Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

من داخل الخطر المتزايد للاحتيال عبر بطاقات الهدايا

تنزيل
مشاركة
صورة لكمبيوتر محمول به بطاقات هدايا وبطاقات ائتمان تتطاير منه

المشكلة 7 لـ Cyber Signals: من عرين الأسد

في عصر أصبحت فيه المعاملات الرقمية والتسوق عبر الإنترنت جزءاً لا يتجزأ من حياتنا اليومية، يلوح خطر الجرائم الإلكترونية في الأفق. ومن بين هذه المخاطر، فإن الاحتيال في بطاقات الهدايا والدفع الذي يشمل بطاقات الهدايا من شركات بطاقات الائتمان أو تجار التجزئة، منتشر ومتطور. يستخدم المجرمون أساليب متطورة بشكل متزايد لاختراق بوابات بطاقات الهدايا قبل تحويلها إلى أموال نقدية لا يمكن تعقبها تقريباً.

يتعمق هذا الإصدار من Cyber ​​Signals في التكتيكات والتقنيات والإجراءات الخاصة بممثل مخاطر الجرائم الإلكترونية الذي تسميه Microsoft Storm-0539، المعروف أيضاً باسم Atlas Lion، وأنشطته في مجال سرقة بطاقات الهدايا، وتعقيدات أساليبه، والآثار المترتبة على الأفراد والشركات ومشهد الأمان عبر الإنترنت.

ظل Storm-0539 ذو صلة على مر السنين، حيث يتكيف مع المشهد الإجرامي المتغير باستمرار. ومن خلال شبكة متاهة من القنوات المشفرة والمنتديات السرية، ينسقون مشاريع غير مشروعة تستغل الثغرات التكنولوجية وتنشر حملات انتحال بهندسة اجتماعية ذكية لتوسيع نطاق عملياتها.

على الرغم من أن العديد من ممثلي مخاطر الجرائم الإلكترونية يسلكون المسار الأقل مقاومة لتحقيق الأرباح السريعة ويركزون على الحجم، يظهر Storm-0539 تركيزاً هادئاً ومثمراً على المساس بأنظمة بطاقات الهدايا والمعاملات. يستهدف هذا الخصم بلا هوادة مصدري بطاقات الهدايا من خلال تكييف التقنيات لمواكبة التغييرات عبر البيع بالتجزئة والدفع والصناعات الأخرى ذات الصلة.

نحن جميعا مدافعين.

تاريخياً، يزيد Storm-0539 من نشاطه الهجومي قبل مواسم العطلات الكبرى. بين مارس ومايو 2024، قبل موسم العطلات الصيفية، لاحظت Microsoft زيادة بنسبة 30% في نشاط التسلل من Storm-0539. بين سبتمبر وديسمبر 2023، لاحظنا زيادة بنسبة 60% في نشاط الهجوم، بالتزامن مع عطلات الخريف والشتاء.

  • زيادة بنسبة 30 بالمائة في نشاط التسلل Storm-0539، بين مارس ومايو 2024
  • زيادة بنسبة 60 بالمائة في نشاط التسلل Storm-0539، بين سبتمبر وديسمبر 2024

يحسن المهاجمون عمليات سرقة بطاقات الهدايا والدفع

يعمل Storm-0539 خارج المغرب وهي متورط في جرائم مالية مثل الاحتيال عبر بطاقات الهدايا. وتشمل تقنياتهم التصيد الاحتيالي، والتصيد الاحتيالي عبر الرسائل النصية القصيرة، وتسجيل أجهزتهم الخاصة في بيئات الضحايا للحصول على وصول مستمر، والاستفادة من الوصول إلى مؤسسات الجهات الخارجية المستهدفة. يسجلون الأجهزة بحيث تنتقل مطالبات المصادقة متعددة العوامل (MFA) المرتبطة بحساب الضحية المخترق إلى جهاز المهاجم. يتيح لهم تسجيل الجهاز التنازل عن هويتهم بالكامل والاستمرار في البيئة السحابية. 

تنشط مجموعة الجرائم الإلكترونية هذه منذ أواخر عام 2021، وتمثل تطوراً لممثلي المخاطر الذين يركزون على مهاجمة حسابات وأنظمة بطاقات الدفع. عادةً ما اخترق المهاجمون بيانات بطاقة الدفع باستخدام برامج ضارة لنقاط البيع (POS) في الماضي. مع ذلك، مع تعزيز الصناعات لدفاعات نقاط البيع، عمل Storm-0539 على تكييف تقنيات الهجوم الخاصة به لتسوية الخدمات السحابية وخدمات الهوية في الاستهداف الإجرامي لبوابات بطاقات الهدايا المرتبطة بتجار التجزئة الكبار والعلامات التجارية الفاخرة ومطاعم الوجبات السريعة المعروفة.

تاريخياً، يرتبط الاحتيال في الدفع وبطاقات الهدايا بالبرامج الضارة المتطورة وحملات التصيد الاحتيالي. مع ذلك، تستفيد هذه المجموعة من معرفتها العميقة بالسحابة لإجراء استطلاع حول عمليات إصدار بطاقات الهدايا الخاصة بالمؤسسة، وبوابات بطاقات الهدايا، والموظفين الذين لديهم إمكانية الوصول إلى بطاقات الهدايا.

عادةً ما تتضمن سلسلة الهجوم الإجراءات التالية:
  • باستخدام أدلة الموظفين والجداول الزمنية وقوائم جهات الاتصال وصناديق البريد الإلكتروني، يستهدف Storm-0539 الهواتف المحمولة الشخصية والخاصة بالعمل من خلال رسائل نصية مخادعة. 
  • بمجرد اختراق حساب موظف في مؤسسة مستهدفة، يتحرك المهاجمون بشكل أفقي عبر الشبكة، محاولين التعرف على العملية التجارية لبطاقات الهدايا، والتوجه نحو الحسابات المخترقة المرتبطة بهذه المحفظة المحددة. 
  • يجمعون أيضاً معلومات عن الأجهزة الافتراضية واتصالات VPN وموارد SharePoint وOneDrive، بالإضافة إلى Salesforce وCitrix والبيئات البعيدة الأخرى. 
  • بعد الحصول على حق الوصول، تنشئ المجموعة بطاقات هدايا جديدة باستخدام حسابات الموظفين المخترقة. 
  • ثم يستردون بعد ذلك القيمة المرتبطة بتلك البطاقات، أو يبيعون بطاقات الهدايا إلى ممثلي مخاطر آخرين في الأسواق السوداء، أو يستخدمون ضحية لصرف بطاقات الهدايا.
صورة تعرض هاتفين مع رسائل تصيد احتيالي عبر رسائل نصية من Storm-0539 تنتحل هوية مكتب مساعدة لشركة موظف مستهدف.
رسائل تصيد احتيالي عبر رسائل نصية من Storm-0539 تنتحل هوية مكتب مساعدة لشركة موظف مستهدف.

يشبه استطلاع Storm-0539 وقدرته على الاستفادة من البيئات السحابية ما لاحظته Microsoft من ممثلي المخاطر الذين ترعاهم الدولة القومية، ما يوضح كيف أن التقنيات التي شاعها التجسس والخصوم الذين يركزون على الجيوسياسية تؤثر الآن على المجرمين ذوي الدوافع المالية.

على سبيل المثال، يستفيد Storm-0539 من معرفته بالبرامج السحابية وأنظمة الهوية وامتيازات الوصول لاستهداف مكان إنشاء بطاقات الهدايا، بدلاً من التركيز فقط على المستخدم النهائي. هذا النشاط هو اتجاه نشهده بين المجموعات غير القومية مثل Octo Tempest وStorm-0539 التي تتمتع بخبرة تكتيكية جيدة في الموارد السحابية مثل الكثير من الجهات الفاعلة المتقدمة التي ترعاها الدولة.

للتمويه والبقاء غير مكتشف، يقدم Storm-0539 نفسه كمنظمات شرعية لموفري الخدمات السحابية، من أجل الحصول على التطبيقات المؤقتة والتخزين والموارد الأولية المجانية الأخرى لنشاطهم الهجومي.

وكجزء من هذا الجهد، أنشئوا مواقع ويب تنتحل صفة المؤسسات الخيرية وملاجئ الحيوانات والمنظمات غير الربحية الأخرى في الولايات المتحدة عادةً باستخدام عملية السطو المطبعي، وهي ممارسة خادعة حيث يسجل الأفراد خطأ إملائي شائع في نطاق المؤسسة على أنه خاص بهم لخداع المستخدمين لزيارة المواقع الاحتيالية وإدخال المعلومات الشخصية أو بيانات الاعتماد المهنية.

ولتوسيع مجموعة أدوات الاحتيال الخاصة بهم، لاحظت Microsoft أن Storm-0539 ينزلون نسخ شرعية من خطابات 501(c)(3) الصادرة عن دائرة الإيرادات الداخلية (IRS) من المواقع العامة للمنظمات غير الربحية. مسلحين بنسخة من خطاب شرعي 501(c)(3) ونطاق مطابق ينتحل صفة المؤسسة غير الربحية التي صدر الخطاب من أجلها، فإنهم يتواصلون مع موفري الخدمات السحابية الرئيسيين للحصول على خدمات التكنولوجيا المدعومة أو المخفضة التي غالباً ما تُقدم للمؤسسات غير الربحية.

مخطط معلومات بياني يعرض كيفية عمل Storm-0539.
يعمل Storm-0539 من الإصدارات التجريبية المجانية والاشتراكات مسبوقة الدفع والموارد المخترقة على السحابة. لاحظنا أيضاً أن Storm-0539 ينتحل هوية مؤسسات غير ربحية للحصول على دعم غير ربحي من موفري خدمات متعددين على السحابة.

تنشأ المجموعة أيضاً تجارب مجانية أو حسابات للطلاب على منصات الخدمة السحابية التي توفر عادةً للعملاء الجدد إمكانية الوصول لمدة 30 يوماً. ومن خلال هذه الحسابات ينشئون أجهزة افتراضية يمكنهم من خلالها إطلاق عملياتهم المستهدفة. إن مهارة Storm-0539 في اختراق وإنشاء البنية الأساسية للهجوم المستندة إلى السحابة تتيح لهم تجنب التكاليف الأولية الشائعة في اقتصاد الجرائم الإلكترونية، مثل الدفع للمضيفين والخوادم، حيث يسعون إلى تقليل التكاليف وزيادة الكفاءة إلى أقصى حد.

تقدر Microsoft أن Storm-0539 يجرون استطلاع واسع النطاق لمقدمي خدمات الهوية الموحدة في الشركات المستهدفة لتقليد تجربة تسجيل دخول المستخدم بشكل مقنع، بما في ذلك ليس فقط مظهر صفحة الخصم في المنتصف (AiTM)، ولكن أيضاً استخدام النطاقات المسجلة التي تتطابق بشكل وثيق مع الخدمات المشروعة. وفي حالات أخرى، اخترق Storm-0539 نطاقات WordPress المشروعة المسجلة مؤخراً لصياغة صفحة AiTM المقصودة.

التوصيات

  • حماية الرمز المميز والوصول الأقل امتيازاً: استخدم النُهج للحماية من هجمات إعادة تشغيل الرمز المميز عن طريق ربط الرمز المميز بجهاز المستخدم الشرعي. طبق مبادئ الوصول الأقل امتيازاً عبر مجموعة التكنولوجيا بأكملها لتقليل التأثير المحتمل للهجوم.
  • اعتمد نظام أساسي آمن لبطاقات الهدايا ونفذ حلول الحماية من الاحتيال: فكر في التحول إلى نظام مصمم لمصادقة المدفوعات. يمكن للتجار أيضاً دمج ميزات الحماية من الاحتيال لتقليل الخسائر.
  • المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي: انتقل إلى بيانات اعتماد مقاومة للتصيد الاحتيالي ومحصنة ضد الهجمات المختلفة، مثل مفاتيح الأمان FIDO2.
  • اطلب تغيير كلمة المرور بشكل آمن عندما يكون مستوى خطورة المستخدم مرتفعاً: مطلوب Microsoft Entra MFA قبل أن يتمكن المستخدم من إنشاء كلمة مرور جديدة مع إعادة كتابة كلمة المرور لمعالجة المخاطر.
  • تثقيف الموظفين: يجب على التجار تدريب الموظفين على التعرّف على عمليات الاحتيال المحتملة على بطاقات الهدايا ورفض الطلبات المشبوهة.

مواجهة العاصفة: مواجهة storm-0539

بطاقات الهدايا أهداف جذابة للاحتيال لأنه على عكس بطاقات الائتمان أو الخصم، لا توجد أسماء عملاء أو حسابات مصرفية مرتبطة بها. تشهد Microsoft ارتفاعاً طفيفاً في النشاط من Storm-0539 الذي يركز على هذه الصناعة خلال فترات العطلات الموسمية. يميل يوم الذكرى، وعيد العمال، وعيد الشكر في الولايات المتحدة، بالإضافة إلى الجمعة السوداء وعطلات الشتاء التي يجري الاحتفال بها في جميع أنحاء العالم، إلى الارتباط بزيادة نشاط المجموعة.

عادةً ما تضع المؤسسات حداً للقيمة النقدية التي يمكن إصدارها لبطاقة الهدايا الفردية. على سبيل المثال، إذا كان هذا الحد هو USD$100,000، فسيصدر ممثل المخاطر بطاقة بقيمة USD$99,000 ثم يرسل لنفسه رمز بطاقة الهدايا ويحقق الدخل منها. فدافعهم الأساسي هو سرقة بطاقات الهدايا وتحقيق الربح عن طريق بيعها عبر الإنترنت بسعر مخفض. رأينا بعض الأمثلة حيث سرق ممثل المخاطر ما يصل إلى USD$100,000 يومياً في شركات معينة.

وللدفاع ضد مثل هذه الهجمات ومنع هذه المجموعة من الوصول غير المصرح به إلى أقسام بطاقات الهدايا، يجب على الشركات التي تصدر بطاقات الهدايا التعامل مع بوابات بطاقات الهدايا الخاصة بها كأهداف ذات قيمة عالية. وينبغي مراقبتها عن كثب ومراجعتها بشكل مستمر بحثاً عن أي نشاط غير مألوف.

بالنسبة لأي مؤسسة تعمل على إنشاء أو إصدار بطاقات هدايا، فإن تنفيذ الضوابط والتوازنات لمنع الوصول السريع إلى بوابات بطاقات الهدايا وغيرها من الأهداف ذات القيمة العالية، حتى غي حالة اختراق الحساب، يمكن أن يساعد. راقب السجلات باستمرار لتحديد عمليات تسجيل الدخول المشبوهة وغيرها من متجهات الوصول الأولي الشائعة التي تعتمد على اختراقات الهوية السحابية وتنفيذ نُهج الوصول المشروط التي تحد من عمليات تسجيل الدخول وتضع علامة على عمليات تسجيل الدخول المحفوفة بالمخاطر.

يجب على المؤسسات أيضاً أن تفكر في استكمال MFA بنُهج الوصول المشروط حيث يجري تقييم طلبات المصادقة باستخدام إشارات إضافية تعتمد على الهوية مثل معلومات موقع عنوان IP أو حالة الجهاز، من بين أمور أخرى.

هناك تكتيك آخر يمكن أن يساعد في الحد من هذه الهجمات وهو عملية التحقق من العميل لشراء النطاقات. قد لا تمنع اللوائح ونُهج البائعين بشكل مستمر الأخطاء المطبعية الضارة في جميع أنحاء العالم، ما يعني أن مواقع الويب الخادعة هذه يمكن أن تظل شائعة لتوسيع نطاق الهجمات الإلكترونية. يمكن أن تساعد عمليات التحقق لإنشاء النطاقات في الحد من إنشاء المزيد من المواقع بغرض خداع الضحايا فقط.

بالإضافة إلى أسماء النطاقات المضللة، لاحظت Microsoft أيضاً أن Storm-0539 يستخدم قوائم بريدية داخلية مشروعة للشركة لنشر رسائل التصيد الاحتيالي بمجرد حصولهم على موطئ قدم في الشركة وفهم قوائم التوزيع الخاصة بها ومعايير العمل الأخرى.

لا يؤدي التصيد الاحتيالي من خلال قائمة توزيع صالحة إلى إضافة طبقة أخرى من الأصالة إلى المحتوى الضار فحسب، بل يساعد أيضاً في تحسين استهداف المحتوى لعدد أكبر من الأفراد الذين لديهم إمكانية الوصول إلى بيانات الاعتماد والعلاقات والمعلومات التي يعتمد عليها Storm-0539 للحصول على المثابرة والوصول.

عندما ينقر المستخدمون على الارتباطات الموجودة في رسائل البريد الإلكتروني أو النصوص التصيدية، يُعاد توجيههم إلى صفحة التصيد AiTM لسرقة بيانات الاعتماد والتقاط رمز المصادقة الثانوي. يجري تشجيع تجار التجزئة على تثقيف الموظفين بكيفية عمل عمليات التصيد الاحتيالي/التصيد الاحتيالي، وكيفية التعرّف عليها، وكيفية الإبلاغ عنها.

من المهم تسليط الضوء على أنه على عكس ممثلي مخاطر برامج الفدية المزعجة الذين يشفرون البيانات ويسرقونها ثم يضايقونك لدفع ثمنها، فإن Storm-0539 يتجول في بيئة سحابية ويجمع الاستطلاع بهدوء ويسيء استخدام البنية الأساسية السحابية والهوية لتحقيق أهدافه النهائية.

عمليات Storm-0539 مقنعة بسبب استخدام الفاعل لرسائل البريد الإلكتروني المشروعة المخترقة ومحاكاة المنصات المشروعة التي تستخدمها الشركة المستهدفة. بالنسبة لبعض الشركات، يمكن استرداد خسائر بطاقات الهدايا. ويتطلب ذلك إجراء تحقيق شامل لتحديد بطاقات الهدايا التي أصدرها ممثل المخاطر.

أصدر التحليل الذكي للمخاطر من Microsoft إشعارات إلى المؤسسات المتأثرة بـ Storm-0539. ويرجع ذلك جزئياً إلى مشاركة المعلومات والتعاون، وقد لاحظنا زيادة في قدرة كبار تجار التجزئة على مكافحة نشاط Storm-0539 بشكل فعال في الأشهر الأخيرة.

مخطط معلومات بياني يعرض دورة حياة اختراق Storm-0539، بدءاً من “التصيد الاحتيالي/التصيد الاحتيالي عبر الرسائل النصية” متبوعاً “بوصول إلى الموارد عبر السحابة” و“التأثير (النقل غير المصرّح للبيانات وسرقة بطاقة الهدايا)” وصولاً إلى “معلومات الهجمات المستقبلية“. تظل “الهوية” مركز المخطط البياني.
دورة حياة اختراق Storm-0539.

التوصيات

  • إعادة تعيين كلمات المرور للمستخدمين المرتبطين بأنشطة التصيد الاحتيالي وAiTM: لإلغاء أي جلسات نشطة، يجب إعادة تعيين كلمات المرور على الفور. إلغاء أي تغييرات في إعدادات MFA أجراها المهاجم على الحسابات المخترقة. يلزم إعادة تحدي المصادقة متعددة العوامل لتحديثات المصادقة متعددة العوامل كإعداد افتراضي. التأكد أيضاً من أن الأجهزة المحمولة التي يستخدمها الموظفون للوصول إلى شبكات الشركة محمية بالمثل.
  • تمكين المسح اللحظي للرسائل غير المرغوبة (ZAP) في Microsoft Defender لـ Office 365: يعثر المسح اللحظي للرسائل غير المرغوبة على رسائل البريد الإلكتروني التي تعد جزءاً من حملة التصيد الاحتيالي ويتخذ إجراءات تلقائية عليها بناءً على عناصر متطابقة من الرسائل السيئة المعروفة.
  • تحديث الهويات وامتيازات الوصول وقوائم التوزيع لتقليل الأجزاء المعرضة للهجوم: يفترض المهاجمون مثل Storm-0539 أنهم سيجدون مستخدمين يتمتعون بامتيازات وصول مفرطة يمكنهم التنازل عنها لتحقيق تأثير كبير الحجم. يمكن أن تتغير أدوار الموظفين والفريق بشكل متكرر. يمكن أن يساعد إنشاء مراجعة منتظمة للامتيازات وعضويات قائمة التوزيع والسمات الأخرى في الحد من تداعيات التطفل الأولي وجعل عمل المتسللين أكثر صعوبة.

تعرّف على المزيد حول Storm-0539 وخبراء التحليل الذكي للمخاطر من Microsoft المخصصين لتتبع الجرائم الإلكترونية وأحدث المخاطر.

المنهجية: تمثل اللقطات وبيانات إحصائيات الغلاف زيادة في إشعارات عملائنا وملاحظاتهم بشأن ممثل المخاطر Storm-0539. وتعكس هذه الأرقام زيادة في عدد الموظفين والموارد المنفقة على مراقبة هذه المجموعة. يوفر Azure Active Directory بيانات مجهولة المصدر عن أنشطة المخاطر، مثل حسابات البريد الإلكتروني الضارة ورسائل البريد الإلكتروني التصيدية وحركة المهاجمين داخل الشبكات. تصل نتائج تحليلات إضافية من 78 تريليون إشارة أمان يومية تعالجها Microsoft كل يوم، بما في ذلك السحابة ونقاط النهاية والحافة الذكية والقياس عن بعد من أنظمة Microsoft الأساسية وخدماتها بما في ذلك Microsoft Defender.

Cyber Signals التصيد الاحتيالي ممثلو المخاطر

المقالات ذات الصلة

الالتقاء بخبراء الذين يتتبعون عمليات احتيال Storm-0539 في بطاقات الهدايا

مع خلفيات تشمل العلاقات الدولية، وإنفاذ القانون الفيدرالي، والأمن، والحكومة، يقدم محللو التحليل الذكي للمخاطر من Microsoft، أليسون علي، وايمون هو، وإيميل هيغيبارت مجموعة من المهارات الفريدة لتتبع Storm-0539، وهو ممثل مخاطر متخصص في سرقة بطاقات الدفع والاحتيال عبر بطاقات الهدايا.
تعرّف على المزيد

تغذية اقتصاد الثقة: الاحتيال بالهندسة الاجتماعية

استكشف مشهداً رقمياً متطوراً حيث تمثل الثقة عملة وثغرة أمنية في الوقت نفسه. اكتشف أساليب الاحتيال في مجال الانتحال بالهندسة الاجتماعية التي يستخدمه المهاجمون عبر الإنترنت كثيراً، وراجع الاستراتيجيات التي يمكن أن تساعدك في تحديد مخاطر الانتحال بالهندسة الاجتماعية المصمم للتلاعب بالطبيعة البشرية والتغلب عليها.
تعرّف على المزيد

يرفع تبديل الأساليب معدل اختراق البريد الإلكتروني للعمل

إن اختراق البريد الإلكتروني للعمل (BEC) آخذ في الارتفاع الآن حيث يمكن لمجرمي الإنترنت إخفاء مصدر هجماتهم ليكونوا أكثر خطورة. تعرّف على الجرائم الإلكترونية كخدمة وكيفية المساعدة في حماية مؤسستك.
تعرّف على المزيد

متابعة الأمان من Microsoft