註冊 10 月 30 日的網路研討會，了解 2024 年 Microsoft 數位防禦報告深入解析。

禮品卡欺詐風險日益成長的內幕

Cyber Signals Issue 7：深入 Lion's Den

在數位交易和線上購物成為我們日常生活不可或缺的時代，網路犯罪的威脅迫在眉睫。在這些威脅中，禮品卡和支付卡欺詐無處不在且不斷發展。包括來自信用卡公司或零售商的禮品卡。犯罪分子使用越來越複雜的方法來破壞禮品卡入口網站，然後再將所得變成幾乎無法追蹤的現金。

本期《Cyber Signals》深入探討了 Microsoft 稱為 Storm-0539 (也稱為 Atlas Lion) 網路犯罪威脅行為者的策略、技術和程序，特別是他們在禮品卡盜竊領域的活動、方法的複雜性，以及對個人、企業和網路安全領域的影響。

多年來，Storm-0539 一直維持其專注的相關領域，以適應不斷變化的犯罪環境。他們透過加密頻道和地下論壇組成錯綜複雜的網路，利用技術漏洞策劃非法事業，並部署巧妙的社交工程活動來擴大他們的行動。

儘管許多網路犯罪威脅行為者採取了快速獲利阻力最小的路徑，並專注於規模化，但 Storm-0539 卻寧靜且有效地專注於破壞禮品卡系統和交易。這個對手透過調整技術來跟上零售、支付和其它相關產業的變化，無情地針對禮品卡發行商。

我們都是防禦者。

從歷史角度來看，Storm-0539 會在重要假期來臨前增加攻擊活動。在 2024 年暑假前 3 月至 5 月期間，Microsoft 觀察到 Storm-0539 的入侵活動增加了 30%。在 2023 年 9 月至 12 月期間，我們觀察到攻擊活動增加了 60%，恰逢秋季和冬季假期。

2024 年 3 月至 5 月期間，Storm-0539 入侵活動增加了 30%
2024 年 9 月至 12 月期間，Storm-0539 入侵活動增加了 60%

攻擊者改進了禮品卡和支付卡搶劫行動

Storm-0539 在摩洛哥境外營運，涉及禮品卡欺詐等金融犯罪。他們的技術包括網路釣魚、簡訊網路釣魚，將自己的裝置註冊到受害者環境以便持續進行存取，並利用來存取目標第三方組織。他們註冊裝置，以便讓遭入侵受害者帳戶的多重要素驗證 (MFA) 的關聯提示進入攻擊者裝置。透過註冊裝置，它們可以完全放棄真實身份並在雲端環境中留存。

這個網路犯罪集團自 2021 年底以來一直相當活躍，代表專注於攻擊支付卡帳戶和系統的威脅行為者多年來的演變。攻擊者以前通常使用銷售點 (POS) 惡意程式碼來入侵支付卡資料。然而，隨著各行各業加強 POS 防禦措施，Storm-0539 調整了攻擊技術，透過入侵雲端和身分識別服務，以犯罪方式利用關聯的禮品卡入口網站針對大型零售商、奢侈品牌和知名速食店採取行動。

從歷史上看，支付卡和禮品卡欺詐與複雜的惡意程式碼和網路釣魚活動有關。然而，他們利用對雲端的深入了解，對組織的禮品卡發行流程、禮品卡入口網站和擁有存取權的員工進行偵察。

通常，攻擊鏈包括以下動作：

Storm-0539 使用員工目錄和日程安排表、連絡人清單和電子郵件收件匣，透過簡訊網路釣魚文字以員工的個人和工作行動電話為攻擊對象。
一旦目標組織的員工帳戶被滲透，攻擊者就會在網路中橫向移動，試圖確認禮品卡商務流程，轉向與特定組合相關聯的遭入侵帳戶。
他們還會收集虛擬機器、VPN 連接、SharePoint 和 OneDrive 資源，以及 Salesforce、Citrix 和其他遠端環境的資訊。
取得存取權後，便使用遭入侵的員工帳戶建立新的禮品卡。
然後，他們兌換這些卡關聯的價值，將禮品卡出售給黑市的其他威脅行為者，或利用車手去兌現禮品卡。

圖片顯示兩部手機帶有簡訊網路釣魚訊息，這是 Storm-0539 冒充目標員工所屬公司技術支援中心發佈的訊息。

Storm-0539 冒充目標員工所屬公司的技術支援中心發送簡訊網路釣魚訊息。

Storm-0539 偵察和利用雲端環境的能力與 Microsoft 從國家/地區贊助的威脅行為者那裡觀察到的相似，顯示了專注間諜活動和地緣政治對手常用的技術，影響了基於經濟動機的犯罪分子。

例如，Storm-0539 利用他們在雲端式軟體、身分識別系統和存取權限的知識來決定建立禮品卡的位置，而不僅是聚焦在終端使用者。這像是一種趨勢，我們曾在 Octo Tempest 和 Storm-0539 等非民族國家的團隊中看到，它們精通使用雲端資源的戰術，就像進階國家贊助的行為者一樣。

為了偽裝自己不被發現，Storm-0539 將自己偽裝成合法的組織像是雲端服務提供者，以便為他們的攻擊活動取得臨時應用程式、儲存空間和其它初始免費資源。

作為這項工作的一部分，他們建立冒充美國慈善機構、動物收容所和其它非營利組織的網站，通常使用拼寫相似的名稱。這是一種欺騙性的做法，個人將特定組織網域名稱的常見拼寫錯誤註冊為自己的網域名稱，以誘騙使用者瀏覽欺詐網站並輸入個人或登入資訊。

為了進一步擴張他們的欺詐工具組，Microsoft 觀察到 Storm-0539 從非營利組織的公共網站下載美國國稅局 (IRS) 簽發的 501(c)(3) 信函的合法副本。他們拿著合法的 501(c)(3) 信函副本和冒充簽發信函非營利組織的相似網域名稱，向主要雲端供應商要求提供給非營利組織常用的贊助或享折扣的技術服務。

Storm-0539 透過免費試用、隨用隨付訂閱和遭入侵的雲端資源來進行攻擊行為。我們還觀察到 Storm-0539 冒充合法的非營利組織，透過幾家雲端供應商獲得非營利組織的贊助。

該小組還會在雲端服務平台上建立免費試用帳戶或學生帳戶，通常為新客戶提供 30 天的存取權限。他們在這些帳戶中建立虛擬機器，從中啟動目標操作。Storm-0539 在入侵和建立雲端式攻擊基礎結構的技能，使他們能夠避免網路犯罪經濟中常見的前期成本，例如支付主機和伺服器費用，因為他們尋求最小化成本並最大化效率。

Microsoft 認為 Storm-0539 對目標公司同盟的身分識別服務提供者進行了廣泛偵查，並以令人信服的方式模仿使用者的登入體驗，不僅仿冒中間對手 (AiTM) 的頁面外觀，還使用與合法服務非常相似的註冊網域。在其他例子中，Storm-0539 最近破壞了合法註冊的 WordPress 網域來製作 AiTM 登陸頁。

建議

權杖保護和最小權限存取：透過將權杖繫結到合法使用者的裝置，使用原則來防止權杖重送攻擊。在整個技術堆疊中套用最小權限存取原則，以最大程度地減少攻擊的潛在影響。
採用安全的禮品卡平台，並實施欺詐保護解決方案：考慮轉換到有驗證付款設計的系統。商家還可以整合欺詐防護功能，以最大程度地減少損失。
防網路釣魚 MFA：轉換到不受各種攻擊 (例如 FIDO2 安全性金鑰) 的防網路釣魚認證。
當使用者風險等級較高時，需要變更安全密碼：在使用者可使用密碼回寫功能建立新密碼以補救風險事件之前，需要 Microsoft Entra MFA。
教育員工：商家應訓練員工，使其能夠識別潛在的禮品卡詐騙並拒絕可疑訂單。

承受住風暴的考驗：防範 Storm-0539

禮品卡是欺詐的誘人目標，因為與信用卡或簽帳卡不同，禮品卡沒有連結客戶姓名或銀行帳戶。Microsoft 看到 Storm-0539 的活動集中在季節性假期期間並有所增加，這些活動專注於這個行業。美國的陣亡將士紀念日、勞動節和感恩節，以及世界各地的黑色星期五和冬季假期，往往與他們的活動增加有關。

通常，組織對可以發行限制現金價值的個人禮品卡。例如，如果限額為 100,000 美元，威脅行為者將發行一張 99,000 美元的卡，然後發送禮品卡程式碼給自己並從中獲利。他們的主要動機是竊取禮品卡，並透過折扣在線上銷售來獲利。我們已經看到一些例子，威脅行為者在某些公司一天的盜竊所得高達 100,000 美元。

為了抵禦此類攻擊並防行為者團隊未經授權存取禮品卡部門，發行禮品卡的公司應將禮品卡入口網站視為高價值目標。它們應該受到密切監控，並持續監控任何異常活動。

對於任何建立或發行禮品卡的組織來說，對於禮品卡入口網站和其它高價值目標應實施檢查和平衡地防止快速存取，即使帳戶遭到入侵，也能提供協助。持續地監視記錄，以識別雲端身份洩露造成的可疑登入和其他初始存取的動作，並實施條件式存取原則，限制登入和標記有風險的登入。

組織還應考慮使用條件式存取原則來補充 MFA，可搭配使用其他身分識別驅動的訊號 (如 IP 位址、位置資訊或裝置狀態等) 來評估身分驗證請求。

另一種可以協助遏制這些攻擊的策略是購買網域名稱的客戶驗證流程。法規和供應商原則可能無法一致地防止世界各地的惡意網域名稱註冊，這意味著這些欺騙性網站可能會持續受到大規模網路攻擊的歡迎。建立網域的驗證流程可以幫助遏制更多以欺騙受害者為目的而建立的網站。

除了誤導性網域名稱外，Microsoft 還觀察到 Storm-0539 在公司內部站穩腳跟並了解通訊群組清單和其它業務規範之後，便會使用合法的公司內部郵件清單來散播網路釣魚訊息。

透過有效通訊群組清單進行的網路釣魚，不僅為惡意內容增加了另一層真確性，還有助於將內容定位到更多能存取登入資訊、關係和資訊的個人，Storm-0539 依靠它來獲得持續留存和覆蓋範圍。

當使用者點擊網路釣魚電子郵件或文字內容中包含的連結時，他們會被重導向到 AiTM 網路釣魚頁面，以進行認證竊取和二次身份驗證權杖擷取。鼓勵零售商教導員工簡訊網路釣魚和網路釣魚詐騙的工作原理，以及如何識別和報告它們的做法。

需要強調的是，與喧鬧的勒索軟體威脅行為者不同，他們會加密和竊取資料，然後騷擾您要求付款，Storm-0539 在雲端環境中悄悄地收集偵察，並濫用雲端和身分識別基礎結構來實現其最終目標。

Storm-0539 的操作具有說服力，因為行為者使用合法的遭入侵電子郵件並模仿目標公司使用的合法平台。對於一些公司來說，禮品卡的損失是可以追討回來的。這個需要徹底的調查，以確定威脅行為者發行了哪些禮品卡。

Microsoft 威脅情報已向受 Storm-0539 影響的組織發出通知。在某種程度上，由於資訊共用和共同作業，我們觀察到近幾個月來主要零售商有效抵禦 Storm-0539 活動的能力有所提高。

Storm-0539 入侵生命週期。

建議

為網路釣魚和 AiTM 活動關聯的使用者重設密碼：要撤銷任何活動工作階段，請立即重設密碼。撤銷攻擊者對遭入侵帳戶所做的任何 MFA 設定變更。預設情況下，要求對 MFA 更新重新進行 MFA。此外，確保員工用來存取公司網路的行動裝置也受到類似的保護。
在適用於 Office 365 的 Microsoft Defender 中啟用零時差自動清除 (ZAP)：ZAP 根據已知壞訊息的相同元素，對於屬於網路釣魚活動一部分的電子郵件進行查詢並採取自動化動作。
更新身分識別、存取權限和通訊群組清單，以最大程度地減少受攻擊面：像 Storm-0539 這樣的攻擊者他們認為會發現擁有過度存取特權的使用者，他們利用這些權限來產生巨大的影響。員工和團隊角色可以經常地變更。建立對權限、通訊群組清單成員身分和其他屬性的定期檢閱，有助於限制初始入侵的後果，並使入侵者的工作更加困難。

深入了解 Storm-0539 和 Microsoft 威脅情報專家，致力於追蹤網路犯罪和最新威脅。

方法：快照和封面統計資料代表我們對威脅行為者 Storm-0539 的客戶通知和觀察的增加。這些數字反映出監控這個群體的工作人員和資源有所增加。Azure Active Directory 提供了威脅活動的匿名資料，例如惡意電子郵件帳戶、網路釣魚電子郵件和攻擊者在網路內的移動。其他深入解析來自 Microsoft 每天處理的 78 萬億個安全訊號，包括雲端、端點、智慧邊緣以及來自 Microsoft 平台和服務 (包括 Microsoft Defender) 的遙測資料。

Cyber Signals 網路釣魚威脅行為者