Trace Id is missing

Meer over het groeiende risico van fraude met cadeaukaarten

Download
Deel
Een laptop waaruit cadeaukaarten en creditcards vliegen

Cyber Signals - Editie 7: In het hol van de leeuw

In een tijdperk waarin digitale transacties en online winkelen belangrijke delen van ons dagelijks leven zijn geworden, doemt de bedreiging van cybercriminaliteit op. Eén van deze bedreigingen is de hardnekkige en zich ontwikkelende fraude met cadeau- en betaalkaarten, bijvoorbeeld die van creditcardbedrijven en van retailers. Criminelen gebruiken steeds geavanceerdere methoden om in te breken bij portals voor cadeaukaarten. Vervolgens zetten ze gestolen cadeaukaarten om in contant geld dat bijna niet te traceren is.

Deze editie van Cyber Signals gaat dieper in op de tactieken, technieken en procedures van een specifieke bedreigingsactor in de cybercriminaliteit. Microsoft noemt deze actor Storm-0539, maar de groep is ook bekend als Atlas Lion. We behandelen de activiteiten van Storm-0539 in de wereld van diefstal van cadeaukaarten, de details van de gebruikte methoden en de implicaties voor individuen, bedrijven en het cyberbeveiligingslandschap.

Storm-0539 is door de jaren heen relevant gebleven door zich steeds aan het altijd veranderende criminaliteitslandschap aan te passen. Via een labyrintisch netwerk van versleutelde kanalen en ondergrondse forums organiseren ze illegale activiteiten, waarbij ze technologische hiaten en slimme social engineering-campagnes voeren om hun operatie te schalen.

Hoewel veel bedreigingsactoren in de cybercriminaliteit kiezen voor de weg met de minste weerstand (om snel te verdienen en te focussen op schaal), laat Storm-0539 zien dat ze stil en productief gefocust zijn op inbraken bij cadeaukaartsystemen en het compromitteren van transacties. Deze tegenstander valt meedogenloos verstrekkers van cadeaukaarten aan via technieken die ze in gebruik nemen om het tempo van de veranderingen in de detailhandel, in betalingen en andere gerelateerde sectoren bij te houden.

We zijn allemaal verdedigers.

In het verleden voerde Storm-0539 meer aanvallen uit in de aanloop naar belangrijke vakantieseizoenen. Tussen maart en mei 2024, in de aanloop naar de zomervakantie, observeerde Microsoft een toename van 30% in de inbraakactiviteiten van Storm-0539. Tussen september en december 2023 observeerde Microsoft een toename van 60% in de aanvalsactiviteiten, in de perioden van de herfst- en wintervakantie.

  • 30 procent toename in de inbraakactiviteiten van Storm-0539, tussen maart en mei 2024
  • 60 procent toename in de inbraakactiviteiten van Storm-0539, tussen september en december 2023

Aanvallers verfijnen diefstallen van cadeau- en betaalkaarten

Storm-0539 handelt vanuit Marokko en is betrokken in financiële misdaden zoals fraude met cadeaukaarten. De technieken die ze gebruiken zijn onder ander phishing, smishing, het registreren van hun eigen apparaten in omgevingen van slachtoffers om blijvende toegang te krijgen, en het gebruikmaken van toegang om organisaties (derden) aan te vallen. Ze registreren apparaten zodat prompts voor meervoudige verificatie (die bedoeld zijn voor het slachtoffer waarbij is ingebroken) worden omgeleid naar het apparaat van de aanvaller. Door het registreren van een apparaat kunnen ze een identiteit volledig compromitteren en in de cloudomgeving actief blijven. 

Deze groep cybercriminelen is actief sinds eind 2021 en vertegenwoordigt een ontwikkeling van bedreigingsactoren die zich focussen op het aanvallen van betaalkaartaccounts en -systemen. In het verleden stalen aanvallers betaalkaartgegevens meestal via malware bij verkooppunten. Op het moment dat de sectoren meer aandacht gaven aan het versterken van de verdediging van hun verkooppunten, paste Storm-0539 hun aanvalstechnieken aan. Nu richten ze zich op het inbreken bij cloud- en identiteitsservices voor criminele aanvallen op portals voor cadeaukaarten van grote retailers, luxueuze merken en bekende fastfoodrestaurants.

Fraude met cadeau- en betaalkaarten wordt vaak gerelateerd aan geavanceerde malware- en phishingcampagnes. Deze groep maakt echter gebruik van diepe kennis van de cloud om op verkenning te gaan voor nog meer informatie over uitgifteprocessen van organisaties voor cadeaukaarten, portals voor cadeaukaarten en werknemers met toegang tot cadeaukaarten.

De aanvalsketen bestaat meestal uit de volgende acties:
  • Storm-0539 valt persoonlijke en zakelijke mobiele telefoons van werknemers aan met smishingberichten door gebruik te maken van mappen en planningen van werknemers, contactpersonenlijsten en e-mailpostvakken. 
  • Zodra een werknemersaccount van een aangevallen organisatie is geïnfiltreerd, verplaatsen de aanvallers zich lateraal door het netwerk en proberen ze zakelijke processen voor cadeaukaarten te identificeren en dichterbij gecompromitteerde accounts te komen die zijn gekoppeld aan deze specifieke portfolio. 
  • Ze verzamelen ook informatie over virtuele machines, VPN-verbindingen, SharePoint- en OneDrive-bronnen en Salesforce-, Citrix- en andere externe omgevingen. 
  • Nadat ze toegang hebben verkregen, maakt de groep nieuwe cadeaukaarten via gecompromitteerde werknemersaccounts. 
  • Vervolgens wisselen ze de waarde van deze kaarten in, verkopen ze de kaarten op zwarte markten aan andere bedreigingsactoren of gebruiken ze geldezels om de cadeaukaarten om te zetten in contant geld.
Afbeelding met twee telefoons met smishingberichten van Storm-0539 die de helpdesk van het bedrijf van de aangevallen werknemer imiteren.
Smishingberichten van Storm-0539 die de helpdesk van het bedrijf van de aangevallen werknemer imiteren.

De verkenning door Storm-0539 en het vermogen om gebruik te maken van cloudomgevingen, zijn vergelijkbaar met activiteiten van door een natiestaat gesponsorde bedreigingsactoren die Microsoft observeert. Deze activiteiten laten zien dat financieel gemotiveerde criminelen van nu worden beïnvloed door technieken die populair zijn gemaakt door op spionage en op geopolitiek gefocuste tegenstanders.

Storm-0539 maakt bijvoorbeeld gebruik van kennis van cloudsoftware, identiteitssystemen en toegangsbevoegdheden om aan te vallen waar cadeaukaarten worden gemaakt, in plaats van alleen te focussen op de eindgebruiker. Deze activiteit is een trend die we waarnemen bij groepen die niet van een natiestaat zijn, bijvoorbeeld Octo Tempest en Storm-0539. Deze groepen zijn tactisch bedreven in cloudresources, net zoals geavanceerde actoren die door een staat worden gesponsord.

Ter camouflage en om onopgemerkt te blijven, presenteert Storm-0539 zichzelf als legitieme organisaties aan cloudproviders. Op die manier verkrijgen ze tijdelijk toepassingen, opslag en andere initiële gratis resources voor hun aanvallen.

Als onderdeel van deze inspanning maken ze nepwebsites die goede doelen, dierenasielen en andere non-profitorganisaties in de Verenigde Staten imiteren. Deze websites worden meestal geregistreerd met gebruik van 'typosquatting', een misleidende praktijk waarbij individuen domeinen registreren met een veelgemaakte typfout in de naam van de echte organisatie. Gebruikers kunnen worden misleid om deze frauduleuze websites te bezoeken en persoonlijke gegevens of professionele referenties in te voeren.

De fraudewerkset van de groep is nog uitgebreider. Microsoft heeft waargenomen dat Storm-0539 legitieme exemplaren van 501(c)(3)-brieven downloadt van openbare websites van non-profitorganisaties. Deze brieven zijn uitgegeven door de belastingdienst van de Verenigde Staten, de IRS. Met een exemplaar van een legitieme 501(c)(3)-brief en een overeenkomend domein als imitatie van de non-profitorganisatie aan welke de brief is uitgegeven, benaderen ze belangrijke cloudproviders voor technologieservices die gesponsord worden of vaak met korting aan non-profitorganisaties worden aangeboden.

Een infographic met hoe Storm-0539 opereert.
Storm-0539 opereert vanuit gratis proefversies, abonnementen met betalen per gebruik en gecompromitteerde cloudresources. We hebben ook waargenomen dat Storm-0539 legitieme non-profitorganisaties imiteert voor sponsoring van non-profitorganisaties door verschillende cloudproviders.

De groep maakt ook gratis proefversies of studentenaccounts op cloudserviceplatformen die nieuwe klanten meestal 30 dagen toegang geven. In deze accounts maken ze virtuele machines van waaruit ze hun doelgerichte operaties starten. Door de vaardigheden van Storm-0539 in het compromitteren en maken van een aanvalsinfrastructuur in de cloud, kunnen ze kosten vooraf voorkomen in de economie van cybercriminaliteit (bijvoorbeeld kosten voor hosts en servers). De groep probeert de kosten te minimaliseren en de efficiëntie te maximaliseren.

Microsoft beoordeelt dat Storm-0539 uitgebreid verkent in de federale id-serviceproviders van doelgerichte bedrijven, zodat ze overtuigend de aanmeldingservaring van gebruikers kunnen imiteren. Deze imitatie bestaat uit het uiterlijk van de adversary-in-the-middle (AiTM)-pagina en uit het gebruik van de geregistreerde domeinen die veel lijken op die van legitieme services. In andere gevallen om de AiTM-landingspagina te maken, heeft Storm-0539 WordPress-domeinen gecompromitteerd die onlangs legitiem zijn geregistreerd.

Aanbevelingen

  • Tokenbeveiliging en toegang met strikt noodzakelijke bevoegdheden: Gebruik beleid om te beschermen tegen replay-aanvallen met tokens door het token te binden aan het apparaat van de legitieme gebruiker. Pas principes voor strikt noodzakelijke bevoegdheden toe op de volledige technologiestack om de potentiële impact van een aanval te minimaliseren.
  • Neem een beveiligd cadeaukaartenplatform in gebruik en implementeer oplossingen voor fraudebescherming: Overweeg over te stappen op een systeem dat is ontworpen om betalingen te authenticeren. Winkeliers kunnen ook fraudebeschermingsfuncties integreren om verliezen te minimaliseren.
  • Phishingbestendige meervoudige verificatie: Maak de overgang naar phishingbestendige referenties die immuun zijn voor verschillende aanvallen, bijvoorbeeld FIDO2-beveiligingssleutels.
  • Vereis een wachtwoordwijziging ter beveiliging wanneer het risiconiveau van de gebruiker hoog is: Meervoudige verificatie van Microsoft Entra is vereist voordat de gebruiker een nieuw wachtwoord kan maken, met wachtwoord terugschrijven om de risicogebeurtenis te herstellen.
  • Train werknemers: Winkeliers moeten werknemers trainen zodat ze potentiële scams met cadeaukaarten herkennen en verdachte orders weigeren.

Verweren tegen de storm: Verdedigen tegen Storm-0539

Cadeaukaarten zijn aantrekkelijke doelen voor fraude, omdat ze in tegenstelling tot creditcards en betaalkaarten geen klantnamen of rekeningnummers vermelden op de kaart. Microsoft ziet een toename in de activiteiten van Storm-0539 met de focus op deze sector rond het feestdagenseizoen. Feestdagen zoals Memorial Day, Labor Day en Thanksgiving in de Verenigde Staten, en Black Friday en wintervakanties over de hele wereld, worden vaak gerelateerd aan een toename in de activiteiten van de groep.

Organisaties stellen meestal een limiet voor de geldelijke waarde die een individuele uitgegeven cadeaukaart kan hebben. Als de limiet bijvoorbeeld USD 100.000 is, geeft de bedreigingsactor een kaart uit met een waarde van USD 99.000 om vervolgens de code van die cadeaukaart naar zichzelf te verzenden en die te monetariseren. De primaire motivatie is om cadeaukaarten te stelen en winst te maken door ze online te verkopen tegen een tarief met korting. We hebben een aantal voorbeelden waargenomen waarbij de bedreigingsactor tot USD 100.000 per dag heeft gestolen van bepaalde bedrijven.

Om te verdedigen tegen deze aanvallen en om te voorkomen dat deze groep ongeoorloofde toegang tot afdelingen die werken met cadeaukaarten krijgt, moeten bedrijven die cadeaukaarten uitgeven hun portals voor cadeaukaarten behandelen als hoogwaardige doelwitten. Ze moeten nauwlettend bewaakt worden en voortdurend gecontroleerd worden op afwijkende activiteit.

Elke organisatie die cadeaukaarten maakt of uitgeeft, kan geholpen zijn met de implementatie van controles en balanceringen om te voorkomen dat portals voor cadeaukaarten en andere hoogwaardige doelwitten snel toegankelijk zijn, zelfs als een account is gecompromitteerd. Bewaak voortdurend logboeken om verdachte aanmeldingen te identificeren, en bewaak andere algemene initiële toegangsvectoren die afhankelijk zijn van gecompromitteerde cloudidentiteiten. Implementeer beleid voor voorwaardelijke toegang dat aanmeldingen beperkt en risicovolle aanmeldingen markeert.

Organisaties moeten ook overwegen om meervoudige verificatie aan te vullen met beleid voor voorwaardelijke toegang. Bijvoorbeeld waar verificatieaanvragen worden geëvalueerd met gebruik van aanvullende identiteitsgebaseerde signalen zoals locatiegegevens van het IP-adres of de apparaatstatus.

Een andere tactiek die deze aanvallen kan tegenhouden, is een klantverificatieproces voor het kopen van domeinen. Regelgeving en leveranciersbeleid voorkomen niet consistent het kwaadaardige typosquatting wereldwijd, wat betekent dat deze misleidende websites populair kunnen blijven voor het schalen van cyberaanvallen. Verificatieprocessen voor het maken van domeinen kunnen helpen om het aantal websites die gemaakt worden om slachtoffers te misleiden terug te dringen.

Naast misleidende domeinnamen heeft Microsoft ook waargenomen dat Storm-0539 legitieme, interne adressenlijsten van bedrijven gebruikt om phishingberichten te verspreiden. Ze doen dit zodra ze een vaste voet in een bedrijf hebben en de distributielijsten en andere zakelijke normen begrijpen.

Phishing via een legitieme distributielijst voegt een extra laag toe aan de authenticiteit van kwaadaardige inhoud. Daarnaast helpt het de inhoud preciezer te richten op meer individuen met toegang tot referenties, relaties en informatie die Storm-0539 kan gebruiken voor meer persistentie en een groter bereik.

Wanneer gebruikers op de koppelingen in de phishing-e-mails of -berichten klikken, worden ze omgeleid naar een AiTM-phishingpagina voor referentiediefstal en secundair voor het bemachtigen van verificatietokens. Retailers worden aangemoedigd om personeel te trainen in hoe scams met smishing en phishing werken, hoe ze die identificeren en hoe ze die melden.

Bedreigingsactoren die met ransomware gegevens versleutelen en stelen en je vervolgens onder druk zetten om te betalen, hebben nadrukkelijk een andere werkwijze dan Storm-0539. Ransomware wordt luidruchtig gebruikt in vergelijking met de verkenning in cloudomgevingen door Storm-0539, een actor die in stilte informatie verzamelt en misbruik maakt van de cloud- en identiteitsinfrastructuur om de einddoelen te behalen.

Operaties van Storm-0539 zijn overtuigend vanwege het gebruik van legitieme maar gecompromitteerde e-mails en de imitatie van legitieme platformen die door het aangevallen bedrijf worden gebruikt. Sommige bedrijven kunnen verloren cadeaukaarten terugvorderen. Dat vereist wel een grondig onderzoek om te bepalen welke cadeaukaarten de bedreigingsactor heeft uitgegeven.

Microsoft Bedreigingsinformatie heeft meldingen verzonden naar organisaties die zijn getroffen door Storm-0539. Deels door het delen van deze informatie en samenwerking, hebben we in de afgelopen maanden waargenomen dat grote retailers effectiever kunnen waken voor de activiteiten van Storm-0539.

Een infographic met de inbraakcyclus van Storm-0539. Beginnend met 'Phishing/smishing', gevolgd door 'Toegang tot cloudresources', 'Impact (gegevensexfiltratie en diefstal van cadeaukaarten)' en 'Informatie voor toekomstige aanvallen'. 'Identiteit' blijft in het midden van de graphic.
De inbraakcyclus van Storm-0539.

Aanbevelingen

  • Stel wachtwoorden opnieuw in voor gebruikers die zijn gerelateerd aan phishing- en AiTM-activiteiten: Stel wachtwoorden onmiddellijk opnieuw in om actieve sessies in te trekken. Trek wijzigingen in instellingen van meervoudige verificatie in als ze zijn aangebracht door de aanvaller in gecompromitteerde accounts. Vereis opnieuw meervoudige verificatie als standaardinstelling voor updates in de meervoudige verificatie. Zorg er ook voor dat mobiele apparaten die werknemers gebruiken voor toegang tot bedrijfsnetwerken gelijkwaardig worden beveiligd.
  • Schakel Zero-Hour Auto Purge (ZAP) in Microsoft Defender voor Office 365 in: ZAP vindt en verwijdert geautomatiseerde acties in e-mails die een onderdeel zijn van de phishingcampagne op basis van identieke elementen uit bekende schadelijke berichten.
  • Werk identiteiten, toegangsbevoegdheden en distributielijsten bij om kwetsbaarheden voor aanvallen te minimaliseren: Aanvallers zoals Storm-0539 gaan ervan uit dat ze gebruikers met uitgebreide toegangsbevoegdheden vinden, die ze kunnen compromitteren voor een enorme impact. Werknemers- en teamrollen kunnen vaak wisselen. Door regelmatig bevoegdheden, lidmaatschappen van distributielijsten en andere kenmerken te controleren, kan de uitval door een initiële inbreuk worden beperkt en maak je het werk van de indringer moeilijker.

Lees meer over Storm-0539 en de Microsoft Bedreigingsinformatie-experts die zijn toegewijd aan het bijhouden van cybercriminaliteit en de meest recente bedreigingen.

Methodologie: De momentopname en statistische gegevens op de omslag geven een toename weer in meldingen van en waarnemingen door onze klanten van de bedreigingsactor Storm-0539. Deze getallen reflecteren een toename in het personeel en de resources die worden besteed aan het bewaken van deze groep. Azure Active Directory leverde geanonimiseerde gegevens over bedreigingsactiviteiten, zoals schadelijke e-mailaccounts, phishing-e-mails en bewegingen van aanvallers binnen netwerken. Aanvullende inzichten zijn afkomstig van de 78 biljoen dagelijkse beveiligingssignalen die Microsoft elke dag verwerkt, inclusief signalen vanuit de cloud, eindpunten, de intelligente rand en telemetrie van Microsoft-platformen en -services, waaronder Microsoft Defender.

Cyber Signals Phishing Bedreigingsactoren

Verwante artikelen

Maak kennis met de experts die de Storm-0539-fraude met cadeaukaarten bijhouden

Microsoft Bedreigingsinformatie-analisten Alison Ali, Waymon Ho en Emiel Haeghebaert hebben achtergronden in internationale betrekkingen, federale rechtshandhaving, beveiliging en de overheid. Samen bieden ze een reeks unieke vaardigheden om Storm-0539 bij te houden, een bedreigingsactor die is gespecialiseerd in diefstal van betaalkaarten en fraude met cadeaukaarten.
Meer informatie

Misbruik maken van de vertrouwenseconomie: fraude via social engineering

Verken een zich ontwikkelend digitaal landschap waarin vertrouwen zowel een valuta als een beveiligingsprobleem is. Ontdek de fraudetactieken met social engineering die cyberaanvallers het meest gebruiken en bekijk strategieën die je kunnen helpen om bedreigingen met social engineering (ontworpen om personen te misleiden) te identificeren en te slim af te zijn.
Meer informatie

Veranderingen in tactiek dragen bij aan het stijgende aantal gevallen van inbreuk op zakelijke e-mail

Inbreuk op zakelijke e-mail (Business Email Compromise, of BEC) is bezig met een opmars nu cybercriminelen de bron van hun malafide aanvallen kunnen verhullen. Lees meer over CaaS en hoe je je organisatie kunt helpen beveiligen.
Meer informatie

Volg Microsoft Beveiliging