Trace Id is missing

Die wachsende Bedrohung von Geschenkkartenbetrug

Herunterladen
Teilen
Ein Laptop, vor dem Geschenkkarten und Kreditkarten schweben

Cyber Signals Ausgabe 7: In der Höhle des Löwen

In der heutigen Zeit, in der digitale Transaktionen und Online-Einkäufe zu einem festen Bestandteil unseres Alltags geworden sind, ist die Bedrohung durch Cyberkriminalität sehr groß. Eine dieser Bedrohungen ist der Geschenk- und Zahlungskartenbetrug, der sowohl Geschenkkarten von Kreditkartenunternehmen als auch von Einzelhändlern betrifft und sich ständig weiter entwickelt. Kriminelle wenden immer raffiniertere Methoden an, um Geschenkkarten-Portale zu kompromittieren und die Karten in nahezu unverfolgbares Bargeld umzuwandeln.

Diese Ausgabe von Cyber Signals befasst sich mit den Taktiken, Techniken und Verfahren eines Cyberkriminellen, der von Microsoft als Storm-0539, auch bekannt als Atlas Lion, bezeichnet wird, mit seinen Aktivitäten im Bereich des Geschenkkartendiebstahls und seinen ausgefeilten Methoden sowie den Folgen für Einzelpersonen, Unternehmen und die Cybersicherheitslandschaft.

Storm-0539 ist über die Jahre aktiv geblieben und hat sich der sich ständig verändernden kriminellen Landschaft angepasst. Über ein labyrinthisches Netzwerk von verschlüsselten Kanälen und Untergrundforen koordiniert die Gruppe illegale Unternehmungen, bei denen sie technologische Schwachstellen ausnutzt und raffinierte Social-Engineering-Kampagnen einsetzt, um ihre Aktivitäten auszuweiten.

Während viele Cyberkriminelle den Weg des geringsten Widerstands gehen, um schnelle Gewinne zu erzielen, konzentriert sich Storm-0539 ruhig und produktiv auf die Kompromittierung von Geschenkkartensystemen und -transaktionen. Dieser Angreifer zielt unermüdlich auf die Herausgeber von Geschenkkarten ab und passt seine Techniken an die Veränderungen im Einzelhandel, im Zahlungsverkehr und in anderen verwandten Branchen an.

Sicherheit ist eine Verpflichtung für uns alle.

In der Vergangenheit hat Storm-0539 seine Angriffsaktivität vor den Hauptferienzeiten erhöht. Zwischen März und Mai 2024, also vor den Sommerferien, beobachtete Microsoft einen Anstieg der Eindringaktivitäten von Storm-0539 um 30 %. Zwischen September und Dezember 2023, zeitgleich mit den Herbst- und Winterferien, wurde ein Anstieg der Angriffsaktivität um 60 % beobachtet.

  • 30 %iger Anstieg der Eindringaktivitäten von Storm-0539 zwischen März und Mai 2024
  • 60 %iger Anstieg der Eindringaktivitäten von Storm-0539 zwischen September und Dezember 2024

Angreifer verfeinern Geschenk- und Zahlungskartenbetrug

Storm-0539 operiert von Marokko aus und ist an Finanzdelikten wie Geschenkkartenbetrug beteiligt. Zu den Techniken der Gruppe gehören Phishing, Smishing, die Registrierung eigener Geräte in der Umgebung des Opfers, um permanenten Zugang zu erhalten, und die Ausnutzung dieses Zugangs, um dritte Organisationen anzugreifen. Sie registrieren Geräte, damit Anfragen zur Multi-Faktor-Authentifizierung, die mit einem kompromittierten Opferkonto verbunden sind, an das Gerät des Angreifers weitergeleitet werden. Durch die Registrierung eines Geräts können sie eine Identität vollständig kompromittieren und sich in der Cloudumgebung einnisten. 

Diese Gruppe von Cyberkriminellen, die seit Ende 2021 aktiv ist, stellt eine Weiterentwicklung der Bedrohungsakteure dar, die sich auf Angriffe auf Zahlungskartenkonten und -systeme konzentrieren. In der Vergangenheit haben Angreifer häufig Zahlungskartendaten mit POS-Malware (Point-of-Sale) kompromittiert. In dem Maße, in dem Unternehmen jedoch ihre POS-Abwehr verstärken, hat Storm-0539 seine Angriffstechniken angepasst, um Cloud- und Identitätsdienste zu kompromittieren und Geschenkkarten-Portale von großen Einzelhändlern, Luxusmarken und bekannten Fast-Food-Restaurants ins Visier zu nehmen.

Betrug mit Zahlungs- und Geschenkkarten wird in der Regel mit ausgefeilten Malware- und Phishing-Kampagnen in Verbindung gebracht. Diese Gruppe nutzt jedoch ihr umfassendes Wissen über die Cloud, um die Prozesse bei der Ausgabe von Geschenkkarten, die Geschenkkarten-Portale und die Mitarbeiter mit Zugang zu den Geschenkkarten eines Unternehmens auszuspionieren.

Die Angriffskette umfasst in der Regel die folgenden Schritte:
  • Unter Verwendung von Mitarbeiterverzeichnissen, Terminkalendern, Kontaktlisten und E-Mail-Postfächern zielt Storm-0539 mit Smishing-Nachrichten auf die privaten und geschäftlichen Mobiltelefone der Mitarbeiter. 
  • Sobald ein Mitarbeiterkonto in einem Zielunternehmen infiltriert ist, breiten sich die Angreifer im Netzwerk aus und versuchen, den Geschäftsvorgang für Geschenkgutscheinkarten zu identifizieren, indem sie sich auf kompromittierte Konten konzentrieren, die mit diesem speziellen Portfolio in Verbindung stehen. 
  • Außerdem sammeln sie Informationen über virtuelle Computer, VPN-Verbindungen, SharePoint- und OneDrive-Ressourcen sowie Salesforce-, Citrix- und andere Remote-Umgebungen. 
  • Nachdem sie sich Zugang verschafft hat, erstellt die Gruppe mit den kompromittierten Mitarbeiterkonten neue Geschenkkarten. 
  • Anschließend löst sie den mit diesen Karten verbundenen Wert ein, verkauft die Geschenkkarten auf dem Schwarzmarkt an andere Bedrohungsakteure oder setzt Geldkuriere ein, um die Geschenkkarten einzulösen.
Ein Bild, das zwei Telefone mit Smishing-Nachrichten von Storm-0539 zeigt, durch die vorgegeben werden soll, dass es sich um das Helpdesk eines ins Ziel genommenen Firmenbeschäftigten handelt
Smishing-Nachrichten von Storm-0539, durch die vorgegeben werden soll, dass es sich um das Helpdesk eines ins Ziel genommenen Firmenbeschäftigten handelt

Die Spionagetätigkeiten und die Fähigkeit von Storm-0539, Cloud-Umgebungen zu nutzen, ähneln denen, die Microsoft bei von Staaten gesponserten Bedrohungsakteuren beobachtet. Dies zeigt, wie Techniken, die in der Spionage und bei Gegnern mit geopolitischem Fokus beliebt sind, nun auch finanziell motivierte Kriminelle beeinflussen.

Storm-0539 beispielsweise nutzt sein Wissen über cloudbasierte Software, Identitätssysteme und Zugriffsrechte, um sich auf die Erstellung von Geschenkkarten zu konzentrieren, anstatt nur auf den Endbenutzer. Diese Aktivität ist ein Trend, den wir bei nichtstaatlichen Gruppen wie Octo Tempest und Storm-0539 beobachten, die taktische Kenntnisse über Cloudressourcen haben, die denen technisch versierter, staatlich unterstützter Akteure ähneln.

Um sich zu tarnen und unentdeckt zu bleiben, gibt sich Storm-0539 gegenüber Cloud-Anbietern als legitime Organisation aus, um vorübergehend kostenlose Anwendungen, Speicher und andere Ressourcen für ihre Angriffsaktivitäten zu erhalten.

Im Rahmen dieser Bemühungen erstellen sie Websites, die angeblich von Wohltätigkeitsorganisationen, Tierschutzvereinen oder anderen gemeinnützigen Organisationen in den Vereinigten Staaten stammen, und nutzen hierzu typischerweise Typosquatting. Bei dieser betrügerischen Praxis wird eine Domäne mit einer häufig vorkommenden falschen Schreibweise der Domäne einer Organisation registriert, um Benutzer dazu zu verleiten, diese betrügerischen Websites zu besuchen und persönliche Informationen oder geschäftliche Anmeldedaten einzugeben.

Microsoft hat festgestellt, dass Storm-0539 zur Erweiterung seines Betrugs-Toolkits legitime Kopien von 501(c)(3)-Briefen des Internal Revenue Service (IRS) von öffentlichen Websites gemeinnütziger Organisationen herunterlädt. Mit einer Kopie eines legitimen 501(c)(3)-Briefes und einer entsprechenden Domäne, die den Anschein erweckt, der gemeinnützigen Organisation zu gehören, für die der Brief ausgestellt wurde, wendet sich die Betrügergruppe an große Cloudanbieter, um gesponserte oder vergünstigte Technologiedienste zu erhalten, die häufig gemeinnützigen Organisationen bereitgestellt werden.

Eine Infografik, die die Vorgehensweise von Storm-0539 zeigt
Storm-0539 agiert über kostenlose Testversionen, nutzungsbasierte Zahlung bei Abonnements und infiltrierte Cloudressourcen. Wir haben ebenso festgestellt, dass sich Storm-0539 als gemeinnützige Organisationen ausgegeben hat, um auf Nutzungsmodelle für gemeinnützige Organisationen bei verschiedenen Clouddienstleistern Zugriff zu erhalten.

Die Gruppe richtet auch kostenlose Test- oder Studentenkonten auf Clouddienst-Plattformen ein, auf die neue Kunden in der Regel 30 Tage lang zugreifen können. Innerhalb dieser Konten erstellen sie virtuelle Computer, von denen aus sie ihre gezielten Operationen starten können. Die Fähigkeit von Storm-0539, cloudbasierte Angriffsinfrastrukturen zu kompromittieren und zu erstellen, ermöglicht es der Gruppe, die in der Cyberkriminalität üblichen Vorlaufkosten wie Host- und Serverkosten zu vermeiden, da sie versucht, Kosten zu minimieren und die Effizienz zu maximieren.

Microsoft geht davon aus, dass Storm-0539 die Anbieter von föderierten Identitätsdiensten in den Zielunternehmen ausgiebig auskundschaftet, um den Anmeldeprozess der Benutzer überzeugend nachzuahmen. Dazu gehört nicht nur das Aussehen der AiTM-Seite (Adversary-in-the-Middle), sondern auch die Verwendung registrierter Domänen, die jenen legitimer Dienste sehr ähnlich sind. In anderen Fällen kompromittierte Storm-0539 kürzlich registrierte legitime WordPress-Domänen, um die AiTM-Startseite zu erstellen.

Empfehlungen

  • Tokenschutz und Zugriff mit den geringstmöglichen Berechtigungen: Verwenden Sie Richtlinien zum Schutz vor Token-Replay-Angriffen, bei denen das Token an das Gerät des legitimen Benutzers gebunden wird. Wenden Sie das Prinzip der geringstmöglichen Berechtigung auf den gesamten Technologie-Stack an, um die potenziellen Auswirkungen eines Angriffs zu minimieren.
  • Eine sichere Geschenkkarten-Plattform nutzen und Lösungen zum Schutz vor Betrug implementieren: Erwägen Sie den Wechsel zu einem System, das die Authentifizierung von Zahlungen vorsieht. Händler können auch Funktionen zum Schutz vor Betrug integrieren, um Verluste zu minimieren.
  • Phising-sichere Multi-Faktor-Authentifizierung: Wechseln Sie zu Phishing-sicheren Anmeldeinformationen, die vor verschieden Arten von Angriffen geschützt sind, wie etwa FIDO2-Sicherheitsschlüssel.
  • Bei hohem Benutzerrisiko die sichere Kennwortänderung erfordern: Bevor der entsprechende Benutzer ein neues Passwort mit Kennwortrückschreiben erstellen kann, ist die Microsoft Entra-Multi-Faktor-Authentifizierung zum Ausgleich des Risikos erforderlich.
  • Mitarbeiterschulung: Händler sollten ihre Mitarbeiter darin schulen, potenziellen Geschenkkartenbetrug zu erkennen und verdächtige Bestellungen abzulehnen.

Dem Sturm trotzen: Schutz vor Storm-0539

Geschenkkarten sind ein attraktives Ziel für Betrüger, da sie im Gegensatz zu Kredit- oder Debitkarten nicht mit einem Kundennamen oder einem Bankkonto verknüpft sind. Microsoft hat festgestellt, dass die Aktivitäten von Storm-0539, die ihren Schwerpunkt in dieser Branche haben, während der saisonalen Ferienzeiten zunimmt. Memorial Day, Labor Day und Thanksgiving in den USA sowie der Black Friday und die Winterferien weltweit sind in der Regel mit einer erhöhten Aktivität dieser Gruppe verbunden.

Normalerweise legen Organisationen ein Limit für den Geldwert einer einzelnen Geschenkkarte fest. Liegt dieses Limit beispielsweise bei 100.000 US-Dollar, stellt der Betrüger eine Karte im Wert von 99.000 US-Dollar aus, sendet sich selbst den Code der Geschenkkarte und wandelt sie in Geld um. Seine Hauptmotivation besteht darin, Geschenkkarten zu stehlen und sie online zu einem reduzierten Preis zu verkaufen. Wir haben einige Situationen beobachtet, in denen der Täter bis zu 100.000 US-Dollar pro Tag von bestimmten Unternehmen gestohlen hat.

Um solche Angriffe abzuwehren und zu verhindern, dass diese Gruppe unbefugten Zugang zu Geschenkkartenabteilungen erhält, sollten Unternehmen, die Geschenkkarten ausgeben, ihre Geschenkkarten-Portale als hochrangige Ziele betrachten. Diese sollten genau überwacht und kontinuierlich auf ungewöhnliche Aktivitäten überprüft werden.

Jedes Unternehmen, das Geschenkkarten erstellt oder ausgibt, sollte Kontrollmechanismen und Gegenmaßnahmen einführen, um den schnellen Zugriff auf Geschenkkarten-Portale und andere hochrangige Ziele zu verhindern, selbst wenn ein Konto kompromittiert wurde. Überwachen Sie kontinuierlich Protokolle, um verdächtige Anmeldeversuche und andere häufige erste Zugangswege zu identifizieren, die auf der Kompromittierung von Cloud-Identitäten basieren, und implementieren Sie Richtlinien für den bedingten Zugriff, die Anmeldeversuche einschränken und riskante Anmeldeversuche melden.

Unternehmen sollten auch in Erwägung ziehen, die Multi-Faktor-Authentifizierung durch Richtlinien für den bedingten Zugriff zu ergänzen, bei denen Authentifizierungsanfragen anhand zusätzlicher identitätsgesteuerter Signale wie IP-Adressen-Standortinformationen oder Gerätestatus bewertet werden, um nur einige zu nennen.

Eine weitere Taktik, die zur Eindämmung dieser Angriffe beitragen könnte, ist die Einführung eines Kundenverifizierungsverfahrens beim Kauf von Domänen. Vorschriften und Richtlinien von Providern verhindern böswilliges Typosquatting weltweit möglicherweise nicht vollständig, was bedeutet, dass diese betrügerischen Websites für die Ausweitung von Cyberangriffen beliebt bleiben können. Überprüfungsverfahren für die Erstellung von Domänen könnten dazu beitragen, mehr Websites zu verhindern, die nur zu dem Zweck erstellt werden, Opfer zu täuschen.

Neben irreführenden Domänennamen hat Microsoft auch beobachtet, dass Storm-0539 legitime unternehmensinterne Mailinglisten für die Verbreitung von Phishing-Nachrichten nutzt, sobald die Gruppe in einem Unternehmen Fuß gefasst hat und dessen Verteilerlisten und andere Geschäftspraktiken kennt.

Das Phishing über eine legitime Verteilerliste verleiht dem bösartigen Inhalt nicht nur eine zusätzliche Authentifizierungsebene, sondern hilft auch dabei, den Inhalt auf eine größere Anzahl von Personen zuzuschneiden, die Zugang zu Anmeldeinformationen, Beziehungen und Informationen haben, auf die Storm-0539 angewiesen ist, um seine Persistenz und Reichweite zu erhöhen.

Wenn Benutzer auf Links in Phishing-E-Mails oder -Texten klicken, werden sie auf eine AiTM-Phishing-Seite umgeleitet, auf der Anmeldeinformationen gestohlen und sekundäre Authentifizierungstoken abgefangen werden. Einzelhändler sollten ihre Mitarbeiter darüber aufklären, wie Smishing/Phishing-Betrug funktioniert, wie man ihn erkennt und wie man ihn meldet.

Es ist wichtig hervorzuheben, dass Storm-0539 im Gegensatz zu „lauten“ Ransomware-Akteuren, die Daten verschlüsseln und stehlen und dann eine Zahlung verlangen, in einer Cloudumgebung herumschleicht, um in aller Ruhe Informationen zu sammeln und die Cloud- und Identitätsinfrastruktur zu missbrauchen, um seine Ziele zu erreichen.

Die Operationen von Storm-0539 sind so überzeugend, weil die Akteure legitime, kompromittierte E-Mails verwenden und legitime Plattformen imitieren, die von den Zielunternehmen genutzt werden. Bei einigen Unternehmen können die Verluste durch Geschenkkartenbetrug ausgeglichen werden. Dies erfordert eine gründliche Untersuchung, um herauszufinden, welche Geschenkkarten der Bedrohungsakteur ausgegeben hat.

Microsoft Threat Intelligence hat die von Storm-0539 betroffenen Unternehmen informiert. Nicht zuletzt aufgrund dieses Informationsaustauschs und der Zusammenarbeit konnten wir in den letzten Monaten feststellen, dass große Einzelhändler immer besser in der Lage sind, Storm-0539 wirksam abzuwehren.

Eine Infografik, die die Vorgehensweise von Storm-0539 bei Infiltrationen zeigt, beginnend mit „Phishing/Smishing“ und gefolgt von „Zugriff auf Cloudressourcen“, „Ausnutzung (Datenexport und Diebstahl von Geschenkgutscheinen)“ und „Informationen für zukünftige Angriffe“; „Identität“ steht im Zentrum der Grafik.
Vorgehensweise von Storm-0539 bei Infiltrationen

Empfehlungen

  • Kennwortzurücksetzung für Benutzer, die mit Phishing- und AiTM-Aktivitäten in Zusammenhang stehen: Setzen Sie Kennwörter sofort zurück, um aktive Sitzungen zu widerrufen. Widerrufen Sie alle Änderungen an den Einstellungen für die Multi-Faktor-Authentifizierung, die der Angreifer in kompromittierten Konten vorgenommen hat. Schreiben Sie vor, dass für Änderungen an der Multi-Faktor-Authentifizierung standardmäßig eine erneute Multi-Faktor-Authentifizierung erforderlich ist. Stellen Sie außerdem sicher, dass die Mobilgeräte, die Mitarbeiter für den Zugriff auf Unternehmensnetzwerke nutzen, ähnlich geschützt sind.
  • Aktivierung von ZAP (Zero-Hour Auto Purge, automatische Bereinigung zur Nullstunde) in Microsoft Defender for Office 365: ZAP erkennt automatisch E-Mails, die zu einer Phishingkampagne gehören und ergreift entsprechende Maßnahmen, anhand identischer Elemente bekannter bösartiger Nachrichten.
  • Identitäten, Zugriffsberechtigungen und Verteilerlisten aktualisieren, um die Angriffsfläche zu minimieren: Angreifer wie Storm-0539 gehen davon aus, dass sie Benutzer mit übermäßigen Berechtigungen finden, die sie kompromittieren können. Dies kann erhebliche Auswirkungen haben. Mitarbeiter- und Teamrollen ändern sich häufig. Die regelmäßige Überprüfung von Berechtigungen, Verteilerlistenmitgliedschaften und anderen Attributen kann dazu beitragen, die Folgen eines ersten Eindringens zu begrenzen und dem Eindringling die Arbeit zu erschweren.

Erfahren Sie mehr über Storm-0539 und die Microsoft Threat Intelligence-Experten , die sich mit Cyberkriminalität und den neuesten Bedrohungen befassen.

Methodik: Die statistischen Momentaufnahme- und Deckungsdaten zeigen eine Zunahme der Meldungen unserer Kunden und der Beobachtungen des Bedrohungsakteurs Storm-0539. Diese Zahlen spiegeln die Aufstockung des Personals und der Mittel für die Überwachung dieser Gruppe wider. Azure Active Directory lieferte anonymisierte Daten zu Bedrohungsaktivitäten wie bösartige E-Mail-Konten, Phishing-E-Mails und Angreiferbewegungen in Netzwerken. Zusätzliche Erkenntnisse ergaben sich aus den 78 Billionen Sicherheitssignalen, die Microsoft täglich verarbeitet, einschließlich der Cloud, der Endpunkte, des intelligenten Netzwerks und der Telemetriedaten von Microsoft-Plattformen und -Diensten wie Microsoft Defender.

Cyber Signals Phishing Bedrohungsakteure

Verwandte Artikel

Storm-0539: das Expertenteam zur Bekämpfung von Geschenkkartenbetrug

Die Microsoft Threat Intelligence-Analysten Alison Ali, Waymon Ho und Emiel Haeghebaert mit Fachwissen in den Bereichen internationale Beziehungen, Strafverfolgung, Sicherheit und öffentliche Verwaltung verfügen über eine Reihe einzigartiger Fähigkeiten, um Storm-0539 nachzuverfolgen – einen Bedrohungsakteur, der sich auf den Diebstahl von Zahlungskarten und den Betrug mit Geschenkkarten spezialisiert hat.
Mehr erfahren

Gespeist aus Vertrauen: Social-Engineering-Betrug

Erkunden Sie eine digitale Landschaft im Wandel, in der Vertrauen gleichzeitig eine Währung und ein Sicherheitsrisiko ist. Erfahren Sie mehr über die häufigsten Social-Engineering-Tricks, die bei Cyberangriffen eingesetzt werden, und über Strategien zur Erkennung und Neutralisierung von Social-Engineering-Bedrohungen, die darauf abzielen, die menschliche Natur zu manipulieren.
Mehr erfahren

Neue Taktiken verursachen einen in Anstieg betrügerischen Business-E-Mails

Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) ist auf dem Vormarsch, da Cyberkriminelle die Quelle ihrer Angriffe verschleiern können, um noch heimtückischer vorzugehen. Erfahren Sie mehr über CaaS und wie Sie Ihr Unternehmen schützen können.
Mehr erfahren

Microsoft Security folgen