Trace Id is missing
Przejdź do głównej zawartości
Security Insider

O rosnącym ryzyku związanym z oszustwami dotyczącymi kart podarunkowych

Pobierz
Udostępnij
Laptop z wylatującymi z niego kartami podarunkowymi i kredytowymi

Cyber Signals: numer 7. Wejście do jaskini lwa

W czasach, w których transakcje cyfrowe i zakupy online stały się integralną częścią naszego codziennego życia, krąży zagrożenie cyber­przestępczością. Wśród istniejących niebezpieczeństw można wyróżnić powszechne i ewoluujące oszustwa związane z kartami podarunkowymi i płatniczymi,w tym zarówno pochodzącymi od firm obsługujących karty kredytowe, jak i od sprzedawców detalicznych. Przestępcy stosują coraz bardziej wyrafinowane metody, aby naruszyć bezpieczeństwo portali oferujących karty podarunkowe i zamienić je w niemal niemożliwą do wyśledzenia gotówkę.

Ten numer Cyber Signals jest poświęcony taktykom, technikom i procedurom działania grupy cyberprzestępców, którą Microsoft nazywa Storm-0539, znanej również jako Atlas Lion, a także jej aktywności w dziedzinie kradzieży kart podarunkowych, zawiłościom stosowanych metod oraz konsekwencjom dla ludzi, firm i krajobrazu cyberbezpieczeństwa.

Grupa Storm-0539 pozostawała aktywna przez lata, dostosowując się do stale zmieniającego się krajobrazu przestępczego. Za pośrednictwem labiryntowej sieci zaszyfrowanych kanałów i podziemnych forów grupa organizuje nielegalne przedsięwzięcia, wykorzystując luki technologiczne i wdrażając sprytne kampanie korzystające z inżynierii społecznej w celu skalowania swojej działalności.

Chociaż wielu cyberprzestępców podąża ścieżką najmniejszego oporu, aby uzyskać szybkie zyski i skupić się na skali, grupa Storm-0539 przejawia ciche i wydajne ukierunkowanie na naruszania bezpieczeństwa systemów kart podarunkowych i transakcji. Ten przeciwnik nieustannie atakuje wydawców kart podarunkowych, dostosowując używane techniki, aby dotrzymać kroku zmianom w handlu detalicznym, płatnościach i innych powiązanych branżach.

Wszyscy jesteśmy obrońcami.

Historycznie rzecz biorąc, grupa Storm-0539 zwiększa aktywność ataków przed głównymi okresami wakacyjnymi. Między marcem a majem 2024 r., przed letnim sezonem wakacyjnym, firma Microsoft zaobserwowała 30-procentowy wzrost aktywności włamań dokonywanych przez Storm-0539. Między wrześniem a grudniem 2023 r. zaobserwowaliśmy 60-procentowy wzrost aktywności ataków, co zbiegło się z wakacjami jesiennymi i zimowymi.

  • 30-procentowy wzrost aktywności związanej z włamaniami grupy Storm-0539 między marcem a majem 2024 r.
  • 60-procentowy wzrost aktywności związanej z włamaniami grupy Storm-0539 między wrześniem a grudniem 2023 r.

Atakujący udoskonalają sposoby kradzieży kart podarunkowych i płatniczych

Grupa Storm-0539 operuje z Maroka i jest zaangażowana w przestępstwa finansowe, takie jak oszustwa związane z kartami podarunkowymi. Jej techniki obejmują phishing, smishing, rejestrowanie własnych urządzeń w środowiskach ofiar w celu uzyskania stałego dostępu oraz wykorzystywanie dostępu do docelowych organizacji zewnętrznych. Grupa rejestruje urządzenia tak, aby monity uwierzytelniania wieloskładnikowego (MFA) powiązane z zaatakowanym kontem ofiary trafiały na urządzenie atakującego. Rejestracja urządzenia pozwala im całkowicie naruszyć bezpieczeństwo tożsamości i przetrwać w środowisku chmury. 

Ta aktywna od końca 2021 r. grupa cyberprzestępcza obrazuje ewolucję źródeł zagrożeń skoncentrowanych na atakowaniu kont i systemów kart płatniczych. W przeszłości atakujący często naruszali bezpieczeństwo danych kart płatniczych za pomocą złośliwego oprogramowania w punktach sprzedaży (POS). Jednak w miarę jak branże wzmacniały zabezpieczenia POS, grupa Storm-0539 dostosowywała swoje techniki ataku, aby zagrozić usługom w chmurze i związanym z tożsamością i zyskać możliwość atakowania portali operatorów kart podarunkowych powiązanych z dużymi detalistami, luksusowymi markami i znanymi restauracjami typu fast food.

Historycznie rzecz biorąc, oszustwa związane z kartami płatniczymi i podarunkowymi wiążą się z wyrafinowanym złośliwym oprogramowaniem i kampaniami phishingowymi. Grupa wykorzystuje jednak swoją dogłębną wiedzę na temat chmury, aby przeprowadzić rozpoznanie dotyczące procesów wydawania kart podarunkowych w organizacji, portali kart podarunkowych i pracowników mających dostęp do kart podarunkowych.

Zazwyczaj łańcuch ataku obejmuje następujące działania:
  • Wykorzystując spisy, harmonogramy, listy kontaktów i skrzynki odbiorcze poczty e-mail pracowników, grupa Storm-0539 atakuje ich osobiste i służbowe telefony komórkowe za pomocą SMS-ów smishingowych. 
  • Po infiltracji konta pracownika w docelowej organizacji atakujący poruszają się po sieci w poziomie, próbując zidentyfikować proces biznesowy związany z kartami podarunkowymi, kierując się w stronę kont z naruszonymi zabezpieczeniami powiązanych z tym konkretnym obszarem działalności. 
  • Cyberprzestępcy zbierają również informacje o maszynach wirtualnych, połączeniach VPN, zasobach SharePoint i OneDrive, a także Salesforce, Citrix i innych środowiskach zdalnych. 
  • Po uzyskaniu dostępu grupa tworzy nowe karty podarunkowe przy użyciu kont pracowników z naruszonymi zabezpieczeniami. 
  • Następnie atakujący realizują wartość związaną z tymi kartami, sprzedają karty podarunkowe na czarnym rynku innym podmiotom stanowiącym źródła zagrożeń lub wykorzystują „słupy” do realizacji kart podarunkowych.
Obraz pokazujący dwa telefony z wiadomościami mającymi na celu wyłudzanie informacji przez SMS wysyłane przez grupę Storm-0539, wykorzystujące podszywanie się pod pracowników firmowego działu pomocy technicznej.
Wiadomości mające na celu wyłudzanie informacji przez SMS wysyłane przez grupę Storm-0539, wykorzystujące podszywanie się pod pracowników firmowego działu pomocy technicznej.

Prowadzone przez grupę Storm-0539 rozpoznanie i jej zdolności do wykorzystywania środowisk chmurowych są podobne do tego, co firma Microsoft obserwuje u źródeł zagrożeń sponsorowanych przez państwa narodowe. Obrazuje to sposób, w jaki techniki spopularyzowane przez przeciwników zajmujących się szpiegostwem i geopolityką wpływają teraz na przestępców motywowanych finansowo.

Grupa Storm-0539 wykorzystuje na przykład swoją wiedzę na temat oprogramowania opartego na chmurze, systemów tożsamości i uprawnień dostępu, aby atakować miejsca, w których są tworzone karty podarunkowe, zamiast skupiać wyłącznie na użytkowniku końcowym. Jest to trend, który obserwujemy wśród grup niepaństwowych, takich jak Octo Tempest i Storm-0539, które są taktycznie dobrze zorientowane w zasobach chmurowych, podobnie jak zaawansowane podmioty sponsorowane przez państwo.

Aby się zakamuflować i pozostać niewykrytą, grupa Storm-0539 przedstawia się dostawcom usług w chmurze jako legalna organizacja, aby uzyskać tymczasowe aplikacje, pamięć masową i inne początkowe bezpłatne zasoby na potrzeby swoich działań związanych z atakami.

W ramach tych działań cyberprzestępcy tworzą witryny internetowe, które podszywają się pod organizacje charytatywne, schroniska dla zwierząt i inne organizacje non-profit w Stanach Zjednoczonych, zazwyczaj za pomocą typosquattingu — oszukańczej praktyki, w ramach której osoby fizyczne rejestrują powszechnie występującą błędną pisownię domeny organizacji jako własną, aby nakłonić użytkowników do odwiedzania fałszywych witryn i wprowadzania danych osobowych lub poświadczeń firmowych.

Firma Microsoft zaobserwowała też, że w celu powiększenia zestawu narzędzi stosowanych w oszustwach grupa Storm-0539 pobiera legalne kopie pism 501(c)(3) wydanych przez Urząd skarbowy Stanów Zjednoczonych ) z publicznych stron internetowych organizacji non-profit. Uzbrojeni w kopię legalnego pisma 501(c)(3) i pasującą domenę podszywającą się pod organizację non-profit, dla której wydano to pismo, cyberprzestępcy zwracają się do głównych dostawców usług w chmurze w celu uzyskania sponsorowanych lub zniżkowych usług technologicznych często oferowanych tego rodzaju organizacjom.

Infografika przedstawiająca sposób działania grupy Storm-0539.
Storm-0539 działa w oparciu o bezpłatne wersje próbne, subskrypcje płatne zgodnie z rzeczywistym użyciem i zasoby w chmurze z naruszonymi zabezpieczeniami. Zaobserwowaliśmy również podszywanie się grupy Storm-0539 pod legalne organizacje non-profit w celu uzyskania sponsoringu non-profit od kilku dostawców usług w chmurze.

Grupa wykorzystuje również bezpłatne okresy próbne lub konta studenckie na platformach usług w chmurze, które zazwyczaj zapewniają nowym klientom 30-dniowy dostęp. W ramach tych kont cyberprzestępcy tworzą maszyny wirtualne, z których prowadzą swoje ukierunkowane operacje. Umiejętność grupy Storm-0539 w zakresie naruszania zabezpieczeń i tworzenia infrastruktury ataków w chmurze pozwala im uniknąć typowych kosztów początkowych w gospodarce cyberprzestępczej, takich jak płacenie za hosty i serwery, ponieważ starają się zminimalizować koszty i zmaksymalizować efektywność.

Firma Microsoft ocenia, że grupa Storm-0539 przeprowadza szeroko zakrojone rozpoznanie w zakresie dostawców federacyjnych usług tożsamości w docelowych firmach, aby przekonująco naśladować logowanie użytkownika, w tym nie tylko poprzez wygląd strony adversary-in-the-middle (AiTM), ale także przez wykorzystanie zarejestrowanych domen, które ściśle odpowiadają rzeczywistym usługom. W niektórych przypadkach grupa Storm-0539 naruszyła zabezpieczenia rzeczywistych, niedawno zarejestrowanych domen WordPress w celu utworzenia strony docelowej AiTM.

Rekomendacje

  • Ochrona tokenów i dostęp z najmniejszymi uprawnieniami. Stosuj zasady w celu ochrony przed atakami polegającymi na odtwarzaniu tokenów poprzez powiązanie tokena z urządzeniem uprawnionego użytkownika. Stosuj zasady dostępu z najmniejszymi uprawnieniami w całym stosie technologii, aby zminimalizować potencjalny wpływ ataku.
  • Przyjęcie bezpiecznej platformy kart podarunkowych i wdrożenie rozwiązań chroniących przed oszustwami. Rozważ przejście na system przeznaczony do uwierzytelniania płatności. Sprzedawcy mogą również zintegrować funkcje ochrony przed oszustwami, aby zminimalizować straty.
  • Uwierzytelnianie wieloskładnikowe odporne na ataki phishingowe. Przejście na poświadczenia odporne na phishing i inne formy ataków, takie jak klucze zabezpieczeń FIDO2.
  • Wymaganie bezpiecznej zmiany hasła w przypadku, gdy poziom ryzyka użytkownika jest wysoki. Uwierzytelnienie wieloskładnikowe Microsoft Entra jest wymagane, zanim użytkownik będzie mógł utworzyć nowe hasło z zapisem zwrotnym hasła w celu ograniczenia ryzyka.
  • Edukowanie pracowników. Sprzedawcy powinni przeszkolić pracowników w zakresie rozpoznawania potencjalnych oszustw związanych z kartami podarunkowymi i odrzucania podejrzanych zamówień.

Przetrwać burzę. Obrona przed Storm-0539

Karty podarunkowe są atrakcyjnym celem oszustw, ponieważ w przeciwieństwie do kart kredytowych i debetowych nie są do nich przypisane nazwiska klientów ani konta bankowe. Firma Microsoft obserwuje sezonowy wzrost aktywności grupy Storm-0539 skoncentrowanej na tej branży w okresach świątecznych. Dzień Pamięci, Święto Pracy i Święto Dziękczynienia w Stanach Zjednoczonych, a także Czarny Piątek i ferie zimowe na całym świecie zwykle wiążą się ze zwiększoną aktywnością tej grupy.

Zazwyczaj organizacje ustalają limit wartości gotówki, która może zostać wydana na pojedynczą kartę podarunkową. Na przykład, jeśli ten limit wynosi 100 000 USD, źródło zagrożenia wyda kartę na 99 000 USD, a następnie prześle sobie kod karty podarunkowej i spienięży ją. Główną motywacją jest kradzież kart podarunkowych i czerpanie zysków z ich sprzedaży online po obniżonej cenie. Widzieliśmy kilka sytuacji, w których cyberprzestępcy kradli w niektórych firmach nawet 100 000 USD dziennie.

Aby bronić się przed takimi atakami i uniemożliwić tej grupie uzyskanie nieautoryzowanego dostępu do działów kart podarunkowych, firmy wydające karty podarunkowe powinny traktować swoje portale kart podarunkowych jako cele o wysokiej wartości. Powinny one być ściśle monitorowane i stale kontrolowane pod kątem wszelkich anomalii.

Dla każdej organizacji tworzącej lub wydającej karty podarunkowe pomocne może być wdrożenie środków kontroli i równowagi, aby zapobiec szybkiemu dostępowi do portali kart podarunkowych i innych wartościowych celów, nawet jeśli zabezpieczenia określonego konta zostaną naruszone. Należy stale monitorować dzienniki w celu zidentyfikowania podejrzanych logowań i innych typowych wektorów początkowego dostępu, które bazują na naruszeniach tożsamości w chmurze, oraz wdrożyć zasady dostępu warunkowego, które ograniczają logowania i oznaczają ich próby będące zagrożeniem.

Organizacje powinny również rozważyć uzupełnienie uwierzytelniania wieloskładnikowe o zasady dostępu warunkowego, w których żądania uwierzytelnienia są oceniane z użyciem dodatkowych sygnałów opartych na tożsamości, takich jak, między innymi, informacje o lokalizacji adresu IP lub statusie urządzenia.

Inną taktyką, która mogłaby pomóc w ograniczeniu tych ataków, jest proces weryfikacji klienta przy zakupie domen. Przepisy i zasady dostawców mogą nie zapobiegać złośliwym praktykom typosquattingu na całym świecie, co oznacza, że tego rodzaju zwodnicze witryny internetowe mogą pozostać popularne dla celów skalowania cyberataków. Procesy weryfikacji przy tworzeniu domen mogłyby pomóc ograniczyć liczbę witryn tworzonych wyłącznie w celu oszukiwania ofiar cyberataku.

Według obserwacji firmy Microsoft grupa Storm-0539, obok wprowadzających w błąd nazw domen, wykorzystuje również rzeczywiste wewnętrzne listy mailingowe firmy do rozpowszechniania wiadomości phishingowych, gdy tylko cyberprzestępcy zdobędą przyczółek w firmie i zrozumieją działanie jej list dystrybucyjnych oraz innych norm biznesowych.

Wyłudzanie informacji za pośrednictwem prawidłowej listy dystrybucyjnej nie tylko dodaje kolejną warstwę autentyczności do złośliwych treści, ale także pomaga udoskonalić kierowanie treści do większej liczby osób z dostępem do poświadczeń, relacji i informacji, na bazie których grupa Storm-0539 buduje trwałość i zasięg.

Gdy użytkownicy klikają linki zawarte w wiadomościach phishingowych lub SMS-ach, są przekierowywani na stronę phishingową AiTM w celu kradzieży poświadczeń i przechwycenia tokena uwierzytelniania wtórnego. Zachęcamy sprzedawców detalicznych do edukowania pracowników w zakresie tego, jak działają oszustwa typu smishing/phishing, jak je identyfikować i jak je zgłaszać.

Należy podkreślić, że w przeciwieństwie do głośnych źródeł zagrożeń ransomware, które szyfrują i kradną dane, a następnie nękają ofiarę o zapłacenie okupu, grupa Storm-0539 porusza się w środowisku chmury, prowadząc ciche rekonesans i wykorzystując infrastrukturę chmury oraz tożsamości, aby osiągnąć swoje cele końcowe.

Działania grupy Storm-0539 są przekonujące ze względu na wykorzystanie przez cyberprzestępców rzeczywistych adresów e-mail z naruszonymi zabezpieczeniami oraz naśladowanie autentycznych platform używanych przez firmę będącą celem. W przypadku niektórych firm straty związane z kartami podarunkowymi są możliwe do odzyskania. Wymaga to dokładnego dochodzenia w celu ustalenia, które karty podarunkowe zostały wydane przez źródło zagrożenia.

Badacze Centrum analizy zagrożeń Microsoft wystosowali powiadomienia do organizacji dotkniętych działaniami grupy Storm-0539. Częściowo dzięki tej wymianie informacji i współpracy w ostatnich miesiącach zaobserwowaliśmy wzrost zdolności głównych detalistów do skutecznego przeciwdziałania aktywności Storm-0539.

Infografika przedstawiająca cykl życia włamania Storm-0539, zaczynający się od „wyłudzania informacji / wyłudzania informacji przez SMS”, a następnie „dostępu do zasobów w chmurze”, „wpływu (eksfiltracja danych i kradzież kart podarunkowych)” i „informacji na temat przyszłych ataków”. Napis „tożsamość” znajduje się na środku grafiki.
Cykl życia włamania grupy Storm-0539.

Rekomendacje

  • Resetowanie haseł użytkowników powiązanych z phishingiem i aktywnością AiTM. Aby anulować wszystkie aktywne sesje, natychmiast zresetuj hasła. Cofnij wszelkie zmiany ustawień uwierzytelniania wieloskładnikowego wprowadzone przez atakującego na kontach z naruszonymi zabezpieczeniami. Domyślnie wymagaj ponownego wykonania uwierzytelniania wieloskładnikowego dla aktualizacji uwierzytelniania wieloskładnikowego. Upewnij się również, że urządzenia mobilne używane przez pracowników do uzyskiwania dostępu do sieci firmowych są chronione w podobny sposób.
  • Włączenie funkcji automatycznego przeczyszczania (ZAP) w ramach Ochrony usługi Office 365 w usłudze Microsoft Defender. Funkcja ZAP wyszukuje wiadomości e-mail, które są częścią kampanii phishingowej, w oparciu o identyczne elementy znanych złośliwych wiadomości i podejmuje względem nich automatyczne działania.
  • Aktualizacja tożsamości, uprawnień dostępu i list dystrybucyjnych q celu zminimalizowania powierzchni ataku. Atakujący, tacy jak grupa Storm-0539, zakładają, że znajdą użytkowników z nadmiernymi uprawnieniami dostępu, których zabezpieczenia będą mogli naruszyć, aby uzyskać duże pole działania. Role pracowników i zespołów mogą się często zmieniać. Ustanowienie regularnego przeglądu uprawnień, członkostwa w listach dystrybucyjnych i innych atrybutów może pomóc ograniczyć skutki początkowego włamania i utrudnić działanie intruzom.

Dowiedz się więcej o grupie Storm-0539 i ekspertach Centrum analizy zagrożeń Microsoft zajmujących się śledzeniem cyber­przestępczości i najnowszych zagrożeń.

Metodologia: Dane dotyczące migawek i statystyk obejmują wzrost liczby powiadomień od naszych klientów oraz obserwacje dotyczące grupy Storm-0539. Wartości odzwierciedlają wzrost liczby pracowników i zasobów przeznaczonych na monitorowanie tej grupy. Platforma Azure Active Directory dostarczyła zanonimizowanych danych dotyczących aktywności zagrożeń, takich jak złośliwe konta e-mail, wiadomości e-mail służące do wyłudzania informacji oraz poruszanie się atakującego w sieciach. Dodatkowe informacje pochodzą z 78 bilionów sygnałów zabezpieczeń przetwarzanych przez firmę Microsoft każdego dnia, w tym z chmury, punktów końcowych, inteligentnych urządzeń brzegowych oraz danych telemetrycznych z platform i usług Microsoft, w tym Microsoft Defender.

Cyber Signals Wyłudzanie informacji Źródła zagrożeń

Powiązane artykuły

Poznaj ekspertów śledzących oszustwa związane z kartami podarunkowymi Storm-0539

Dzięki doświadczeniu obejmującemu stosunki międzynarodowe, federalne organy ścigania, bezpieczeństwo i rząd, analitycy zajmujący się Analizą zagrożeń Microsoft — Alison Ali, Waymon Ho i Emiel Haeghebaert posiadają szereg unikalnych umiejętności umożliwiających śledzenie Storm-0539, źródło zagrożenia specjalizującego się w kradzieży kart płatniczych i oszustwach związanych z kartami podarunkowymi.
Dowiedz się więcej

Wykorzystywanie ekonomii zaufania — oszustwo z użyciem inżynierii społecznej

Przyjrzyj się ewoluującemu krajobrazowi cyfrowemu, w którym zaufanie jest zarówno walutą, jak i słabym punktem. Poznaj najczęściej stosowane przez cyberprzestępców metody oszustw z użyciem inżynierii społecznej oraz przeanalizuj strategie pomagające zidentyfikować i przechytrzyć bazujące na inżynierii społecznej zagrożenia, które opierają się na manipulowaniu ludzką naturą.
Dowiedz się więcej

Zmienianie taktyk powoduje wzrost liczby naruszeń biznesowej poczty e-mail

Naruszenia biznesowej poczty e-mail (BEC) są coraz częstsze, ponieważ cyberprzestępcy mogą ukrywać źródło ataków, aby działać w sposób jeszcze bardziej złośliwy. Dowiedz się więcej o cyberprzestępstwie jako usłudze (CaaS) i o tym, jak lepiej chronić organizację.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft