit kartu hadiah seharusnya memperlakukan portal kartu hadiah mereka layaknya target bernilai tinggi. Mereka seharusnya dimonitor ketat dan senantiasa diaudit untuk mendeteksi aktivitas ganjil.

Bagi semua organisasi yang membuat atau menerbitkan kartu hadiah, meskipun akun disusupi, implementasi prinsip saling kontrol dan seimbang (checks and balances) untuk mencegah akses cepat ke portal kartu hadiah serta target bernilai tinggi lainnya akan dapat membantu. Pantau terus log untuk mengidentifikasi proses masuk yang mencurigakan dan vektor akses awal umum lainnya yang mengandalkan penyusupan identitas cloud, implementasikan pula kebijakan akses bersyarat untuk membatasi proses masuk dan menandai proses masuk berisiko.

Organisasi sebaiknya mempertimbangkan untuk melengkapi autentikasi multifaktor (MFA) dengan kebijakan akses bersyarat, agar di samping cara lainnya, permintaan autentikasi juga dievaluasi menggunakan sinyal tambahan berbasis identitas, seperti informasi lokasi alamat IP atau status perangkat.

Taktik lain yang dapat membantu meredam serangan ini adalah proses verifikasi pelanggan untuk pembelian domain. Regulasi dan kebijakan vendor mungkin tidak secara konsisten mencegah penumpangan saltik (typosquatting) berbahaya di seluruh dunia. Artinya, situs web penipuan ini dapat terus populer dalam mensakalakan serangan cyber. Proses verifikasi pembuatan domain dapat membantu mengurangi banyaknya situs yang dibuat semata untuk menipu korban.

Selain nama domain yang menyesatkan, Microsoft juga memantau bahwa Storm-0539 menggunakan milis internal sah milik perusahaan, untuk menyebarkan pesan pengelabuan setelah mereka mendapatkan batu loncatan serta memahami daftar distribusi dan norma bisnis lainnya di sebuah perusahaan.

Pengelabuan melalui daftar distribusi valid tidak hanya menambahkan suatu lapisan autentik pada konten berbahaya, tetapi juga membantu mempertajam penargetan konten ke semakin banyak individu yang memiliki akses kredensial, hubungan, dan informasi yang diandalkan oleh Storm-0539 untuk memperoleh persistensi dan jangkauan.

Saat pengguna mengeklik tautan yang dimuat di dalam email atau teks pengelabuan, mereka akan diarahkan ke halaman pengelabuan AiTM untuk pencurian kredensial dan pengambilan token autentikasi sekunder. Perusahaan retail dianjurkan untuk mengedukasi staf tentang cara kerja scam pengelabuan/pengelabuan lewat SMS, cara mengidentifikasi, dan cara melaporkannya.

Penting untuk menggarisbawahi, bahwa tidak seperti pelaku ancaman ransomware yang terang-terangan mengenkripsi, mencuri data, dan lantas mengancam Anda untuk membayar, Storm-0539 bergerak di lingkungan cloud, diam-diam mengumpulkan pengintaian, serta menyalahgunakan infrastruktur cloud dan identitas untuk meraih tujuan akhir mereka.

Operasi Storm-0539 bersifat persuasif karena pelaku menggunakan email resmi yang telah disusupi dan meniru platform sah yang digunakan oleh perusahaan target. Bagi beberapa perusahaan, kerugian akibat kartu hadiah dapat dipulihkan. Diperlukan penyelidikan menyeluruh untuk menentukan kartu hadiah mana yang diterbitkan oleh pelaku ancaman.

Microsoft Threat Intelligence telah menerbitkan pemberitahuan kepada organisasi yang terdampak oleh Storm-0539. Kami memantau adanya peningkatan pada kemampuan perusahaan retail besar untuk menangkal aktivitas Storm-0539 secara efektif dalam beberapa bulan terakhir, sebagian penyebabnya adalah informasi yang dibagikan dan kolaborasi ini.

Infografik yang menunjukkan siklus hidup intrusi Storm-0539, dimulai dengan “Pengelabuan/pengelabuan lewat SMS”, diikuti oleh “Akses sumber daya cloud”, “Dampak (pencurian data dan pencurian kartu hadiah)” dan “Informasi untuk serangan mendatang”. “Identitas” tetap berada di tengah grafik.
Siklus hidup intrusi Storm-0539.

Rekomendasi

  • Atur ulang kata sandi untuk pengguna yang terasosiasi dengan aktivitas pengelabuan dan AiTM: Untuk mencabut sesi aktif, segera atur ulang kata sandi. Cabut semua perubahan pengaturan MFA yang dibuat oleh penyerang pada akun yang disusupi. Terapkan permintaan ulang MFA untuk pembaruan MFA sebagai default. Pastikan pula bahwa perangkat seluler yang digunakan oleh karyawan untuk mengakses jaringan korporat telah terlindungi dengan cara serupa.
  • Aktifkan pembersihan otomatis seketika (ZAP) di Microsoft Defender untuk Office 365: Pembersihan Otomatis Seketika (ZAP) akan menemukan dan mengambil tindakan otomatis pada email yang merupakan bagian dari kampanye pengelabuan, berdasarkan elemen identik pada pesan buruk yang diketahui.
  • Perbarui identitas, hak akses, dan daftar distribusi untuk meminimalkan permukaan serangan: Penyerang seperti Storm-0539 berasumsi, bahwa mereka akan menemukan pengguna dengan hak akses berlebih dan mereka dapat menyusupinya untuk menghasilkan dampak besar. Peran karyawan dan tim sering kali bisa berubah. Melakukan peninjauan rutin terhadap hak istimewa, keanggotaan daftar distribusi, dan atribut lainnya dapat membantu membatasi dampak intrusi awal dan mempersulit upaya penyusup.

Pelajari selengkapnya tentang Storm-0539 dan para ahli dari Microsoft Threat Intelligence yang berdedikasi untuk melacak kejahatan cyber dan ancaman terkini.

Metodologi: Snapshot dan data statistik merepresentasikan peningkatan notifikasi pelanggan dan pemantauan kami terkait pelaku ancaman Storm-0539. Angka ini merefleksikan peningkatan jumlah staf dan sumber daya yang dipakai untuk mengamati kelompok ini. Azure Active Directory menyediakan data anonim mengenai aktivitas ancaman, seperti akun email berbahaya, email pengelabuan, dan pergerakan penyerang di dalam jaringan. Wawasan tambahan berasal dari 78 triliun sinyal keamanan harian yang diproses oleh Microsoft setiap harinya, termasuk cloud, titik akhir, tepian cerdas, serta telemetri dari platform dan layanan Microsoft termasuk Microsoft Defender.

Sinyal Cyber Pengelabuan Pelaku ancaman

Artikel terkait

Temui para ahli yang melacak penipuan kartu hadiah Storm-0539

Dengan latar belakang luas yang meliputi hubungan internasional, penegakan hukum federal, keamanan, dan pemerintahan, analis Microsoft Threat Intelligence, Alison Ali, Waymon Ho, dan Emiel Haeghebaert, menawarkan serangkaian keterampilan unik untuk melacak Storm-0539, pelaku ancaman dengan spesialisasi pencurian kartu pembayaran dan penipuan kartu hadiah.
Pelajari selengkapnya

Menarik keuntungan dari ekonomi kepercayaan: penipuan rekayasa sosial

Jelajahi lanskap digital yang terus berkembang, ketika kepercayaan menjadi mata uang sekaligus kerentanan. Temukan taktik penipuan rekayasa sosial yang paling sering digunakan oleh penyerang cyber, serta tinjau strategi yang dapat membantu Anda dalam mengidentifikasi dan menghindari ancaman rekayasa sosial yang dirancang untuk memanipulasi sifat alamiah manusia.
Pelajari selengkapnya

Perubahan taktik memicu lonjakan penyusupan email bisnis

Penyusupan email bisnis (BEC) tengah meningkat, mengingat penjahat cyber dapat menyamarkan sumber serangan mereka serta membuatnya semakin berbahaya. Pelajari selengkapnya tentang CaaS dan cara untuk membantu melindungi organisasi Anda.
Pelajari selengkapnya

Ikuti Microsoft Security