Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Didėjanti su dovanų kortelėmis susijusių sukčiavimų rizika

Atsisiųsti
Bendrinti
Nešiojamasis kompiuteris su iš jo plūstančiomis dovanų ir kredito kortelėmis

„Cyber Signals“ leidimas Nr. 7: Į liūto nasrus

Šiuo metu, kai skaitmeninės operacijos ir apsipirkimas internetu tapo neatsiejamomis mūsų kasdienio gyvenimo dalimis, kyla ir didelė kibernetinių nusikaltimų grėsmė. Tarp šių grėsmių paplitę ir besivystantys su dovanų ir mokėjimo kortelėmis, įskaitant kreditines korteles, kurias išduoda bendrovės ar mažmenininkai, susiję sukčiavimai. Nusikaltėliai, prieš paversdami jas beveik neatsekamomis pajamomis, siekdami sukelti pavojų dovanų kortelių portalams, pasitelkia vis sudėtingesnius metodus.

Šiame „Cyber Signals” leidime gilinamasi į kibernetinių nusikaltimų, „Microsoft” vadinamo „Storm-0539”, taip pat žinomo kaip „Atlas Lion”, grėsmių sukėlėjo taktikas, metodus ir procedūras bei jo veiklą dovanų kortelių vagysčių duomenų bazės srityje, jo metodų subtilybes ir pasekmes individualiems asmenims, įmonėms ir kibernetinio saugumo aplinkai.

Prisitaikydamas prie nuolat kintančios nusikalstamos aplinkos, „Storm-0539” daugelį metų išliko opi problema. Jie per šifruotų kanalų tinklo labirintą ir pogrindinius forumus organizuoja neteisėtas įmones, išnaudojančias technologines spragas ir, jog padidintų savo veiklą, steigiančias sumanias socialinės inžinerijos kampanijas.

Nors daugelis kibernetinių nusikaltimų grėsmių sukėlėjų pasirenka kelią, kuris leistų lengviausiai džiaugtis greitu pelnu ir sutelkia dėmesį į mastą, „Storm-0539” demonstruoja tylų, produktyvų susitelkimą, keldamas pavojų dovanų kortelių sistemoms ir sandoriams. Šis priešas, pritaikydamas metodus, jog neatsiliktų nuo mažmeninės prekybos, mokėjimų ir kitų susijusių pramonės šakų pokyčių, negailestingai taikosi į dovanų kortelių išdavėjus.

Mes visi esame gynėjai.

Istoriškai „Storm-0539” padidina savo atakų aktyvumą prieš pagrindinius atostogų sezonus. Nuo 2024 metų kovo iki gegužės mėnesio, prieš vasaros atostogų sezoną, „Microsoft” pastebėjo, kad „Storm-0539” įsilaužimų aktyvumas padidėjo 30%. 2023 metų rugsėjo-gruodžio mėnesiais pastebėjome, kad atakų aktyvumas padidėjo 60%, o tai sutapo su rudens ir žiemos atostogomis.

  • Nuo 2024 m. kovo iki gegužės mėnesio „Storm-0539” įsilaužimų aktyvumas padidėjo 30 procentų
  • Nuo 2024 m. rugsėjo iki gruodžio mėnesio „Storm-0539” įsilaužimų aktyvumas padidėjo 60 procentų

Įsilaužėliai tobulina dovanų ir mokėjimo kortelių vagystes

„Storm-0539” veikia už Maroko ribų ir dalyvauja finansiniuose nusikaltimuose, pavyzdžiui, su dovanų kortelėmis susijusiuose sukčiavimuose. Jų metodai apima sukčiavimus apsimetant, sukčiavimus apsimetant, siunčiant SMS žinutes, jų pačių įrenginių registravimą nukentėjusiųjų aplinkoje, taip užtikrinant, kad turės nuolatinę prieigą, bei prieigų prie tikslinių trečiųjų šalių organizacijų panaudojimą. Įrenginius jie registruoja taip, kad su pažeista nukentėjusiojo paskyra susiję daugiafaktorinio autentifikavimo (MFA) raginimai pasiektų įsilaužėlio įrenginį. Įrenginio registravimas leidžia jiems visiškai pažeisti tapatybę ir išlikti debesyje. 

Ši nuo 2021 metų pabaigos aktyvi kibernetinių nusikaltimų grupė atspindi į mokėjimo kortelių sąskaitų ir sistemų ataką orientuotų grėsmių sukėlėjų raidą. Anksčiau įsilaužėliai dažniausiai pažeisdavo mokėjimo kortelių duomenis naudodami kenkėjiškas pardavimo vietos (POS) programas. Tačiau pramonės šakoms sugriežtinus POS apsaugą, „Storm-0539” pritaikė savo atakų metodus, jog pakenktų debesies ir tapatybės nustatymo paslaugoms nusikalstamai taikantis į su dideliais mažmenininkais, prabangos prekių ženklais bei gerai žinomais greito maisto restoranais susijusiais dovanų kortelių portalais.

Istoriškai su mokėjimais ir dovanų kortelėmis susiję sukčiavimai siejami su sudėtingomis kenkėjiškomis programomis ir sukčiavimo apsimetant kampanijomis. Tačiau ši grupė, siekdama susipažinti su organizacijos dovanų kortelių išdavimo procesais, dovanų kortelių portalais ir prie dovanų kortelių prieigą turinčiais darbuotojais, pasitelkia savo gilias žinias apie debesį.

Paprastai atakos grandinę apima šie veiksmai:
  • Naudodamas darbuotojų katalogus ir tvarkaraščius, kontaktų sąrašus ir el. pašto dėžutes, „Storm-0539” atakuoja darbuotojų asmeninius ir darbo mobiliuosius telefonus klaidinančiomis žinutėmis. 
  • Įsibrovę į tikslinės organizacijos darbuotojo paskyrą, įsilaužėliai juda per tinklą, bandydami identifikuoti verslo dovanų kortelių procesą ir taikydamiesi į su šiuo konkrečiu portfeliu susietas pažeistas paskyras. 
  • Jie taip pat renka informaciją apie virtualias mašinas, VPN ryšius, „SharePoint” ir „OneDrive” išteklius bei „Salesforce”, „Citrix” ir kitas nuotolines aplinkas. 
  • Gavusi prieigą, grupė, naudodama pažeistas darbuotojų paskyras, sukuria naujas dovanų korteles. 
  • Tuomet jie išperka su tomis kortelėmis susijusią vertę, parduoda dovanų korteles kitiems grėsmių sukėlėjams juodojoje rinkoje arba pasitelkia pinigų mulus, jog dovanų korteles išgrynintų.
Vaizdas, kuriame pavaizduoti du telefonai su „Storm-0539“ sukčiavimo apsimetant siunčiant SMS žinutes žinutėmis, apsimetant tikslinio darbuotojo įmonės pagalbos tarnyba.
„Storm-0539“ sukčiavimo apsimetant siunčiant SMS žinutes žinutės, apsimetant tikslinio darbuotojo įmonės pagalbos tarnyba.

„Storm-0539” žvalgyba ir gebėjimas panaudoti debesies aplinkas yra panašūs į tai, ką „Microsoft” pastebi iš valstybės remiamų grėsmių sukėlėjų, rodančių, kaip šnipinėjimo ir į geopolitiką sutelkti išpopuliarinti metodai šiuo metu daro įtaką finansiškai motyvuotiems nusikaltėliams.

Pavyzdžiui, „Storm-0539” pasitelkia savo žinias apie debesies pagrindu veikiančią programinę įrangą, tapatybės sistemas ir prieigos teises, jog galėtų sutelkti dėmesį į tai, kur dovanų kortelės yra kuriamos, o ne į galutinį vartotoją. Ši veikla yra tendencija, kurią matome tarp nevalstybinių grupių, tokių kaip „Octo Tempest” ir „Storm-0539”, kurios taktiškai gerai išmano debesų išteklius, panašiai kaip pažangūs valstybės remiami veikėjai.

Norėdami užsimaskuoti ir likti nepastebėti, „Storm-0539” prisistato kaip teisėtos debesies teikėjų organizacijos, taip siekdamas savo su atakomis susijusiai veiklai gauti laikiną programėlę, saugyklą ir kitus pirminius nemokamus išteklius.

Stengdamiesi tai padaryti, jie kuria svetaines, kuriose apsimetinėja labdaros organizacijomis, gyvūnų prieglaudomis ir kitomis JAV esančiomis ne pelno siekiančiomis organizacijomis, paprastai su spausdinimo klaida pavadinime, – tai apgaulinga praktika, kuomet individualūs asmenys registruoja organizacijos domeną kaip savo su dažnai pasitaikančia spausdinimo klaida, jog apgautų vartotojus, kad jie apsilankytų apgaulingose svetainėse ir įvestų asmeninę arba įmonės prisijungimo informaciją.

„Microsoft” pastebėjo, kad, siekdami dar labiau išplėsti savo sukčiavimo priemonių rinkinį, „Storm-0539” iš ne pelno siekiančių organizacijų svetainių atsisiunčia teisėtas JAV vidaus pajamų tarnybos (IRS) išduotas 501(c)(3) laiškų kopijas. Turėdami teisėtą 501(c)(3) laiško kopiją ir atitinkamą domeną, apsimesdami ne pelno siekiančia organizacija, kuriai laiškas buvo išduotas, jie kreipiasi į pagrindinius debesies teikėjus dėl dažnai ne pelno siekiančioms organizacijoms suteikiamų technologijų paslaugų, kurioms taikoma parama arba nuolaida.

Infografika, rodanti, kaip „Storm-0539“ vykdo veiklą.
„Storm-0539“ vykdo veiklą naudodamas nemokamas bandomąsias versijas, mokamą prenumeratą ir pažeistus debesies išteklius. Taip pat pastebėjome, kad, norėdamas gauti iš kelių debesies paslaugų teikėjų ne pelno siekiančioms organizacijoms skiriamą paramą, „Storm-0539“ apsimetinėja teisėtomis ne pelno siekiančiomis organizacijomis.

Grupė taip pat debesies paslaugų platformose kuria nemokamas bandomąsias versijas ar studentų paskyras, paprastai naujiems klientams suteikdama 30 dienų prieigą. Šiose paskyrose jie sukuria virtualias mašinas, iš kurių gali pradėti savo tikslines operacijas. „Storm-0539” įgūdžiai pakenkti ir kurti debesies pagrindu veikiančią atakų infrastruktūrą leidžia jiems kibernetinių nusikaltimų ekonomikoje išvengti bendrų išankstinių išlaidų, pvz., mokėjimų už svetainės talpinimą ir serverius, – turint omenyje tai, jog jie siekia sumažinti išlaidas ir padidinti efektyvumą.

„Microsoft” įvertina, kad „Storm-0539” atlieka išsamią išorinių tapatybės paslaugų teikėjų tikslinėse įmonėse žvalgybą, jog įtikinamai imituotų vartotojo prisijungimo patirtį, įskaitant ne tik tinklo ryšio perėmimo (AiTM) puslapį, bet ir registruotų domenų, kurie labai atitinka teisėtas paslaugas, naudojimą. Kitais atvejais „Storm-0539”, siekdamas sukurti AiTM nukreipimo puslapį, pakenkė teisėtiems, neseniai įregistruotiems „WordPress” domenams.

Rekomendacijos

  • Atpažinimo ženklo apsauga ir mažiausiai teisių turinti prieiga: Norėdami apsisaugoti nuo atpažinimo ženklo atkūrimo atakų, pasitelkite strategijas, surišdami atpažinimo ženklą su teisėtu vartotojo įrenginiu. Norėdami sumažinti galimą atakos poveikį, visame technologijų pakete taikykite mažiausiai teisių turinčios prieigos principus.
  • Pasirinkite saugią dovanų kortelių platformą ir įgyvendinkite apsaugos nuo sukčiavimo sprendimus: Apsvarstykite galimybę pereiti prie mokėjimams autentifikuoti skirtos sistemos. Norėdami sumažinti nuostolius, prekybininkai taip pat gali integruoti apsaugos nuo sukčiavimo funkcijas.
  • Nuo sukčiavimo apsimetant apsaugantis MFA: Perėjimas prie nuo sukčiavimų apsimetant apsaugančių, įvairioms atakoms atsparių kredencialų, pvz., FIDO2 saugos raktų.
  • Reikalauja pakeisti saugiu slaptažodžiu, kai naudotojo rizikos lygis yra aukštas: Kad vartotojas galėtų sukurti naują slaptažodį su slaptažodžio perrašymu, jog rizika būtų pašalinta, reikalingas „Microsoft Entra” MFA.
  • Mokykite darbuotojus: Prekybininkai turėtų išmokyti darbuotojus atpažinti galimus su dovanų kortelėmis susijusius sukčiavimus ir atmesti įtartinus užsakymus.

Atlaikyti audrą: Apsauga nuo „Storm-0539”

Dovanų kortelės yra patrauklūs taikiniai sukčiavimui, nes priešingai nei ant kredito ar debeto kortelių, ant jų nėra klientų vardų ar banko sąskaitų. „Microsoft” pastebi, kad „Storm-0539”, daugiausiai dėmesio šiai pramonei skiriančio sezoniniais atostogų laikotarpiais, veikla išaugo. JAV švenčiamos Atminimo diena, Darbo diena ir Padėkos diena, taip pat visame pasaulyje minimas juodasis penktadienis ir žiemos šventės dažniausiai siejamos su padidėjusiu grupės aktyvumu.

Paprastai organizacijos nustato piniginės vertės, kuri gali būti išduodama individualiai dovanų kortelei, limitą. Pavyzdžiui, jei ši riba yra 100 000 USD, grėsmių sukėlėjas išduos 99 000 USD vertės kortelę, tuomet išsiųs sau dovanų kortelės kodą ir užsidirbs pinigų. Pagrindinis jų tikslas – pavogti dovanų korteles ir užsidirbti parduodant jas internete su nuolaida. Matėme keletą pavyzdžių, kai grėsmių sukėlėjas tam tikrose įmonėse pavogdavo iki 100 000 USD per dieną.

Norėdamos apsisaugoti nuo tokių atakų ir neleisti šiai grupei neteisėtai pasiekti dovanų kortelių skyrių, dovanų korteles išduodančios įmonės turėtų traktuoti savo dovanų kortelių portalus kaip didelės vertės taikinius. Jie turėtų būti atidžiai stebimi ir nuolatos tikrinami dėl bet kokios neįprastos veiklos.

Norint išvengti sparčios prieigos prie dovanų kortelių portalų ir kitų didelės vertės taikinių, net jei ir paskyra pažeista, bet kuriai dovanų korteles kuriančiai ar išduodančiai organizacijai gali padėti tikrinimo ir kontrolės procedūrų įgyvendinimas. Nuolatos stebėkite žurnalus, kad nustatytumėte įtartinus prisijungimus, ir kitus įprastus pradinės prieigos vektorius, kurie priklauso nuo debesies tapatybės nustatymo reikalavimų, ir įgyvendinkite sąlyginės prieigos strategijas, kurios ribotų prisijungimus ir pažymėtų rizikingus.

Organizacijos taip pat turėtų apsvarstyti galimybę MFA papildyti sąlyginės prieigos strategijomis, kuomet autentifikavimo užklausos įvertinamos naudojant papildomus tapatybės nustatymu pagrįstus signalus, pvz., IP adreso vietos informacija ar įrenginio būsena.

Kita taktika, galinti padėti pažaboti šias atakas, – klientų patvirtinimo procesas perkant domenus. Taisyklės ir tiekėjų strategijos negali nuosekliai užkirsti kelią tyčinėms spausdinimo klaidoms visame pasaulyje, o tai reiškia, kad šios klaidinančios svetainės gali išlikti populiarios mažinant kibernetines atakas. Patvirtinimo procesai kuriant domenus gali padėti pažaboti daugiau svetainių, sukurtų tik tam, kad apgautų aukas.

Be klaidinančių domenų pavadinimų, „Microsoft” taip pat pastebėjo, kad „Storm-0539” sukčiavimo apsimetant pranešimų platinimui naudoja teisėtus vidinius įmonės pašto adresų sąrašus iki įsitvirtina įmonėje ir supranta jos paskirstymo grupes ir kitas verslo normas.

Sukčiavimas apsimetant naudojant galiojančią paskirstymo grupę ne tik prideda dar vieną kenkėjiško turinio autentiškumo sluoksnį, bet ir padeda tobulinti turinio taikymą daugiau asmenų, turinčių prieigą prie kredencialų, ryšių ir informacijos, kuria „Storm-0539” remiasi siekdama išsilaikyti ir juos pasiekti.

Vartotojams spustelėjus sukčiavimo apsimetant el. laiškuose ar tekstiniuose pranešimuose esančias nuorodas, jie nukreipiami į AiTM sukčiavimo apsimetant puslapį, taip siekiant pavogti kredencialus ir antrinį autentifikavimo atpažinimo ženklą. Mažmenininkai raginami mokyti personalą, kaip sukčiavimo apsimetant siunčiant SMS/sukčiavimo apsimetant aferos veikia, kaip jas atpažinti ir kaip apie jas pranešti.

Svarbu pabrėžti, kad skirtingai nei triukšmingi išpirkos reikalaujančios programos grėsmių sukėlėjai, kurie duomenis šifruoja ir vagia, o paskui verčia jus susimokėti, „Storm-0539” nardo debesies aplinkoje, tyliai žvalgydama ir piktnaudžiaudama debesimi bei tapatybės infrastruktūra, jog pasiektų savo galutinius tikslus.

„Storm-0539” operacijos yra įtikinamos, nes veikėjas naudoja teisėtus pažeistus el. paštus ir imituoja teisėtas, tikslinių įmonių naudojamas platformas. Kai kurioms įmonėms dėl dovanų kortelių patirti nuostoliai yra atlyginami. Tam reikia nuodugniai ištirti, jog būtų nustatyta, kokias korteles grėsmių sukėlėjas išdavė.

„Microsoft” grėsmių žvalgyba išsiuntė pranešimus „Storm-0539” paveiktoms organizacijoms. Iš dalies dėl dalijimosi šia informacija ir bendradarbiavimo pastaraisiais mėnesiais pastebėjome, kad išaugo pagrindinių mažmenininkų gebėjimas veiksmingai kovoti su „Storm-0539” veikla.

Infografika, rodanti „Storm-0539“ įsilaužimo ciklą, pradedant nuo „Sukčiavimas apsimetant/sukčiavimas apsimetant siunčiant SMS“, po to „Prieiga prie debesies išteklių“, „Poveikis (duomenų eksfiltracija ir dovanų kortelių vagystė)“ ir „Informacija būsimoms atakoms“. „Tapatybė“ išlieka grafiko centre.
„Storm-0539“ įsilaužimo ciklas.

Rekomendacijos

  • Iš naujo nustatykite slaptažodžius naudotojams, susijusiems su sukčiavimu apsimetant ir AiTM veikla: Norėdami atšaukti bet kokias aktyvias sesijas, nedelsdami nustatykite slaptažodžius iš naujo. Atšaukite bet kokius įsilaužėlių pažeistose paskyrose padarytus MFA nustatymų pakeitimus. Reikalaukite iš naujo nustatyti MFA, jog MFA pasiektų numatyti naujinimai. Taip pat įsitikinkite, kad apsaugoti ir mobilieji įrenginiai, kuriais darbuotojai naudojasi, jog pasiektų įmonės tinklus.
  • „Microsoft Defender”, skirta „Office 365”, įgalinkite automatinį išvalymą: Remdamasis identiškais žinomų blogų pranešimų elementais, automatinis išvalymas suranda ir el. paštuose atlieka automatizuotus veiksmus, kurie yra sukčiavimo apsimetant kampanijos dalis.
  • Norėdami sumažinti atakų paviršius, atnaujinkite tapatybes, prieigos teises ir paskirstymo grupes: Tokie įsilaužėliai kaip „Storm-0539” mano, kad jie suras vartotojus, kurie turi pernelyg daug prieigos teisių dėl kurių dėl didelio poveikio galėtų būti pažeisti. Darbuotojų ir komandų vaidmenys gali dažnai kisti. Reguliari teisių, paskirstymo grupės narysčių ir kitų duomenų peržiūra gali padėti apriboti pradinio įsibrovimo pasekmes ir apsunkinti įsibrovėlių darbą.

Sužinokite daugiau apie „Storm-0539” ir „Microsoft” grėsmių žvalgybos ekspertus , atsidavusius kibernetinių nusikaltimų ir naujausių grėsmių sekimui.

Metodas: Trumpa apžvalga ir statistiniai duomenys rodo, kad padaugėjo pranešimų ir pastabų apie grėsmių sukėlėją „Storm-0539”. Šie skaičiai rodo padidėjusį darbuotojų skaičių ir išteklius, išleistus šios grupės stebėjimui. „Azure Active Directory“ pateikė anoniminius duomenis apie grėsmių veiklą, pavyzdžiui, kenkėjiškas el. pašto paskyras, apgaulingus el. laiškus ir įsilaužėlių judėjimą tinkluose. Papildomos įžvalgos gaunamos iš kasdien gaunamų 78 trilijonų saugos signalų, kuriuos „Microsoft” apdoroja kiekvieną dieną, įskaitant debesį, galutinius rezultatus, išmaniąją analizę ir diagnostikos duomenis iš „Microsoft” platformų ir paslaugų, įskaitant „Microsoft Defender”.

„Cyber Signals” Sukčiavimas apsimetant Grėsmių sukėlėjai

Susiję straipsniai

Susipažinkite su ekspertais, sekančiais „Storm-0539” su dovanų kortelėmis susijusius sukčiavimus

Su tarptautiniais santykiais, federaline teisėsauga, saugumu ir vyriausybe susijusios patirties turintys „Microsoft” grėsmių žvalgybos analitikai Alison Ali, Waymon Ho ir Emiel Haeghebaert turi daugybę unikalių įgūdžių su mokėjimo ir dovanų kortelių sukčiavimais susijusio grėsmių sukėlėjo – „Storm-0539” sekimui.
Sužinokite daugiau

Naudojimasis pasitikėjimo ekonomika: socialinės inžinerijos sukčiavimas

Susipažinkite su besikeičiančia skaitmenine aplinka, kurioje pasitikėjimas yra ir valiuta, ir pažeidžiamumas. Sužinokite, kokias socialinės inžinerijos sukčiavimo taktikas kibernetiniai įsilaužėliai naudoja dažniausiai, ir peržiūrėkite strategijas, padėsiančias atpažinti ir įveikti socialinės inžinerijos grėsmes, kuriomis siekiama manipuliuoti žmogaus prigimtimi.
Sužinokite daugiau

Pasikeitusi taktika skatina verslo el. pašto kompromitavimo augimą

Pastaruoju metu verslo el. pašto pažeidimų (BEC) daugėja, nes kibernetiniai nusikaltėliai gali paslėpti savo atakų šaltinį ir elgtis dar įžūliau. Sužinokite apie CaaS ir kaip geriau apsaugoti savo organizaciją.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą