Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

ข้อมูลภายในเกี่ยวกับความเสี่ยงที่เพิ่มขึ้นของการฉ้อโกงด้วยบัตรกำนัล

ดาวน์โหลด
แชร์
แล็ปท็อปที่มีบัตรกำนัลและบัตรเครดิตกระเด็นออกมา

สัญญาณไซเบอร์ฉบับที่ 7: เข้าสู่สถานการณ์อันตราย

ในยุคที่ธุรกรรมทางดิจิทัลและการช้อปปิ้งออนไลน์กลายเป็นส่วนสำคัญในชีวิตประจำวันของเรา ภัยคุกคามจากอาชญากรรมไซเบอร์ก็กำลังใกล้เข้ามา ท่ามกลางภัยคุกคามเหล่านี้ การฉ้อโกงด้วยบัตรกำนัลและบัตรชำระเงิน ซึ่งรวมถึงบัตรกำนัลจากบริษัทบัตรเครดิตหรือผู้ค้าปลีก แพร่หลายและพัฒนาอยู่เสมอ อาชญากรใช้วิธีการที่ซับซ้อนมากขึ้นเพื่อโจมตีพอร์ทัลบัตรกำนัล ก่อนที่จะเปลี่ยนให้เป็นเงินสดที่แทบจะติดตามไม่ได้

สัญญาณไซเบอร์ฉบับนี้เจาะลึกถึงกลยุทธ์ เทคนิค และขั้นตอนต่างๆ ของผู้ดำเนินการภัยคุกคามอาชญากรรมไซเบอร์ที่ Microsoft เรียกว่า Storm-0539 หรือที่รู้จักกันในชื่อ Atlas Lion และกิจกรรมต่างๆ ในขอบเขตของการขโมยบัตรกำนัล ความซับซ้อนของวิธีการ และผลกระทบต่อบุคคลทั่วไป ธุรกิจ และขอบเขตการรักษาความปลอดภัยทางไซเบอร์

Storm-0539 ยังคงมีความเกี่ยวข้องตลอดหลายปีที่ผ่านมา โดยปรับให้เข้ากับขอบเขตอาชญากรรมที่เปลี่ยนแปลงตลอดเวลา พวกเขาดำเนินกิจการที่ผิดกฎหมายโดยใช้ประโยชน์จากช่องโหว่ทางเทคโนโลยี และปรับใช้แคมเปญการโจมตีแบบวิศวกรรมสังคมที่ชาญฉลาดเพื่อขยายขนาดการดำเนินงานของตนผ่านเครือข่ายที่ซับซ้อนของช่องทางที่เข้ารหัสและฟอรั่มใต้ดิน

แม้ว่าผู้ดำเนินการภัยคุกคามอาชญากรรมไซเบอร์จำนวนมากใช้เส้นทางที่มีการต่อต้านน้อยที่สุดเพื่อผลกำไรที่รวดเร็วและให้ความสำคัญกับขนาด แต่ Storm-0539 ก็แสดงให้เห็นถึงการโฟกัสเงียบๆ ที่มีประสิทธิภาพในการโจมตีระบบบัตรกำนัลและธุรกรรม ปรปักษ์รายนี้มุ่งเป้าไปที่ผู้ออกบัตรกำนัลอย่างไม่ลดละโดยการปรับเทคนิคให้ทันกับการเปลี่ยนแปลงในอุตสาหกรรมค้าปลีก การชำระเงิน และอุตสาหกรรมอื่นๆ ที่เกี่ยวข้อง

เราทุกคนคือผู้ป้องกัน

ในอดีต Storm-0539 จะเพิ่มการโจมตีก่อนช่วงเทศกาลวันหยุดสำคัญๆ ระหว่างเดือนมีนาคมถึงพฤษภาคม 2024 ก่อนช่วงวันหยุดฤดูร้อน Microsoft สังเกตเห็นกิจกรรมการบุกรุกจาก Storm-0539 เพิ่มขึ้น 30% ระหว่างเดือนกันยายนถึงธันวาคม 2023 เราสังเกตเห็นกิจกรรมการโจมตีเพิ่มขึ้น 60% ซึ่งตรงกับวันหยุดฤดูใบไม้ร่วงและฤดูหนาว

  • กิจกรรมการบุกรุกของ Storm-0539 เพิ่มขึ้น 30 เปอร์เซ็นต์ ระหว่างเดือนมีนาคมถึงพฤษภาคม 2024
  • กิจกรรมการบุกรุกของ Storm-0539 เพิ่มขึ้น 60 เปอร์เซ็นต์ ระหว่างเดือนกันยายนถึงธันวาคม 2024

ผู้โจมตีปรับปรุงการโจรกรรมด้วยบัตรกำนัลและบัตรชำระเงิน

Storm-0539 ดำเนินงานนอกประเทศโมร็อกโกและมีส่วนเกี่ยวข้องกับอาชญากรรมทางการเงิน เช่น การฉ้อโกงด้วยบัตรกำนัล เทคนิคของพวกเขาได้แก่ ฟิชชิ่ง สมิชชิ่ง การลงทะเบียนอุปกรณ์ของตนเองกับสภาพแวดล้อมของเหยื่อเพื่อให้เข้าถึงได้อย่างต่อเนื่อง และใช้ประโยชน์จากการเข้าถึงองค์กรบุคคลที่สามที่เป็นเป้าหมาย พวกเขาลงทะเบียนอุปกรณ์เพื่อส่งพร้อมท์การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ที่เกี่ยวข้องกับบัญชีเหยื่อที่มีช่องโหว่ไปที่อุปกรณ์ของผู้โจมตี การลงทะเบียนอุปกรณ์ช่วยให้อุปกรณ์สามารถโจมตีข้อมูลประจำตัวและคงอยู่ในสภาพแวดล้อมคลาวด์ได้ 

กลุ่มอาชญากรรมไซเบอร์นี้มีบทบาทตั้งแต่ปลายปี 2021 แสดงให้เห็นถึงวิวัฒนาการของผู้ดำเนินการภัยคุกคามที่มุ่งเน้นการโจมตีบัญชีและระบบบัตรชำระเงิน ในอดีต ผู้โจมตีมักโจมตีข้อมูลบัตรชำระเงินด้วยมัลแวร์ ณ จุดขาย (POS) อย่างไรก็ตาม ในขณะที่อุตสาหกรรมต่างๆ เพิ่มความแข็งแกร่งในการป้องกัน POS Storm-0539 ได้ปรับเทคนิคการโจมตีของตนเพื่อโจมตีบริการคลาวด์และข้อมูลประจำตัวในการกำหนดเป้าหมายอาชญากรรมของพอร์ทัลบัตรกำนัลที่เชื่อมโยงกับผู้ค้าปลีกรายใหญ่ แบรนด์หรู และร้านอาหารฟาสต์ฟู้ดที่มีชื่อเสียง

ในอดีต การฉ้อโกงด้วยบัตรชำระเงินและบัตรกำนัลเกี่ยวข้องกับมัลแวร์ที่ซับซ้อนและแคมเปญฟิชชิ่ง อย่างไรก็ตาม กลุ่มนี้ใช้ประโยชน์จากความรู้เชิงลึกเกี่ยวกับระบบคลาวด์เพื่อดำเนินการสอดแนมกระบวนการออกบัตรกำนัลขององค์กร พอร์ทัลบัตรกำนัล และพนักงานที่สามารถเข้าถึงบัตรกำนัลได้

โดยทั่วไปแล้ว ห่วงโซ่การโจมตีจะมีการดำเนินการดังต่อไปนี้:
  • Storm-0539 ใช้ไดเรกทอรีและกำหนดการของพนักงาน รายชื่อผู้ติดต่อ และกล่องจดหมายอีเมล โดยกำหนดเป้าหมายไปที่โทรศัพท์มือถือส่วนตัวและที่ทำงานของพนักงานด้วยข้อความสมิชชิ่ง 
  • เมื่อบัญชีพนักงานในองค์กรเป้าหมายถูกแทรกซึม ผู้โจมตีจะเคลื่อนย้ายการโจมตีไปยังระบบอื่นๆ ผ่านเครือข่าย โดยพยายามระบุกระบวนการทางธุรกิจของบัตรกำนัล โดยมุ่งไปที่บัญชีที่มีช่องโหว่ซึ่งเชื่อมโยงกับพอร์ตโครงการเฉพาะนี้ 
  • พวกเขายังรวบรวมข้อมูลเกี่ยวกับเครื่องเสมือน การเชื่อมต่อ VPN ทรัพยากร SharePoint และ OneDrive รวมถึง Salesforce, Citrix และสภาพแวดล้อมระยะไกลอื่นๆ 
  • หลังจากเข้าถึงได้ กลุ่มจะสร้างบัตรกำนัลใหม่โดยใช้บัญชีพนักงานที่มีช่องโหว่ 
  • จากนั้นพวกเขาจะแลกใช้มูลค่าที่เกี่ยวข้องกับบัตรเหล่านั้น ขายบัตรกำนัลให้กับผู้ดำเนินการภัยคุกคามรายอื่นในตลาดมืด หรือใช้บัญชีม้าเพื่อแลกเงินจากบัตรกำนัล
รูปภาพแสดงโทรศัพท์สองเครื่องที่มีข้อความสมิชชิ่งของ Storm-0539 ที่เลียนแบบเป็นเจ้าหน้าที่ให้ความช่วยเหลือของบริษัทของพนักงานที่เป็นเป้าหมาย
ข้อความสมิชชิ่งของ Storm-0539 ที่เลียนแบบเป็นเจ้าหน้าที่ให้ความช่วยเหลือของบริษัทของพนักงานที่เป็นเป้าหมาย

การสอดแนมและความสามารถของ Storm-0539 ในการใช้ประโยชน์จากสภาพแวดล้อมคลาวด์นั้นคล้ายคลึงกับสิ่งที่ Microsoft สังเกตเห็นจากผู้ดำเนินการภัยคุกคามที่ได้รับการสนับสนุนจากรัฐชาติ ซึ่งแสดงให้เห็นว่าเทคนิคที่แพร่หลายโดยปรปักษ์ที่มุ่งเน้นด้านการจารกรรมและภูมิรัฐศาสตร์นั้นมีอิทธิพลต่ออาชญากรที่มีแรงจูงใจทางการเงินอย่างไร

ตัวอย่างเช่น Storm-0539 ใช้ประโยชน์จากความรู้เกี่ยวกับซอฟต์แวร์บนระบบ Cloud ระบบข้อมูลประจำตัว และสิทธิพิเศษในการเข้าถึงเพื่อกำหนดเป้าหมายไปที่การสร้างบัตรกำนัล แทนที่จะโฟกัสกับผู้ใช้เพียงอย่างเดียว กิจกรรมนี้เป็นเทรนด์ที่เราเห็นในกลุ่มที่ไม่ใช่รัฐชาติ เช่น Octo Tempest และ Storm-0539 ซึ่งเชี่ยวชาญด้านทรัพยากรระบบคลาวด์เป็นอย่างดี เช่นเดียวกับผู้ดำเนินการขั้นสูงที่ได้รับการสนับสนุนจากรัฐ

เพื่ออำพรางตัวเองและไม่ให้ระบบตรวจพบ Storm-0539 แสดงตนว่าเป็นองค์กรที่ถูกต้องตามกฎหมายต่อผู้ให้บริการคลาวด์ เพื่อรับแอปพลิเคชัน ที่เก็บข้อมูล และทรัพยากรเริ่มต้นฟรีอื่นๆ ชั่วคราวสำหรับกิจกรรมการโจมตีของพวกเขา

ในฐานะส่วนหนึ่งของความพยายามนี้ พวกเขาสร้างเว็บไซต์ที่เลียนแบบเป็นองค์กรการกุศล สถานสงเคราะห์สัตว์ และองค์กรไม่แสวงผลกำไรอื่นๆ ในสหรัฐอเมริกา ซึ่งโดยทั่วไปแล้วจะมีการพิมพ์ผิด (Typosquatting) ซึ่งเป็นพฤติกรรมหลอกลวงที่บุคคลทั่วไปลงทะเบียนโดเมนขององค์กรที่มักสะกดผิดเป็นของตนเอง เพื่อหลอกให้ผู้ใช้เข้าชมไซต์หลอกลวงและใส่ข้อมูลส่วนบุคคลหรือข้อมูลประจำตัวทางวิชาชีพ

Microsoft พบว่า Storm-0539 ดาวน์โหลดสำเนาที่ถูกต้องตามกฎหมายของจดหมาย 501(c)(3) ที่ออกโดยกรมสรรพากรของประเทศสหรัฐอเมริกา (IRS) จากเว็บไซต์สาธารณะขององค์กรที่ไม่แสวงผลกำไรเพื่อขยายชุดเครื่องมือการฉ้อโกง พร้อมด้วยสำเนาจดหมาย 501(c)(3) ที่ถูกต้องตามกฎหมายและโดเมนที่ตรงกันซึ่งเลียนแบบเป็นองค์กรไม่แสวงผลกำไรที่ได้รับจดหมาย พวกเขาติดต่อผู้ให้บริการคลาวด์รายใหญ่เพื่อรับบริการเทคโนโลยีที่ได้รับการสนับสนุนหรือลดราคาซึ่งมักจะมอบให้กับองค์กรไม่แสวงผลกำไร

อินโฟกราฟิกแสดงการทำงานของ Storm-0539
Storm-0539 ดำเนินงานจากรุ่นทดลองใช้ฟรี การสมัครใช้งานที่ค่าบริการแบบเติมเงิน และทรัพยากรคลาวด์ที่มีช่องโหว่ นอกจากนี้ เรายังสังเกตเห็นว่า Storm-0539 เลียนแบบเป็นองค์กรไม่แสวงผลกำไรที่ถูกกฎหมายเพื่อรับการสนับสนุนจากผู้ให้บริการระบบคลาวด์หลายราย

นอกจากนี้ กลุ่มยังสร้างบัญชีทดลองใช้งานฟรีหรือบัญชีนักเรียนบนแพลตฟอร์มบริการ Cloud ซึ่งโดยทั่วไปแล้วลูกค้าใหม่จะมีสิทธิ์เข้าถึงได้ 30 วัน ภายในบัญชีเหล่านี้ พวกเขาจะสร้างเครื่องเสมือนเพื่อเริ่มการดำเนินการตามเป้าหมาย ทักษะของ Storm-0539 ในการโจมตีและสร้างโครงสร้างพื้นฐานการโจมตีบนระบบ Cloud ช่วยให้พวกเขาหลีกเลี่ยงค่าใช้จ่ายล่วงหน้าทั่วไปในเศรษฐกิจอาชญากรรมไซเบอร์ เช่น การจ่ายเงินสำหรับโฮสต์และเซิร์ฟเวอร์ ในขณะที่พวกเขาต้องการลดต้นทุนและเพิ่มประสิทธิภาพสูงสุด

Microsoft ประเมินว่า Storm-0539 ดำเนินการสอดแนมอย่างครอบคลุมในหมู่ผู้ให้บริการข้อมูลประจำตัวภายนอกที่บริษัทเป้าหมาย เพื่อเลียนแบบประสบการณ์การลงชื่อเข้าใช้ของผู้ใช้อย่างน่าเชื่อถือ ไม่เพียงแต่มีหน้าการโจมตีแบบ Adversary-in-the-Middle (AiTM) เท่านั้น แต่ยังมีการใช้โดเมนที่จดทะเบียนซึ่งตรงกับบริการที่ถูกกฎหมายอย่างตั้งใจ ในกรณีอื่นๆ Storm-0539 ได้บุกรุกโดเมน WordPress ที่จดทะเบียนเมื่อเร็วๆ นี้เพื่อสร้างหน้าเริ่มต้นของ AiTM

คำแนะนำ

  • การป้องกันโทเค็นและสิทธิ์การเข้าถึงระดับสูงเท่าที่จำเป็น: ใช้นโยบายเพื่อป้องกันการโจมตีแบบส่งข้อมูลซ้ำกับโทเค็นโดยการผูกโทเค็นกับอุปกรณ์ของผู้ใช้ที่ถูกต้องตามกฎหมาย ใช้หลักการสิทธิ์การเข้าถึงระดับสูงเท่าที่จำเป็นกับกลุ่มเทคโนโลยีทั้งหมดเพื่อลดผลกระทบที่อาจเกิดขึ้นจากการโจมตี
  • ใช้แพลตฟอร์มบัตรกำนัลที่ปลอดภัยและใช้โซลูชันป้องกันการฉ้อโกง: ลองเปลี่ยนไปใช้ระบบที่ออกแบบมาเพื่อตรวจสอบการชำระเงิน ร้านค้ายังสามารถรวมฟีเจอร์การป้องกันการฉ้อโกงเพื่อลดความเสียหายให้เหลือน้อยที่สุด
  • MFA ที่ป้องกันฟิชชิ่ง: เปลี่ยนไปใช้ข้อมูลประจำตัวที่ป้องกันฟิชชิ่งซึ่งปลอดภัยจากการโจมตีต่างๆ เช่น คีย์ความปลอดภัย FIDO2
  • จำเป็นต้องเปลี่ยนรหัสผ่านที่ปลอดภัยเมื่อผู้ใช้มีระดับความเสี่ยงสูง: จำเป็นต้องมี Microsoft Entra MFA ก่อน ผู้ใช้จะสามารถสร้างรหัสผ่านใหม่พร้อมการเขียนกลับของรหัสผ่านเพื่อลดความเสี่ยง
  • ให้ความรู้แก่พนักงาน: ร้านค้าควรฝึกอบรมพนักงานให้รับรู้ถึงกลโกงด้วยบัตรกำนัลที่อาจเกิดขึ้นและปฏิเสธคำสั่งซื้อที่น่าสงสัย

การฝ่าฟันพายุ: การป้องกัน Storm-0539

บัตรกำนัลเป็นเป้าหมายที่น่าสนใจสำหรับการฉ้อโกง เนื่องจากไม่มีชื่อลูกค้าหรือบัญชีธนาคารแนบมาด้วย ไม่เหมือนกับบัตรเครดิตหรือบัตรเดบิต Microsoft พบว่ากิจกรรมจาก Storm-0539 ซึ่งมุ่งเน้นไปที่อุตสาหกรรมนี้เพิ่มขึ้นในช่วงวันหยุดตามฤดูกาล วันรำลึกทหารผ่านศึก วันแรงงาน และวันขอบคุณพระเจ้าในสหรัฐอเมริกา รวมถึงแบล็กฟรายเดย์และวันหยุดฤดูหนาวที่พบทั่วโลก มีแนวโน้มที่จะเกี่ยวข้องกับกิจกรรมที่เพิ่มขึ้นจากกลุ่ม

โดยทั่วไปแล้ว องค์กรจะกำหนดขีดจำกัดมูลค่าเงินสดที่สามารถออกให้กับบัตรกำนัลแต่ละใบได้ ตัวอย่างเช่น หากขีดจำกัดดังกล่าวคือ USD$100,000 ผู้ดำเนินการภัยคุกคามจะออกบัตรมูลค่า USD$99,000 จากนั้นส่งรหัสบัตรกำนัลให้ตัวเองและสร้างรายได้จากบัตรเหล่านั้น แรงจูงใจหลักของพวกเขาคือการขโมยบัตรกำนัลและทำกำไรโดยการขายทางออนไลน์ในราคาส่วนลด เราได้เห็นตัวอย่างบางส่วนที่ผู้ดำเนินการภัยคุกคามได้ขโมยเงินถึง USD$100,000 ต่อวันจากบริษัทบางแห่ง

เพื่อป้องกันการโจมตีดังกล่าวและป้องกันไม่ให้กลุ่มนี้เข้าถึงแผนกบัตรกำนัลโดยไม่ได้รับอนุญาต บริษัทที่ออกบัตรกำนัลควรถือว่าพอร์ทัลบัตรกำนัลของตนเป็นเป้าหมายที่มีมูลค่าสูง โดยควรเฝ้าสังเกตพอร์ทัลอย่างใกล้ชิดและตรวจสอบอย่างต่อเนื่องสำหรับกิจกรรมที่ผิดปกติ

สำหรับองค์กรใดๆ ที่สร้างหรือออกบัตรกำนัล การใช้การตรวจสอบและการปรับให้สมดุลเพื่อป้องกันการเข้าถึงพอร์ทัลบัตรกำนัลและเป้าหมายที่มีมูลค่าสูงอื่นๆ อย่างรวดเร็วนั้นสามารถช่วยได้ แม้ว่าบัญชีจะมีช่องโหว่ก็ตาม ตรวจสอบบันทึกอย่างต่อเนื่องเพื่อระบุการเข้าสู่ระบบที่น่าสงสัยและเวกเตอร์การเข้าถึงเบื้องต้นทั่วไปอื่นๆ ที่ต้องอาศัยการโจมตีข้อมูลประจำตัวบนคลาวด์ และใช้นโยบายการเข้าถึงแบบมีเงื่อนไขที่จำกัดการลงชื่อเข้าระบบและตั้งค่าสถานะการลงชื่อเข้าใช้ที่มีความเสี่ยง

องค์กรควรพิจารณาเสริม MFA ด้วยนโยบายการเข้าถึงแบบมีเงื่อนไข โดยที่คำขอการรับรองความถูกต้องได้รับการประเมินโดยใช้สัญญาณที่อิงตามข้อมูลประจำตัวเพิ่มเติม เช่น ข้อมูลตำแหน่งที่ตั้งที่อยู่ IP หรือสถานะอุปกรณ์ และอื่นๆ อีกมากมาย

กลยุทธ์อีกประการหนึ่งที่สามารถช่วยลดการโจมตีเหล่านี้ได้คือกระบวนการตรวจสอบลูกค้าสำหรับการซื้อโดเมน กฎระเบียบและนโยบายของผู้จัดจำหน่ายอาจไม่ได้ป้องกันการพิมพ์ผิดที่เป็นอันตรายทั่วโลกอย่างสม่ำเสมอ ซึ่งหมายความว่าเว็บไซต์หลอกลวงเหล่านี้ยังคงได้รับความนิยมในการขยายขนาดการโจมตีทางไซเบอร์ กระบวนการตรวจสอบสำหรับการสร้างโดเมนสามารถช่วยลดไซต์ที่สร้างขึ้นเพื่อวัตถุประสงค์ในการหลอกลวงเหยื่อได้มากขึ้น

นอกเหนือจากชื่อโดเมนที่ทำให้เข้าใจผิดแล้ว Microsoft ยังพบว่า Storm-0539 ใช้รายชื่อส่งจดหมายของบริษัทในเครือที่ถูกต้องตามกฎหมายเพื่อเผยแพร่ข้อความฟิชชิ่งเมื่อพวกเขาได้ตั้งหลักในบริษัทและเข้าใจรายชื่อการแจกจ่ายและบรรทัดฐานทางธุรกิจอื่นๆ

ฟิชชิ่งผ่านรายชื่อการแจกจ่ายที่ถูกต้องไม่เพียงแต่จะเพิ่มความน่าเชื่อถืออีกชั้นหนึ่งให้กับเนื้อหาที่เป็นอันตราย แต่ยังช่วยปรับปรุงการกำหนดเป้าหมายเนื้อหาไปยังบุคคลทั่วไปจำนวนมากขึ้นซึ่งสามารถเข้าถึงข้อมูลประจำตัว ความสัมพันธ์ และข้อมูลที่ Storm-0539 ใช้เพื่ออยู่ต่อในระบบและเข้าถึงได้

เมื่อผู้ใช้คลิกลิงก์ที่อยู่ในอีเมลหรือข้อความฟิชชิ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าฟิชชิ่ง AiTM สำหรับการโจรกรรมข้อมูลประจำตัวและการบันทึกโทเค็นการรับรองความถูกต้องรอง ขอแนะนำให้ผู้ค้าปลีกสอนพนักงานถึงวิธีการทำงานของการหลอกลวงสมิชชิ่ง/ฟิชชิ่ง วิธีระบุตัวตน และวิธีรายงาน

สิ่งสำคัญคือต้องเน้นย้ำว่าแตกต่างจากผู้ดำเนินการภัยคุกคามแรนซัมแวร์ที่น่ารำคาญซึ่งเข้ารหัสและขโมยข้อมูล จากนั้นคุกคามให้คุณจ่ายเงิน Storm-0539 ดำเนินการในสภาพแวดล้อมคลาวด์อย่างเงียบๆ เพื่อรวบรวมข้อมูลการสอดแนมและใช้โครงสร้างพื้นฐานคลาวด์และข้อมูลประจำตัวในทางที่ผิดเพื่อบรรลุเป้าหมายสุดท้าย

การดำเนินงานของ Storm-0539 นั้นโน้มน้าวใจได้เนื่องจากผู้ดำเนินการใช้อีเมลที่มีช่องโหว่อย่างถูกกฎหมายและการเลียนแบบแพลตฟอร์มที่ถูกกฎหมายซึ่งใช้โดยบริษัทเป้าหมาย สำหรับบางบริษัท ความเสียหายจากบัตรกำนัลสามารถกู้คืนได้ ซึ่งจำเป็นต้องมีการตรวจสอบอย่างละเอียดเพื่อพิจารณาว่าผู้ดำเนินการภัยคุกคามออกบัตรกำนัลใบใด

Microsoft Threat Intelligence ได้ออกการแจ้งเตือนไปยังองค์กรที่ได้รับผลกระทบจาก Storm-0539 เราสังเกตเห็นความสามารถที่เพิ่มขึ้นของผู้ค้าปลีกรายใหญ่ในการป้องกันกิจกรรม Storm-0539 อย่างมีประสิทธิภาพในช่วงไม่กี่เดือนที่ผ่านมา ส่วนหนึ่งเป็นเพราะการแบ่งปันข้อมูลและการทำงานร่วมกันนี้

อินโฟกราฟิกแสดงวงจรชีวิตการบุกรุกของ Storm-0539 ซึ่งเริ่มต้นด้วย “ฟิชชิ่ง/สมิชชิ่ง” ตามด้วย “การเข้าถึงทรัพยากรคลาวด์” “ผลกระทบ (การลักลอบถ่ายโอนข้อมูลและการโจรกรรมบัตรกำนัล)” และ “ข้อมูลสำหรับการโจมตีในอนาคต” โดยมี “ข้อมูลประจำตัว” อยู่ตรงกลางของกราฟิก
วงจรชีวิตการบุกรุกของ Storm-0539

คำแนะนำ

  • รีเซ็ตรหัสผ่านสำหรับผู้ใช้ที่เกี่ยวข้องกับฟิชชิ่งและกิจกรรม AiTM: หากต้องการเพิกถอนเซสชันที่ใช้งานอยู่ ให้รีเซ็ตรหัสผ่านทันที เพิกถอนการเปลี่ยนแปลงการตั้งค่า MFA ที่ทำโดยผู้โจมตีในบัญชีที่มีช่องโหว่ ต้องมีการทดสอบ MFA อีกครั้งสำหรับการอัปเดต MFA เป็นค่าเริ่มต้น นอกจากนี้ ตรวจสอบให้แน่ใจว่าอุปกรณ์เคลื่อนที่ที่พนักงานใช้ในการเข้าถึงเครือข่ายขององค์กรได้รับการปกป้องเช่นเดียวกัน
  • เปิดใช้งานการกำจัดขยะอัตโนมัติต่อเนื่อง (ZAP) ใน Microsoft Defender for Office 365: ZAP ค้นหาและดำเนินการอัตโนมัติกับอีเมลที่เป็นส่วนหนึ่งของแคมเปญฟิชชิ่งโดยพิจารณาจากองค์ประกอบที่เหมือนกันของข้อความไม่ดีที่ทราบ
  • อัปเดตข้อมูลประจำตัว สิทธิ์การเข้าถึง และรายชื่อการแจกจ่ายเพื่อลดพื้นหน้าของการโจมตี: ผู้โจมตีเช่น Storm-0539 ถือว่าพวกเขาจะพบผู้ใช้ที่มีสิทธิ์การเข้าถึงมากเกินไป ซึ่งพวกเขาสามารถโจมตีได้เพื่อให้ได้ผลกระทบในวงกว้างขึ้น บทบาทของพนักงานและทีมสามารถเปลี่ยนแปลงได้บ่อยครั้ง การสร้างการตรวจสอบสิทธิ์พิเศษ สมาชิกรายชื่อการแจกจ่าย และแอตทริบิวต์อื่นๆ เป็นประจำสามารถช่วยจำกัดผลกระทบจากการบุกรุกครั้งแรก และทำให้การทำงานของผู้บุกรุกยากขึ้น

เรียนรู้เพิ่มเติมเกี่ยวกับ Storm-0539 และผู้เชี่ยวชาญ Microsoft Threat Intelligence ที่ทุ่มเทกับการติดตามอาชญากรรมไซเบอร์และภัยคุกคามล่าสุด

ระเบียบวิธี: ข้อมูลสถิติสแนปช็อตและภาพถ่ายปกแสดงถึงการแจ้งเตือนลูกค้าของเราและการพบผู้ดำเนินการภัยคุกคาม Storm-0539 ที่เพิ่มมากขึ้น ตัวเลขเหล่านี้แสดงให้เห็นถึงการเพิ่มขึ้นของพนักงานและทรัพยากรที่ใช้ในการติดตามกลุ่มนี้ Azure Active Directory ยังให้ข้อมูลที่ไม่ระบุชื่อเกี่ยวกับกิจกรรมภัยคุกคาม เช่น บัญชีอีเมลที่เป็นอันตราย อีเมลฟิชชิ่ง และการเคลื่อนไหวของผู้โจมตีภายในเครือข่ายอีกด้วย ข้อมูลเชิงลึกเพิ่มเติมมาจากสัญญาณความปลอดภัยรายวัน 78 ล้านล้านสัญญาณที่ประมวลผลโดย Microsoft ในแต่ละวัน รวมถึงระบบคลาวด์ ปลายทาง Edge อัจฉริยะ และการวัดและส่งข้อมูลทางไกลจากแพลตฟอร์มและบริการของ Microsoft รวมถึง Microsoft Defender

สัญญาณไซเบอร์ ฟิชชิ่ง ผู้ดำเนินการภัยคุกคาม

บทความที่เกี่ยวข้อง

พบกับผู้เชี่ยวชาญที่ติดตามการฉ้อโกงด้วยบัตรกำนัลของ Storm-0539

ด้วยภูมิหลังที่ครอบคลุมความสัมพันธ์ระหว่างประเทศ การบังคับใช้กฎหมายของรัฐบาลกลาง ความปลอดภัย และรัฐบาล Alison Ali, Waymon Ho และ Emiel Haeghebaert ซึ่งเป็นนักวิเคราะห์ Microsoft Threat Intelligence มีทักษะพิเศษมากมายในการติดตาม Storm-0539 ซึ่งเป็นผู้ดำเนินการภัยคุกคามที่เชี่ยวชาญด้านการขโมยบัตรชำระเงินและการฉ้อโกงด้วยบัตรกำนัล
เรียนรู้เพิ่มเติม

การใช้ประโยชน์จากระบบเศรษฐกิจที่ขับเคลื่อนด้วยความน่าเชื่อถือ: การปลอมแปลงด้วยการโจมตีแบบวิศวกรรมสังคม

สำรวจขอบเขตทางดิจิทัลที่มีการพัฒนาอย่างต่อเนื่อง ซึ่งความน่าเชื่อถือเปรียบเสมือนทั้งสกุลเงินอันมีค่าและช่องโหว่ ค้นพบกลยุทธ์การฉ้อโกงด้วยการโจมตีแบบวิศวกรรมสังคมที่ผู้โจมตีทางไซเบอร์ใช้มากที่สุด และตรวจสอบกลยุทธ์ที่สามารถช่วยคุณระบุและเอาชนะภัยคุกคามด้วยการโจมตีแบบวิศวกรรมสังคมที่ออกแบบมาเพื่อจัดการธรรมชาติของมนุษย์
เรียนรู้เพิ่มเติม

การเปลี่ยนแปลงกลยุทธ์ที่ทำให้มีการโจมตีอีเมลระดับธุรกิจ

การโจมตีอีเมลระดับธุรกิจ (BEC) กำลังเพิ่มสูงขึ้นในขณะนี้ ซึ่งอาชญากรไซเบอร์สามารถปิดบังแหล่งที่มาของการโจมตีเพื่อให้เป็นอันตรายมากยิ่งขึ้น เรียนรู้เกี่ยวกับ CaaS และวิธีช่วยปกป้ององค์กรของคุณ
เรียนรู้เพิ่มเติม

ติดตาม Microsoft Security