Trace Id is missing

Znotraj naraščajočega tveganja za goljufije z darilnimi boni

Prenesite
Delite
Prenosnik, iz katerega letijo darilni boni in kreditne kartice

Cyber Signals – 7. izdaja: V levji brlog

V dobi, ko so digitalne transakcije in spletno nakupovanje postali integralni del našega vsakdanjika, se obeta grožnja kibernetskega kriminala. Med temi grožnjami so goljufije z darilnimi boni in plačilnimi karticami, ki vključujejo tako darilne bone podjetij, ki izdajajo kreditne kartice, kot tudi kartice maloprodajnih trgovcev, zelo prodorne in se razvijajo. Zločinci uporabljajo vse bolj izpopolnjene metode, s katerimi ogrožajo portale za darilne bone, preden le te spremenijo v skoraj neizsledljiv denar.

Ta izdaja Cyber Signals se poglablja v taktike, tehnike in postopke akterja groženj kibernetskega kriminala, ki ga Microsoft imenuje Storm-0539, znanega tudi kot Atlas Lion, in njegove dejavnosti v sferi kraje darilnih bonov, zapletenost njegovih metod ter posledice za posameznike, podjetja in področje kibernetske varnosti.

Storm-0539 je ostal pomemben skozi leta in se prilagajal nenehno spreminjajočemu se kriminalnemu okolju. Prek labirintne mreže šifriranih kanalov in podzemnih forumov organizirajo nezakonite podvige, pri čemer izkoriščajo tehnološke vrzeli in uvajajo spretne kampanje socialnega inženiringa, da bi prilagodili svoje operacije.

Čeprav številni akterji groženj kibernetskega kriminala izberejo pot najmanjšega odpora za hiter dobiček in se osredotočajo na obseg, Storm-0539 izkazuje tiho, storilno usmerjeno osredotočenost na ogrožanje sistemov darilnih bonov in transakcij. Ta nasprotnik neusmiljeno napada izdajatelje darilnih bonov s prilagajanjem tehnik spremembam v maloprodaji, plačilnem prometu in drugih sorodnih panogah.

Vsi smo branilci.

Zgodovinsko gledano Storm-0539 običajno poveča svojo dejavnost napadov pred večjimi prazniki. Med marcem in majem 2024, pred sezono poletnih počitnic, je Microsoft opazil 30-odstotno povečanje dejavnosti vdorov Storm-0539. Med septembrom in decembrom 2023 smo opazili 60-odstotno povečanje dejavnosti napadov, kar sovpada z jesenskimi in zimskimi prazniki.

  • 30-odstotno povečanje dejavnosti vdorov Storm-0539 med marcem in majem 2024
  • 60-odstotno povečanje dejavnosti vdorov Storm-0539 med septembrom in decembrom 2024

Napadalci natančneje določajo tatvine darilnih bonov in plačilnih kartic

Storm-0539 deluje v Maroku in se ukvarja s finančno kriminaliteto, kot so goljufije z darilnimi boni. Njihove tehnike vključujejo lažno predstavljanje, sporočila SMS z lažnim predstavljanjem, registracijo njihovih lastnih naprav v okoljih žrtev za pridobitev trajnega dostopa, in izkoriščanje dostopa za ciljanje organizacij tretjih oseb. Naprave registrirajo tako, da se pozivi za večkratno preverjanje pristnosti (MFA), povezani s ogroženim računom žrtve, prenesejo v napadalčevo napravo. Z registracijo naprave lahko popolnoma ogrozijo identiteto in ostanejo v okolju v oblaku. 

Aktivna od konca leta 2021, ta skupina kibernetskega kriminala predstavlja evolucijo akterjev groženj, osredotočenih na napade na račune in sisteme plačilnih kartic. V preteklosti so napadalci pogosto ogrožali podatke o plačilnih karticah z zlonamerno programsko opremo na prodajnih mestih (POS). Ko so panoge utrdile obrambo POS, je Storm-0539 prilagodil svoje tehnike napadov, da bi ogrozil storitve v oblaku in identitetne storitve z zločinskim ciljanjem na portale za darilne bone, povezane z velikimi maloprodajnimi trgovci, luksuznimi znamkami in znanimi restavracijami s hitro prehrano.

Zgodovinsko gledano so bile goljufije s plačilnimi karticami in darilnimi boni povezane s prefinjenimi kampanjami zlonamerne programske opreme in lažnega predstavljanja. Vendar pa ta skupina izkorišča svoje poglobljeno znanje o oblaku, da izvede izvidništvo procesov izdaje darilnih bonov v organizaciji, portalov za darilne bone in zaposlenih, ki imajo dostop do darilnih bonov.

Veriga napadov običajno vključuje naslednja dejanja:
  • Storm-0539 s pomočjo imenikov in urnikov zaposlenih, seznamov stikov in e-poštnih predalov cilja osebne in službene mobilne telefone zaposlenih z sporočili SMS z lažnim predstavljanjem. 
  • Po vdoru v račun zaposlenega v ciljni organizaciji se napadalci premikajo bočno po omrežju, pri čemer poskušajo identificirati poslovni proces darilnih bonov, z usmeritvijo proti ogroženim računom, povezanim s tem posebnim portfeljem. 
  • Prav tako zbirajo informacije o navideznih napravah, povezavah VPN, virih SharePoint in OneDrive ter o okoljih Salesforce, Citrix in drugih oddaljenih okoljih. 
  • Po pridobitvi dostopa skupina ustvari nove darilne bone z uporabo ogroženih računov zaposlenih. 
  • Nato unovčijo vrednost, povezano s temi boni, darilne bone prodajo drugim akterjem grožnje na črnih trgih, ali pa uporabijo denarne mule za izplačilo darilnih bonov.
Slika prikazuje dva telefona s sporočili SMS z lažnim predstavljanjem Storm-0539, ki se izdajajo za službeno skupino za pomoč ciljanega zaposlenega.
Sporočila SMS z lažnim predstavljanjem Storm-0539 se izdajajo za službeno skupino za pomoč ciljanega zaposlenega.

Izvidništvo in zmožnost izkoriščanja okolij v oblaku Storm-0539 sta podobna tistim, ki jih Microsoft opaža pri akterjih groženj, ki jih sponzorira nacionalna država, kar kaže, kako tehnike, ki so jih popularizirali vohunski in geopolitično osredotočeni nasprotniki, zdaj vplivajo tudi na finančno motivirane zločince.

Storm-0539 na primer izkorišča svoje znanje o programski opremi v oblaku, sistemih identitete in pravicah dostopa, da cilja na kraje, kjer so darilni boni ustvarjeni, namesto da bi se osredotočil izključno na končnega uporabnika. Ta dejavnost je trend, ki ga opažamo med nenacionalnimi državnimi skupinami, kot sta Octo Tempest in Storm-0539, ki taktično dobro obvladajo vire v oblaku, podobno kot napredni akterji, ki jih sponzorirajo države.

Da bi se prikrili in ostali neopaženi, se Storm-0539 ponudnikom storitev v oblaku predstavlja kot legitimne organizacije, da bi pridobila začasne aplikacije, prostor za shranjevanje in druge začetne brezplačne vire za svoje dejavnosti napadov.

V okviru teh prizadevanj ustvarjajo spletna mesta, ki poosebljajo dobrodelne organizacije, zavetišča za živali in druge neprofitne organizacije v Združenih državah, običajno s t.i. typosquattingom, goljufivo prakso, pri kateri posamezniki registrirajo običajno napačno zapisano domeno organizacije kot svojo, da bi uporabnike prepričali v obisk goljufivih strani in vnos osebnih podatkov ali poklicnih poverilnic.

Microsoft je opazil, da Storm-0539 zato, da bi nadalje razširil svoj komplet orodij za goljufije, z javnih spletnih mest neprofitnih organizacij prenaša zakonite kopije pisem 501(c)(3), ki jih je izdala davčna uprava ZDA (IRS). Oboroženi s kopijo legitimnega pisma 501(c)(3) in ustrezajočo domeno, ki se izdaja za neprofitno organizacijo, za katero je bilo pismo izdano, se obrnejo na glavne ponudnike storitev v oblaku za sponzorirane ali znižane tehnološke storitve, ki so pogosto namenjene neprofitnim organizacijam.

Infografika o delovanju Storm-0539.
Storm-0539 deluje na podlagi brezplačnih preizkusov, sprotno plačljivih naročnin in ogroženih virov v oblaku. Opazili smo tudi, da se Storm-0539 izdaja za legitimne neprofitne organizacije, da bi od več ponudnikov storitev v oblaku pridobil neprofitno sponzorstvo.

Skupina prav tako ustvarja brezplačne preizkuse ali študentske račune na platformah storitev v oblaku, ki novim strankam običajno omogočajo 30-dnevni dostop. V teh računih ustvarijo navidezne naprave, iz katerih zaženejo svoje ciljne operacije. Spretnost Storm-0539 pri ogrožanju in ustvarjanju infrastrukture za napade v oblaku jim omogoča, da se izognejo običajnim začetnim stroškom v ekonomiji kibernetske kriminalitete, kot je plačilo gostiteljev in strežnikov, saj si prizadevajo čim bolj minimizirati stroške in povečati učinkovitost.

Microsoft ocenjuje, da Storm-0539 izvaja obsežno izvidništvo v ponudnikih zunanjih identitetnih storitev v ciljnih podjetjih, da bi prepričljivo posnemal uporabnikovo izkušnjo vpisa, vključno z videzom ne le strani nasprotnika v sredini (AiTM), temveč tudi z uporabo registriranih domen, ki so zelo podobne legitimnim storitvam. V drugih primerih je Storm-0539 ogrozil legitimne nedavno registrirane domene WordPress, da bi izdelal pristajalno stran AiTM.

Priporočila

  • Zaščita žetona in dostop z najmanjšimi pravicami: Uporabite pravilnike za zaščito pred napadi na ponovitev žetona z vezavo žetona na napravo legitimnega uporabnika. Uporabite načela dostopa z najmanjšimi pravicami v celotnem skladu tehnologij, da minimizirate morebitni učinek napada.
  • Sprejmite varno platformo za darilne bone in implementirajte rešitve za zaščito pred goljufijami: Razmislite o prehodu na sistem za preverjanje pristnosti plačil. Trgovci lahko integrirajo tudi funkcije za zaščito pred goljufijami in tako minimizirajo izgube.
  • Večkratno preverjanje pristnosti (MFA), odporno na lažno predstavljanje: Prehod na poverilnice, odporne na lažno predstavljanje, ki so imune na različne napade, kot so varnostni ključi FIDO2.
  • Zahtevajte varno spremembo gesla, kadar je raven tveganja uporabnika visoka: Preden lahko uporabnik ustvari novo geslo s povratnim zapisom gesla za ureditev tveganja, je potrebno večkratno preverjanje pristnosti (MFA) Microsoft Entra.
  • Izobrazite zaposlene: Trgovci bi morali usposobiti zaposlene, da prepoznajo morebitne goljufije z darilnimi boni in odklonijo sumljiva naročila.

Preživeti nevihto: Obramba pred Storm-0539

Darilni boni so privlačna tarča za goljufije, saj v nasprotju s kreditnimi ali debetnimi karticami z njimi niso povezana imena strank ali bančni računi. Microsoft opaža povečano dejavnost Storm-0539, ki se osredotoča na to panogo v sezonskih prazničnih obdobjih. Dan spomina, praznik dela in zahvalni dan v ZDA ter črni petek in zimski prazniki po svetu so ponavadi povezani z večjo dejavnostjo skupine.

Organizacije običajno določijo omejitev denarne vrednosti, ki jo je mogoče izdati za posamezni darilni bon. Če je na primer omejitev 100.000 USD, bo akter grožnje izdal bon za 99.000 USD, nato pa si bo poslal kodo darilnega bona in ga unovčil. Njihova glavna motivacija je kraja darilnih bonov in dobiček s spletno prodajo po znižani ceni. Videli smo nekaj primerov, ko je akter grožnje v nekaterih podjetjih ukradel do 100.000 USD na dan.

Da bi se zaščitili pred takšnimi napadi in tej skupini preprečili nepooblaščen dostop do oddelkov za darilne bone, bi morala podjetja, ki izdajajo darilne bone, svoje portale za darilne bone obravnavati kot tarče visoke vrednosti. Treba bi jih bilo pozorno spremljati in kontinuirano preverjati za kakršne koli nenavadne dejavnosti.

Za vsako organizacijo, ki ustvarja ali izdaja darilne bone, je lahko v pomoč uvedba zavor in ravnovesij za preprečevanje hitrega dostopa do portalov darilnih bonov in drugih ciljev visoke vrednosti, tudi če je račun ogrožen. Neprekinjeno spremljajte dnevnike, da prepoznate sumljive prijave in druge pogoste začetne vektorje dostopa, ki so odvisni od ogrozitve identitete v oblaku, ter uvedite pravilnike pogojnega dostopa, ki omejujejo vpise in označujejo tvegane vpise.

Organizacije bi morale razmisliti tudi o dopolnitvi večkratnega preverjanja pristnosti (MFA) s pravilniki pogojnega dostopa, pri katerih se zahteve za preverjanje pristnosti ocenijo na podlagi dodatnih signalov, ki temeljijo na identiteti, kot so med drugim podatki o lokaciji naslova IP ali stanju naprave.

Druga taktika, ki bi lahko pomagala omejiti te napade, je postopek preverjanja strank ob nakupu domen. Predpisi in pravilniki dobaviteljev morda ne preprečujejo dosledno zlonamernega typosquattinga po vsem svetu, kar pomeni, da so ta zavajajoča spletna mesta lahko še naprej priljubljena za širjenje kibernetskih napadov. Postopki preverjanja pri ustvarjanju domen bi lahko pomagali omejiti ustvaritev večih spletnih mest izključno z namenom zavajanja žrtev.

Microsoft je opazil tudi, da Storm-0539 poleg zavajajočih imen domen potem, ko si pridobi položaj v podjetju ter razume njegove distribucijske sezname in druge modele poslovanja, uporablja legitimne notranje poštne sezname podjetja za razširjanje sporočil za lažno predstavljanje.

Ne le, da lažno predstavljanje prek veljavnega distribucijskega seznama zlonamerni vsebini doda še eno plast pristnosti, pomaga tudi pri izpopolnjevanju ciljanja vsebine na več posameznikov z dostopom do poverilnic, odnosov in informacij, na katere se Storm-0539 zanaša, da pridobi vzdržljivost in doseg.

Ko uporabniki kliknejo povezave, vsebovane v e-poštnih sporočilih ali besedilih z lažnim predstavljanjem, so preusmerjeni na stran z lažnim predstavljanjem AiTM za krajo poverilnic in zajem sekundarnega žetona za preverjanje pristnosti. Maloprodajne trgovce spodbujamo, da poučijo osebje, kako delujejo sporočila SMS z lažnim predstavljanjem/lažno predstavljanje, ter kako jih prepoznati in prijaviti.

Pomembno je poudariti, da se za razliko od hrupnih akterjev groženj z izsiljevalsko programsko opremo, ki šifrirajo in kradejo podatke, nato pa vas nadlegujejo za plačilo, Storm-0539 giblje v okolju oblaka in tiho zbira izsledke ter zlorablja infrastrukturo oblaka in identitete za doseganje svojih končnih ciljev.

Operacije Storm-0539 so prepričljive zaradi akterjeve uporabe legitimnih ogroženih e-poštnih sporočil in posnemanja legitimnih platform, ki jih uporablja ciljno podjetje. Za nekatera podjetja so izgube darilnih bonov nadomestljive. To zahteva temeljito raziskavo, da se ugotovi, katere darilne bone je izdal akter grožnje.

Obveščanje o grožnjah Microsoft je izdal obvestila za organizacije, ki jih je prizadel Storm-0539. Deloma zaradi te skupne rabe informacij in sodelovanja smo v zadnjih mesecih opazili povečanje sposobnosti večjih maloprodajnih trgovcev, da učinkovito preprečijo dejavnosti Storm-0539.

Infografika prikazuje življenjski cikel vdora Storm-0539, ki se začne z “lažnim predstavljanjem/sporočili SMS z lažnim predstavljanjem“, nato pa mu sledijo “dostop do virov v oblaku”, ”vpliv (nepooblaščeno filtriranje podatkov in kraja darilnih bonov)” in "informacije za prihodnje napade". »Identiteta« ostane v središču grafike.
Življenjski cikel vdora Storm-0539.

Priporočila

  • Ponastavite gesla za uporabnike, povezane z dejavnostmi lažnega predstavljanja in AiTM: Za preklic aktivnih sej takoj ponastavite gesla. Prekličite vse spremembe nastavitev večkratnega preverjanja pristnosti (MFA), ki jih je napadalec izvedel na ogroženih računih. Zahtevajte ponovni izziv večkratnega preverjanja pristnosti (MFA) za posodobitve MFA kot privzeto. Zagotovite tudi, da so mobilne naprave, ki jih zaposleni uporabljajo za dostop do omrežij podjetja, podobno zaščitene.
  • Omogoči samodejno odstranjevanje ob določenem času (ZAP) v Microsoft Defender za Office 365: ZAP poišče in samodejno ukrepa v zvezi z e-poštnimi sporočili, ki so del napadov z lažnim predstavljanjem, na podlagi enakih elementov iz znanih slabih sporočil.
  • Posodobite identitete, pravice dostopa in distribucijske sezname, da čim bolj minimizirate območje za napade: Napadalci, kot je Storm-0539, domnevajo, da bodo našli uporabnike s čezmernimi pravicami dostopa, ki jih lahko ogrozijo za dosego velikega učinka. Vloge zaposlenih in ekip se lahko pogosto spreminjajo. Z vzpostavitvijo rednega pregleda pravic, članstva v distribucijskih seznamih in drugih lastnosti lahko omejite izpad zaradi začetnega vdora in otežite delo vsiljivcem.

Več informacij o Storm-0539 in strokovnjakih Obveščanja o grožnjah Microsoft , ki se ukvarjajo s sledenjem kibernetskemu kriminalu in najnovejšim grožnjam.

Metodologija: Posnetek in podatki statistike pokrivanja predstavljajo povečanje števila obvestil naših strank in opažanj akterja groženj Storm-0539. Te številke odražajo povečanje osebja in virov, porabljenih za spremljanje te skupine. Azure Active Directory je zagotavljal anonimizirane podatke o dejavnostih groženj, kot so zlonamerni e-poštni računi, e-poštna sporočila z lažnim predstavljanjem in gibanje napadalcev znotraj omrežij. Dodatni vpogledi izhajajo iz 78 bilijonov varnostnih signalov, ki jih Microsoft obdela vsak dan, vključno z oblakom, končnimi točkami, inteligentnim robom in telemetrijo Microsoftovih platform ter storitev, vključno z Microsoft Defenderjem.

Cyber Signals Lažno predstavljanje Akterji groženj

Sorodni članki

Spoznajte strokovnjake, ki sledijo goljufijam z darilnimi boni Storm-0539

Analitiki Obveščanja o grožnjah Microsoft Alison Ali, Waymon Ho in Emiel Haeghebaert z izkušnjami iz mednarodnih odnosov, zveznega kazenskega pregona, varnosti in vlade ponujajo vrsto edinstvenih veščin za sledenje akterju groženj Storm-0539, specializiranemu za kraje plačilnih kartic in goljufije z darilnimi boni.
Več informacij

Izkoriščanje ekonomije zaupanja: goljufije s socialnim inženiringom

Raziščite razvijajočo se digitalno pokrajino, kjer je zaupanje hkrati valuta in ranljivost. Odkrijte taktike goljufij s socialnim inženiringom, ki jih kibernetski napadalci najpogosteje uporabljajo, in si oglejte strategije, ki vam lahko pomagajo prepoznati in premagati grožnje socialnega inženiringa, namenjene manipuliranju s človeško naravo.
Več informacij

Spreminjajoči se pristopi na področju ogroženosti poslovne e-pošte

Ogrožanje poslovne e-pošte (BEC) je zdaj v porastu, saj lahko kibernetski kriminalci prikrijejo vir svojih napadov. Spoznajte storitev CaaS in kako lahko pomagate zaščititi svojo organizacijo.
Več informacij

Spremljajte Microsoftovo varnost