Korporācija Microsoft turpina meklēt radošus veidus, kā aizsargāt lietotājus tiešsaistē, un tas neietver nekādu iecietību pret tiem, kuri rada krāpnieciskas mūsu produktu kopijas, lai kaitētu citiem. Krāpnieciski tiešsaistes konti kalpo kā vārteja kibernozieguma viesotājam, tostarp masveida pikšķerēšanai, identitātes zādzībai un krāpniecībai, kā arī izkliedētiem pakalpojuma atteikuma (DDoS) uzbrukumiem. Šī iemesla dēļ mēs, izmantojot vērtīgus draudu informācijas ieskatus no Arkose Labs — vadošā kiberdrošības aizsardzības un botu pārvaldības piegādātāja, gatavojamies notvert lielāko krāpniecisku Microsoft kontu pārdevēju un veidotāju — grupējumu, ko dēvējam par Storm-1152. Mēs paužam stingru vēstījumu tiem, kuri vēlas izveidot, pārdot vai izplatīt krāpnieciskus Microsoft produktus kibernoziegumiem: mēs vērojam, vācam informāciju un rīkosimies, lai aizsargātu savus klientus. Grupējums Storm-1152 vada nelikumīgas tīmekļa vietnes un sociālo tīklu lapas, pārdodot krāpnieciskus Microsoft kontus un rīkus, lai apietu identitātes verifikācijas programmatūru labi zināmās tehnoloģiju platformās. Šie pakalpojumi samazina laiku un piepūli, kas noziedzniekiem nepieciešama, lai viesotu noziedzīgas un ļaunprātīgas darbības tiešsaistē. Līdz šim brīdim Storm-1152 ir radījis pārdošanai aptuveni 750 miljonus krāpniecisku Microsoft kontu, nopelnot grupējumam miljoniem dolāru nelikumīgu ieņēmumu un radot korporācijai Microsoft un citiem uzņēmumiem vēl lielākas grūtības apkarot šīs noziedzīgās darbības. Mūsu šībrīža rīcības mērķis ir atturēt no noziedzīgas darbības. Mēģinot samazināt ātrumu, kādā kibernoziedznieki veic savus uzbrukumus, mūsu mērķis ir palielināt to darbības izmaksas, vienlaikus turpinot izmeklēšanu un aizsargājot mūsu klientus un citus lietotājus tiešsaistē.
Reģistrējieties 30. oktobra tīmekļa semināram par Microsoft digitālās aizsardzības pārskata 2024 ieskatiem.
Kibernoziegumu vārtejas pakalpojumu iznīcināšana
Grupējumam Storm-1152 ir nozīmīga loma augsti specializētā ekosistēmā, kur kibernoziegums uzskatāms par pakalpojumu. Kibernoziedzniekiem ir nepieciešami krāpnieciski konti, lai atbalstītu savas plaši automatizētās noziedzīgās darbības. Uzņēmumiem piemītot spējai ātri identificēt un apstādināt krāpnieciskus kontus, noziedzniekiem ir nepieciešams lielāks kontu daudzums, lai apietu mazināšanas pasākumus. Tā vietā, lai tērētu laiku, mēģinot izveidot tūkstošiem krāpniecisku kontu, kibernoziedznieki var tos vienkārši iegādāties no Storm-1152 un citiem grupējumiem. Tas ļauj kibernoziedzniekiem koncentrēties uz saviem pasākumiem galveno pikšķerēšanas, surogātpasta sūtīšanas, izspiedējprogrammatūras un cita veida krāpniecisku un kaitniecisku mērķu sasniegšanai. Storm-1152 un tamlīdzīgi grupējumi ļauj daudziem kibernoziedzniekiem efektīvāk īstenot to ļaunprātīgās darbības.
Risinājums Microsoft draudu informācija ir identificējis vairākus grupējumus, kuri saistīti ar izspiedējprogrammatūru, datu zādzību un izspiešanu, kas īstenota Storm-1152 kontos. Piemēram, grupējums Octo Tempest, kas zināms arī kā Scattered Spider, ieguva krāpnieciskus Microsoft kontus no Storm-1152. Octo Tempest ir finansiāli motivēts kibernoziedzības grupējums, kas izmanto plašas sociālās inženierijas kampaņas, lai apdraudētu organizācijas visā pasaulē ar finansiālas izspiešanas mērķi. Microsoft turpina izsekot vairākus citus izspiedējprogrammatūras vai izspiešanas draudu izpildītājus, kuri ir iegādājušies krāpnieciskus kontus no Storm-1152, lai sekmētu savus uzbrukumus, tostarp Storm-0252 un Storm-0455.
Ceturtdien, 7. decembrī, Microsoft saņēma tiesas rīkojumu no Ņujorkas dienvidu rajona apgabaltiesas par ASV izvietotās infrastruktūras konfiskāciju un tīmekļa vietņu pārvietošanu bezsaistē, ko grupējums Storm-1152 izmantoja, lai kaitētu Microsoft klientiem. Lai gan mūsu lieta ir vērsta uz krāpnieciskiem Microsoft kontiem, ietekmētās tīmekļa vietnes arī pārdeva pakalpojumus, lai apietu drošības līdzekļus citās labi zināmās tehnoloģiju platformās. Šī iemesla dēļ šodienas rīcībai ir plašāka ietekme, nodrošinot ieguvumus lietotājiem ārpus Microsoft. Precīzāk, Microsoft Digitālo noziegumu apkarošanas vienība iznīcināja:
- Hotmailbox.me — tīmekļa vietne, kurā pārdod krāpnieciskus Microsoft Outlook kontus.
- 1stCAPTCHA, AnyCAPTCHA un NoneCAPTCHA — tīmekļa vietnes, kas sekmē rīku izstrādi, infrastruktūru un CAPTCHA atrisināšanas pakalpojumu pārdošanu, lai apietu lietošanas apstiprināšanu un konta iestatīšanu, kas jāveic reālai personai. Šīs vietnes pārdeva identitātes verifikācijas apiešanas rīkus citām tehnoloģiju platformām.
- Sociālo tīklu vietnes, kas tika aktīvi izmantotas, lai tirgotu šos pakalpojumus.
Storm-1152 nelikumīgu tīmekļa vietņu attēli.
Korporācija Microsoft ir apņēmusies piedāvāt drošas digitālās iespējas ikvienam cilvēkam un organizācijai visā pasaulē. Mēs cieši strādājam ar Arkose Labs, lai izvietotu nākamās paaudzes CAPTCHA aizsardzības risinājumu. Risinājumam ir nepieciešams, lai ikviens lietotājs, kurš vēlas atvērt Microsoft kontu, apliecinātu, ka ir cilvēks (nevis bots) un verificētu šī apliecinājuma precizitāti, risinot dažāda veida drošības uzdevumus.
Kā Arkose Labs dibinātājs un izpilddirektors Kevins Gosšalks (Kevin Gosschalk) stāsta: “Storm-1152 ir grūti uzveicams pretinieks, kas dibināts vienīgi ar mērķi nopelnīt naudu, dodot iespēju ienaidniekiem veikt sarežģītus uzbrukumus. Grupējums atšķiras ar faktu, ka tas savu darbību pēc principa “kibernoziegums kā pakalpojums” (CaaS) izveidoja dienasgaismā nevis tumšajā tīmeklī. Storm-1152 darbojās kā tipisks interneta koncerns, nodrošinot apmācību par saviem rīkiem un pat piedāvājot pilnu klientu atbalstu. Patiesībā Storm-1152 bija brīva vārteja nopietnai krāpniecībai.”
Grupējuma Storm-1152 darbības ne tikai pārkāpj Microsoft pakalpojumu nosacījumus, pārdodot krāpnieciskus kontus, bet arī mērķtiecīgi kaitē Arkose Labs klientiem, un to rezultātā upuri tiek maldināti, izliekoties par likumīgiem lietotājiem mēģinājumā apiet drošības pasākumus.
Ekrānuzņēmums, kurā redzama Microsoft iniciētā domēna konfiskācija saistībā ar faktu, ka šī tīmekļa vietne mēģina pārdot krāpnieciski iegūtus Microsoft kontus
Mūsu veiktā Storm-1152 darbības analīze ietver atklāšanu, analīzi, telemetriju, slepenus testa pirkumus un dekonstruēšanu, lai precīzi noteiktu ļaunprātīgu infrastruktūru, kas tiek viesota Amerikas Savienotajās Valstīs. Microsoft draudu informācija un Arkose kiberdraudu informācijas izpētes vienība (ACTIR) nodrošināja papildu datus un ieskatus, lai stiprinātu mūsu pozīciju tiesas prāvā.
Izmeklēšanas ietvaros mēs spējām apstiprināt to Vjetnamā esošo izpildītāju identitāti, kuri vada Storm-1152 operācijas — Duong Dinh Tu, Linh Van Nguyễn (zināms arī kā Nguyễn Van Linh) un Tai Van Nguyen. Mūsu konstatējumi liecina, ka šīs personas darbināja un rakstīja kodu nelikumīgām tīmekļa vietnēm, publicēja video apmācības ar detalizētiem pakāpeniskiem norādījumiem par viņu produktu izmantošanu un nodrošināja tērzēšanas pakalpojumus, lai palīdzētu tiem, kuri izmanto viņu krāpnieciskos pakalpojumus.
Kopš tā laika korporācija Microsoft iesniedza krimināllietu ASV tiesībaizsardzības iestādēm. Esam pateicīgi par sadarbību ar tiesībaizsardzības iestādēm, kuras var saukt pie atbildības personas, kas nodara kaitējumu mūsu klientiem.
Duong Dinh Tu YouTube kanāls ar pamācību videoklipiem drošības pasākumu apiešanai.
Šodienas rīcība ir Microsoft stratēģijas turpinājums, kuras mērķis ir plašāka kibernoziedznieku ekosistēma un rīki, ko kibernoziedznieki izmanto, lai īstenotu savus uzbrukumus. Tā ir balstīta uz mūsu juridiskās metodes izvēršanu, kas tiek sekmīgi izmantota, lai iznīcinātu ļaunprogrammatūru un plaša mēroga operācijas. Mēs sadarbojamies arī ar citām organizācijām visā nozarē, lai veicinātu informācijas izplatīšanu par krāpniecību un turpmāk sekmētu mākslīgā intelekta un mašīnmācīšanās algoritmus, kas ātri nosaka un atzīmē krāpnieciskus kontus.
Kā teicām iepriekš, iznīcināšanu nav iespējams īstenot vienā dienā. Kibernoziegumu apkarošanai ir nepieciešama pastāvība un nepārtraukta piesardzība, lai iznīcinātu jaunu ļaunprātīgu infrastruktūru. Kaut arī pašreizējie juridiskie pasākumi ietekmēs Storm-1152 darbības, mēs sagaidām, ka tā rezultātā citi draudu izpildītāji pielāgos savas tehnikas. Nepārtraukta publiskā un privātā sektora sadarbība, piemēram, pašreizējā sadarbība ar Arkose Labs un ASV tiesībaizsardzības iestādēm, paliek būtiska, ja vēlamies nozīmīgi mazināt kibernoziedzības ietekmi.
Sekot Microsoft drošībai