Trace Id is missing

Riscul în creștere al fraudelor cu carduri cadou

Descărcați
Distribuiți
Un laptop cu carduri cadou și carduri de credit zburând din el

Semnale cibernetice, nr. 7: În cușca leului

În contextul în care tranzacțiile digitale și cumpărăturile online au devenit parte integrantă din viața noastră de zi cu zi, amenințarea infracțiunilor cibernetice este iminentă. Printre aceste amenințări, fraudele cu carduri cadou și de plată, care includ atât cardurile cadou de la companiile de carduri de credit, cât și de la detailiști, sunt omniprezente și evoluează. Infractorii utilizează metode tot mai sofisticate pentru a compromite portalurile cardurilor cadou înainte de a le transforma în numerar aproape imposibil de urmărit.

Această ediție a publicației Semnale cibernetice analizează tacticile, tehnicile și procedurile unui actor de amenințare din domeniul infracțiunilor cibernetice pe care Microsoft îl numește Storm-0539, cunoscut și sub numele de Atlas Lion, și activitățile sale în domeniul furtului de carduri cadou, complexitatea metodelor sale și implicațiile pentru persoane, firme și securitatea cibernetică.

Storm-0539 și-a menținut relevanța de-a lungul anilor, adaptându-se la evoluția continuă a criminalității. Prin intermediul unei rețele labirintice de canale criptate și forumuri clandestine, aceștia coordonează operațiuni ilicite exploatând deficiențele tehnologice și desfășurând campanii inteligente de inginerie socială pentru a-și extinde operațiunile.

Cu toate că mulți actori din domeniul infracțiunilor cibernetice urmează soluțiile cele mai simple pentru a obține profituri rapide și a se concentra pe amploare, Storm-0539 se concentrează în mod discret și productiv asupra compromiterii sistemelor și tranzacțiilor cu carduri cadou. Acest adversar țintește neîncetat emitenții de carduri cadou adaptându-și tehnicile pentru a ține pasul cu schimbările din domeniul comerțului cu amănuntul, al plăților și din alte domenii conexe.

Cu toții suntem apărători.

În mod obișnuit, Storm-0539 își intensifică activitatea de atacuri înaintea sărbătorilor importante. Între martie și mai 2024, înainte de începerea sezonului estival, Microsoft a observat o creștere cu 30% a activității de intruziune din partea Storm-0539. Între septembrie și decembrie 2023, am observat o creștere de 60% a activității de atacuri, care coincide cu sărbătorile de toamnă și de iarnă.

  • Creștere cu 30% a activității de intruziune a Storm-0539, între martie și mai 2024
  • Creștere cu 60% a activității de intruziune a Storm-0539, între septembrie și decembrie 2024

Atacatorii perfecționează fraudele cu carduri cadou și de plată

Storm-0539 își desfășoară activitatea din Maroc și participă la infracțiuni financiare precum fraudele cu carduri cadou. Printre tehnicile lor se numără phishingul, smishingul, înregistrarea propriilor dispozitive în mediile victimelor pentru a obține acces permanent și exploatarea accesului pentru a viza organizații terțe. Își înregistrează dispozitivele astfel încât solicitările de autentificare multifactor (MFA) asociate cu un cont compromis al victimei să ajungă la dispozitivul atacatorului. Înregistrarea unui dispozitiv le permite să compromită în întregime o identitate și să persiste în mediul cloud. 

Această grupare de infractori cibernetici, care funcționează de la sfârșitul anului 2021, reprezintă o evoluție a actorilor de amenințare axați pe atacarea conturilor și sistemelor cardurilor de plată. Înainte, atacatorii compromiteau frecvent datele cardurilor de plată cu ajutorul unor programe malware pentru punctele de vânzare (POS). Însă, pe măsură ce aceste sectoare și-au consolidat apărarea POS-urilor, Storm-0539 și-a adaptat tehnicile de atac pentru a compromite serviciile cloud și de identitate, vizând portalurile de carduri cadou ale marilor comercianți cu amănuntul, mărcile de lux și restaurantele fast-food cunoscute.

În mod tradițional, frauda cu carduri de plată și cadou este asociată cu campanii sofisticate de malware și phishing. Însă această grupare mizează pe cunoștințele sale aprofundate despre cloud pentru a efectua o recunoaștere a proceselor de emitere a cardurilor cadou ale unei organizații, a portalurilor de carduri cadou și a angajaților care au acces la cardurile cadou.

În mod normal, lanțul de atac include următoarele acțiuni:
  • Prin utilizarea listelor de angajați și a planificărilor, a listelor de contacte și a inboxurilor de e-mail, Storm-0539 vizează telefoanele mobile personale și profesionale ale angajaților cu mesaje de smishing. 
  • După infiltrarea contului unui angajat dintr-o organizație vizată, atacatorii se deplasează lateral în cadrul rețelei, încercând să identifice procesul de business al cardurilor cadou, orientându-se către conturile compromise legate de acel portofoliu specific. 
  • De asemenea, aceștia strâng informații despre mașini virtuale, conexiuni VPN, resurse SharePoint și OneDrive, precum și despre Salesforce, Citrix și alte medii la distanță. 
  • După ce obține accesul, gruparea creează noi carduri cadou utilizând conturile angajaților compromise. 
  • Aceștia răscumpără apoi valoarea asociată cardurilor respective, apoi vând cardurile cadou altor actori de amenințare pe piețele negre sau utilizează cărăuși de bani pentru a încasa cardurile cadou.
Imagine care prezintă două telefoane cu mesaje de smishing de la Storm-0539 care își asumă identitatea unui angajat vizat de la biroul de asistență al companiei.
Mesaje smishing de la gruparea Storm-0539 care își asumă identitatea unui angajat vizat de la biroul de asistență al companiei.

Capacitatea de recunoaștere și de exploatare a mediilor cloud de către Storm-0539 seamănă cu cele observate de Microsoft din partea actorilor de amenințare sponsorizați de state naționale, demonstrând modul în care tehnicile popularizate de spionaj și de adversarii preocupați de geopolitică influențează acum infractorii motivați financiar.

De exemplu, Storm-0539 se bazează pe cunoștințele sale privind software-ul în cloud, sistemele de identitate și privilegiile de acces pentru a viza locul în care sunt create cardurile cadou, în loc să se concentreze exclusiv pe utilizatorul final. Am observat această tendință în rândul grupărilor care nu acționează în numele unei țări, cum ar fi Octo Tempest și Storm-0539, bine familiarizate din punct de vedere tactic cu resursele cloud, la fel ca și actorii avansați sponsorizați de un stat.

Pentru a se camufla și a nu fi detectați, Storm-0539 se prezintă ca organizații legitime în fața furnizorilor de cloud, pentru a obține aplicații temporare, spațiu de stocare și alte resurse inițiale gratuite pentru a-și desfășura atacurile.

În acest scop, ei creează site-uri web care își asumă identitatea unor organizații caritabile, adăposturi pentru animale și alte organizații nonprofit din Statele Unite, de obicei prin typosquatting, o practică înșelătoare prin care indivizii înregistrează o scriere greșită comună a domeniului unei organizații ca și cum le-ar aparține pentru a determina utilizatorii să viziteze site-uri frauduloase și să introducă informații personale sau informații de conectare profesionale.

Pentru a-și extinde și mai mult setul de instrumente de fraudare, Microsoft a constatat că Storm-0539 descarcă copii legitime ale scrisorilor 501(c)(3) emise de Internal Revenue Service (IRS) de pe site-urile publice ale organizațiilor nonprofit. Având la dispoziție o copie a unei scrisori 501(c)(3) legitime și un domeniu corespunzător care își asumă identitatea organizației non-profit pentru care a fost emisă scrisoarea, aceștia abordează principalii furnizori de cloud pentru a obține sponsorizări sau reduceri la serviciile tehnologice oferite adesea organizațiilor non-profit.

Un grafic informativ care arată cum funcționează Storm-0539.
Storm-0539 funcționează prin versiuni de încercare gratuită, abonamente cu plată pe parcurs și resurse din cloud compromise. De asemenea, am observat că Storm-0539 și-au asumat identitatea unor organizații nonprofit legitime pentru a obține sponsorizări pentru organizații nonprofit de la mai mulți furnizori de cloud.

De asemenea, această grupare creează versiuni de încercare gratuite sau conturi de studenți pe platformele de servicii cloud care le oferă de obicei acces timp de 30 de zile noilor clienți. În cadrul acestor conturi, gruparea creează mașini virtuale de pe care își lansează operațiunile țintite. Competența cu care Storm-0539 compromite și creează infrastructuri de atac în cloud îi permite să evite costurile inițiale tipice din economia infracțiunilor cibernetice, cum ar fi plata pentru găzduire și servere, deoarece încearcă să-și minimizeze costurile și să-și maximizeze eficiența.

Microsoft estimează că Storm-0539 efectuează o recunoaștere extinsă a furnizorilor de servicii de identitate federativă la companiile vizate pentru a imita în mod convingător experiența de conectare a utilizatorului, incluzând nu doar aspectul paginii de tip adversary-in-the-middle (adversar intermediar – AiTM), ci și utilizarea domeniilor înregistrate care corespund îndeaproape serviciilor legitime. În alte situații, Storm-0539 a compromis domenii WordPress legitime înregistrate recent pentru a crea pagina de destinație AiTM.

Recomandări

  • Protecția prin token și accesul cu privilegii minime: Utilizați politici pentru a vă proteja împotriva atacurilor de reproducere a tokenurilor prin asocierea tokenului la dispozitivul utilizatorului legitim. Aplicați principiile de acces cu privilegii minime la nivelul întregului ansamblu tehnologic pentru a reduce la minimum impactul potențial al unui atac.
  • Adoptați o platformă securizată de carduri cadou și implementați soluții de protecție antifraudă: Luați în considerare trecerea la un sistem conceput pentru autentificarea plăților. De asemenea, comercianții pot integra funcții de protecție antifraudă pentru a minimiza pierderile.
  • MFA rezistentă la phishing: Adoptarea unor acreditări rezistente la phishing care să fie imune la diverse atacuri, cum ar fi cheile de securitate FIDO2.
  • Solicitați o schimbare sigură a parolei atunci când nivelul de risc al utilizatorului este ridicat: Înainte ca utilizatorul să-și poată crea o parolă nouă cu writeback, este necesară utilizarea MFA Microsoft Entra pentru a remedia riscul.
  • Instruiți angajații: Comercianții ar trebui să-și instruiască angajații să recunoască potențialele escrocherii cu carduri cadou și să refuze comenzile suspecte.

Depășirea greutăților: Apărarea împotriva storm-0539

Cardurile cadou constituie ținte tentante pentru fraude deoarece, spre deosebire de cardurile de credit sau de debit, acestea nu conțin numele clienților sau conturi bancare. Microsoft constată o creștere a activității din partea Storm-0539 axată pe acest sector în perioada sărbătorilor. Ziua Memorială, Ziua Muncii și Ziua Recunoștinței din SUA, precum și Black Friday și sărbătorile de iarnă din întreaga lume, tind să genereze o activitate sporită din partea acestei grupări.

De obicei, organizațiile stabilesc o limită privind valoarea în numerar care poate fi emisă pentru un card cadou individual. De exemplu, dacă această limită este de 100.000 USD, actorul de amenințare va emite un card de 99.000 USD, apoi își va trimite codul cardului cadou și îl va monetiza. Motivația sa principală este de a sustrage carduri cadou și de a profita de pe urma vânzării lor online la un preț redus. Am întâlnit câteva exemple în care actorii de amenințare au furat până la 100.000 USD zilnic de la anumite companii.

Pentru a se apăra împotriva unor astfel de atacuri și pentru a împiedica această grupare să obțină acces neautorizat la departamentele de carduri cadou, companiile care emit carduri cadou ar trebui să-și trateze portalurile de carduri cadou drept ținte de mare valoare. Acestea ar trebui monitorizate îndeaproape și supuse unor controale continue pentru a depista orice activitate anomală.

Orice organizație care creează sau emite carduri cadou poate beneficia de pe urma implementării de controale pentru a preveni accesul rapid la portalurile pentru carduri cadou și la alte obiective de mare valoare, chiar și atunci când este compromis un cont. Monitorizați în permanență jurnalele pentru a identifica autentificările suspecte și alți vectori comuni de acces inițial care se bazează pe compromiterea identității în cloud și implementați politici de acces condiționat care limitează autentificările și semnalează autentificările riscante.

De asemenea, organizațiile ar trebui să aibă în vedere suplimentarea MFA cu politici de acces condiționat prin care solicitările de autentificare să fie evaluate pe baza unor semnale suplimentare bazate pe identitate, cum ar fi informații privind localizarea adresei IP sau starea dispozitivului, printre altele.

O altă tactică care ar putea combate aceste atacuri este un proces de verificare a clienților pentru achiziționarea domeniilor. Este posibil ca reglementările și politicile furnizorilor să nu prevină în mod consecvent typosquattingul rău intenționat la nivel mondial, ceea ce înseamnă că aceste site-uri înșelătoare pot rămâne populare pentru extinderea atacurilor cibernetice. Procesele de verificare pentru crearea de domenii ar putea contribui la limitarea numărului de site-uri create exclusiv cu scopul de a înșela victime.

În plus față de numele de domenii înșelătoare, Microsoft a mai observat că Storm-0539 utilizează listele de corespondență interne legitime ale companiilor pentru a difuza mesaje de phishing, odată ce se instalează într-o companie și îi înțeleg listele de distribuție și alte norme de funcționare.

Phishingul realizat printr-o listă de distribuție validă nu numai că adaugă un nivel suplimentar de autenticitate conținutului rău intenționat, dar permite și direcționarea conținutului către mai multe persoane cu acces la acreditări, relații și informații pe care Storm-0539 se bazează pentru a dobândi persistență și amploare.

Atunci când utilizatorii fac clic pe linkurile conținute în e-mailurile sau textele de phishing, sunt redirecționați către o pagină de phishing de tip AiTM pentru furtul acreditărilor și capturarea tokenului de autentificare secundară. Comercianții cu amănuntul ar trebui să-și instruiască personalul cu privire la modul în care funcționează escrocheriile de tip smishing/phishing, cum să le identifice și cum să le raporteze.

Este important să subliniem că, spre deosebire de actorii de amenințare cu ransomware evidenți, care criptează și fură date, după care va constrâng să plătiți, Storm-0539 acționează într-un mediu cloud, strângând discret informații de recunoaștere și exploatând infrastructura cloud și de identitate pentru a-și atinge obiectivele finale.

Operațiunile grupării Storm-0539 sunt convingătoare deoarece actorii utilizează e-mailuri legitime compromise și simulează platformele legitime utilizate de compania vizată. Pentru unele companii, pierderile de carduri cadou sunt recuperabile. Acest lucru necesită o investigație amănunțită pentru a determina cardurile cadou emise de actorul amenințător.

Investigarea amenințărilor Microsoft a transmis notificări organizațiilor afectate de Storm-0539. În parte datorită acestui schimb de informații și acestei colaborări, am constatat în ultimele luni o creștere a capacității principalilor comercianți cu amănuntul de a preveni în mod eficient activitatea grupării Storm-0539.

Un grafic informativ care prezintă ciclul de viață al intruziunilor Storm-0539, începând cu „Phishing/smishing”, urmat de „Accesarea resurselor din cloud”, „Impact (furtul de date și furtul cardurilor cadou)” și „Informații pentru atacuri viitoare”. „Identitate” rămâne în centrul graficului.
Ciclul de viață al intruziunilor Storm-0539.

Recomandări

  • Resetați parolele utilizatorilor asociați cu activități de phishing și AiTM: Pentru a revoca eventualele sesiuni active, resetați imediat parolele. Revocați orice modificări ale setărilor MFA efectuate de atacator asupra conturilor compromise. Solicitați redefinirea MFA pentru actualizările MFA ca opțiune implicită. De asemenea, asigurați-vă că dispozitivele mobile utilizate de angajați pentru a accesa rețelele corporative sunt protejate în mod similar.
  • Activați curățarea cu efort zero (ZAP) din Microsoft Defender pentru Office 365: ZAP găsește și acționează automat asupra e-mailurilor care fac parte din campania de phishing pe baza elementelor identice ale mesajelor rău intenționate cunoscute.
  • Actualizați identitățile, privilegiile de acces și listele de distribuție pentru a minimiza suprafețele de atac: Atacatori precum Storm-0539 presupun că vor găsi utilizatori cu privilegii de acces excesive pe care să-i poată compromite pentru a atinge un impact deosebit. Rolurile angajaților și echipelor se pot schimba frecvent. Stabilirea unei revizuiri periodice a privilegiilor, a membrilor listei de distribuție și a altor atribute poate ajuta la limitarea consecințelor unei intruziuni inițiale și la îngreunarea activității intrușilor.

Aflați mai multe despre Storm-0539 și experții în Investigarea amenințărilor Microsoft implicați în urmărirea infracțiunilor cibernetice și a celor mai recente amenințări.

Metodologie: Datele instantanee și cele statistice cuprinzătoare indică o creștere a notificărilor trimise clienților noștri și a observărilor actorului de amenințare Storm-0539. Aceste valori reflectă o creștere a personalului și a resurselor alocate monitorizării acestei grupări. Azure Active Directory a furnizat date anonimizate privind activitatea de amenințare, cum ar fi conturile de e-mail rău intenționate, e-mailurile de phishing și mișcările atacatorilor în rețele. Detaliile suplimentare provin din cele 78 de trilioane de semnale zilnice de securitate procesate de Microsoft zi de zi, inclusiv cloudul, punctele finale, perimetrul inteligent și telemetria de la platformele și serviciile Microsoft, inclusiv Microsoft Defender.

Semnale cibernetice Phishing Actori de amenințare

Articole asociate

Faceți cunoștință cu experții care urmăresc frauda cu carduri cadou Storm-0539

Având experiență în relații internaționale, aplicarea legii federale, securitate și instituții guvernamentale, analiștii din Investigarea amenințărilor Microsoft Alison Ali, Waymon Ho și Emiel Haeghebaert oferă o serie de abilități unice pentru urmărirea Storm-0539, un actor de amenințare specializat în furtul cardurilor de plăți și frauda cu carduri cadou.
Aflați mai multe

Alimentarea din economia bazată pe încredere: frauda prin inginerie socială

Explorați un peisaj digital în evoluție în care încrederea este atât o valoare, cât și o vulnerabilitate. Descoperiți tacticile de fraudă prin inginerie socială pe care atacatorii cibernetici le utilizează cel mai frecvent și analizați strategiile care vă pot ajuta să identificați și să depășiți amenințările de inginerie socială concepute pentru a manipula natura umană.
Aflați mai multe

Tacticile în schimbare alimentează creșterea numărului de cazuri de compromitere a e-mailurilor de business

Compromiterea e-mailului de business (BEC) este în creștere acum că infractorii cibernetici își pot ascunde sursa atacurilor. Aflați despre CaaS și cum vă puteți proteja organizația.
Aflați mai multe

Urmăriți Microsoft Security