Trace Id is missing
Преминаване към основното съдържание
Security Insider

Поглед в нарастващия риск от измами с ваучери за подаръци

Изтегляне
Споделяне
Лаптоп с изскачащи от него ваучери за подаръци и кредитни карти

Cyber Signals Издание 7: В леговището на лъва

В ера, в която дигиталните трансакции и онлайн пазаруването са се превърнали в неразделна част от нашето ежедневие, заплахата от киберпрестъпления се увеличава. Сред тези заплахи измамите с ваучери за подаръци и разплащателни карти, които включват ваучери за подаръци от компании за кредитни карти или търговци на дребно, преобладават и се развиват. Престъпниците използват все по-сложни методи, за да компрометират портали за ваучери за подаръци, преди да ги превърнат в почти непроследими пари.

Това издание на Cyber ​​Signals се задълбочава в тактиките, техниките и процедурите на извършителите на киберпрестъпления, които Microsoft нарича Storm-0539, известни още като Atlas Lion, и техните дейности в сферата на кражбите на ваучери за подаръци, тънкостите на методите им и последиците за хората, бизнеса и пейзажа на киберсигурността.

Storm-0539 остават актуални през годините, адаптирайки се към непрекъснато променящия се криминален пейзаж. Чрез лабиринтна мрежа от криптирани канали и тайни форуми, те организират незаконни начинания, използвайки технологични вратички и внедрявайки хитри кампании за социално инженерство, за да разширят своята дейност.

Въпреки че много извършители на киберпрестъпления поемат по пътя на най-малкото съпротивление към бързи печалби и се фокусират върху мащаба, Storm-0539 показва тих, продуктивен фокус върху компрометирането на системи и трансакции с ваучери за подаръци. Този противник безмилостно се насочва към издателите на ваучери за подаръци, като адаптира техники, за да бъде в крак с промените в търговията на дребно, плащанията и други свързани индустрии.

Всички сме защитници.

В исторически план Storm-0539 увеличава атаките си преди големите празници. Между март и май 2024 г., преди сезона на летните ваканции, Microsoft наблюдава 30% увеличение на активността на проникване от Storm-0539. Между септември и декември 2023 г. наблюдавахме 60% увеличение на активността на атаките, което съвпада с есенните и зимните празници.

  • 30 процента увеличение на активността на проникване на Storm-0539 между март и май 2024 г.
  • 60 процента увеличение на активността на проникване на Storm-0539 между септември и декември 2024 г.

Атакуващите прецизират кражбите на ваучери за подаръци и разплащателни карти

Storm-0539 оперират от Мароко и са замесени във финансови престъпления като измами с ваучери за подаръци. Техниките им включват фишинг, фишинг чрез SMS съобщения, регистриране на собствените им устройства в среди на жертви, за да получат постоянен достъп, и използване на достъп, за да се насочат към организации на трети страни. Те регистрират устройства, така че подканите за многофакторно удостоверяване (MFA), свързани с компрометиран акаунт на жертва, да отиват към устройството на атакуващия. Регистрирането на устройство им позволява да компрометират изцяло дадена самоличност и да останат в облачната среда. 

Активна от края на 2021 г., тази група за киберпрестъпления представлява еволюция на извършителите на заплахи, фокусирани върху атакуването на сметки и системи с разплащателни карти. В миналото атакуващите обикновено компрометираха данните на разплащателната карта със злонамерен софтуер за ПОС терминали (POS). Но тъй като индустриите затегнаха защитите на POS, Storm-0539 адаптираха своите техники за атака, за да компрометират облачни услуги и услуги за самоличност, в престъпно насочване към портали за ваучери за подаръци, свързани с големи търговци на дребно, луксозни марки и известни ресторанти за бързо хранене.

В исторически план измамите с плащания и ваучери за подаръци са свързани със сложен зловреден софтуер и фишинг кампании. Но тази група използва своето дълбоко познание за облака, за да извърши разузнаване на процесите на издаване на ваучери за подаръци на дадена организация, порталите за ваучери за подаръци и служителите с достъп до ваучерите за подаръци.

Обикновено веригата на атаката включва следните действия:
  • Използвайки указателите и графиците на служителите, списъците с контакти и имейл кутиите, Storm-0539 насочва фишинг съобщения чрез SMS към личните и служебните мобилни телефони на служителите. 
  • След като проникнат в даден акаунт на служител в целева организация, атакуващите се придвижват странично през мрежата, опитвайки се да идентифицират бизнес процеса на ваучерите за подаръци, като се насочват към компрометирани акаунти, свързани с това конкретно портфолио. 
  • Те също така събират информация за виртуални машини, VPN връзки, ресурси на SharePoint и OneDrive, както и на Salesforce, Citrix и други отдалечени среди. 
  • След като получи достъп, групата създава нови ваучери за подаръци, използвайки компрометирани акаунти на служители. 
  • След това те осребряват стойността, свързана с тези карти, продават ваучерите за подаръци на други извършители на заплахи на черните пазари или използват финансови мулета, за да използват ваучерите за подаръци.
Изображение, показващо два телефона със Storm-0539 фишинг съобщения чрез SMS, представящи се за бюрото за помощ на целевия служител на компанията.
Storm-0539 фишинг съобщения чрез SMS, представящи се за бюрото за помощ на целевия служител на компанията.

Разузнаването и способността на Storm-0539 да използва облачни среди са подобни на това, което Microsoft наблюдава от извършителите на заплахи, подкрепяни от националните държави, показвайки как техниките, популяризирани от шпионажа и геополитически фокусираните противници, сега влияят на финансово мотивирани престъпници.

Например Storm-0539 използва знанията си за софтуер, базиран в облака, системи за идентичност и привилегии за достъп, за да се насочи към мястото, където се създават ваучери за подаръци, вместо да се фокусира единствено върху крайния потребител. Тази дейност е тенденция, която наблюдаваме сред групи извън националната държава като Octo Tempest и Storm-0539, които са тактически добре запознати с облачните ресурси, подобно на напредналите извършители на заплахи, насочвани от държава.

За да се маскират и да останат незабелязани, Storm-0539 се представят като легитимни организации пред доставчиците на облачни услуги, за да получат временно приложение, съхранение и други първоначални безплатни ресурси за своята атака.

Като част от това усилие те създават уебсайтове, които въплъщават благотворителни организации, приюти за животни и други организации с нестопанска цел в Съединените щати, обикновено с подвеждащо изписване, измамна практика, при която лица регистрират обичайно грешно изписване на домейн на организация като свой собствен, за да подмамят потребителите да посетят измамни сайтове и да въведат лична информация или професионални удостоверения.

За да разшири допълнително своя набор от инструменти за измами, Microsoft наблюдава Storm-0539 да изтегля легитимни копия на документи 501(c)(3), издадени от Службата на САЩ за вътрешни приходи (IRS), от публични уебсайтове на организации с нестопанска цел. Въоръжени с копие на законен документ 501(c)(3) и съответстващ домейн, въплъщаващ организация с нестопанска цел, за която е издаден документът, те се обръщат към големи облачни доставчици за спонсорирани или намалени технологични услуги, които често се предоставят на организации с нестопанска цел.

Инфографика, която показва как работи Storm-0539.
Storm-0539 работи от безплатни пробни версии, абонаменти на изплащане и компрометирани облачни ресурси. Наблюдавахме също, че Storm-0539 се е представял за легитимни организации с нестопанска цел, за да получи спонсорство от няколко доставчици на облачни услуги.

Групата също така създава безплатни пробни версии или студентски акаунти на платформи за облачни услуги, като обикновено предоставя на новите клиенти 30-дневен достъп. В рамките на тези акаунти те създават виртуални машини, от които да стартират своите насочени операции. Умението на Storm-0539 в компрометирането и създаването на базирана в облака инфраструктура за атака им позволява да избегнат обичайните предварителни разходи в икономиката на киберпрестъпността, като например плащане за хостове и сървъри, тъй като те се стремят да минимизират разходите и да увеличат максимално ефективността.

Microsoft установява, че Storm-0539 извършва задълбочено разузнаване на доставчиците на услуги за федерална самоличност в целевите компании, за да имитира убедително средата за влизане, включително не само появата на страницата противник по средата (AiTM), но и използването на регистрирани домейни, които съответстват много на законни услуги. В други случаи Storm-0539 са компрометирали законни наскоро регистрирани домейни на WordPress, за да изработят целевата страница AiTM.

Препоръки

  • Защита чрез маркери и достъп с най-малко привилегии: Използвайте правила за защита срещу атаки за повторно възпроизвеждане на маркери, като свържете маркера към устройството на законния потребител. Приложете принципите за достъп с най-малко привилегии в цялата технологична група, за да минимизирате потенциалното въздействие на атака.
  • Приемете сигурна платформа за ваучери за подаръци и внедрете решения за Fraud Protection: Помислете за преминаване към система, предназначена за удостоверяване на плащания. Търговците могат също така да интегрират функции за Fraud Protection, за да минимизират загубите.
  • Многофакторно удостоверяване, устойчиво на фишинг: Преминете към устойчиви на фишинг идентификационни данни, които са имунизирани срещу различни атаки, като например ключове за сигурност FIDO2.
  • Изисквайте сигурна промяна на паролата, когато нивото на риск за потребителя е високо: Изисква се MFA за Microsoft Entra преди потребителят да може да създаде нова парола с обратно записване на парола, за да коригира риска.
  • Образовайте служителите: Търговците трябва да обучат служителите да разпознават потенциални измами с ваучери за подаръци и да отказват подозрителни поръчки.

Преодоляване на бурята: Защита срещу storm-0539

Ваучерите за подаръци са привлекателни цели за измами, тъй като за разлика от кредитните или дебитните карти, към тях няма имена на клиенти или банкови сметки. Microsoft вижда повишаване на активността от Storm-0539, фокусирана върху тази индустрия, около празничните периоди. Денят на загиналите във войните, Денят на труда и Денят на благодарността в САЩ, както и Черният петък и зимните празници, наблюдавани по целия свят, обикновено се свързват с повишена активност от страна на групата.

Обикновено организациите задават лимит за паричната стойност, която може да бъде издадена на индивидуален ваучер за подарък. Например, ако този лимит е USD$100,000, извършителят на заплаха ще издаде карта за USD$99,000, след което ще си изпрати кода на ваучера за подарък и ще го осребри. Основната им мотивация е да крадат ваучери за подаръци и да печелят, като ги продават онлайн на намалена цена. Виждали сме някои примери, при които извършителят на заплахи е открадвал до USD$100,000 на ден в определени компании.

За да се защитят от подобни атаки и да попречат на тази група да получи неоторизиран достъп до отделите за ваучери за подаръци, компаниите, издаващи ваучери за подаръци, трябва да третират своите портали за ваучери за подаръци като цели с висока стойност. Те трябва да бъдат внимателно наблюдавани и непрекъснато проверявани за всяка анормална дейност.

За всяка организация, която създава или издава ваучери за подаръци, внедряването на проверки и баланси за предотвратяване на бърз достъп до порталите за ваучери за подаръци и други цели с висока стойност, дори ако даден акаунт е компрометиран, може да помогне. Непрекъснато наблюдавайте регистрационните файлове, за да идентифицирате подозрителни влизания и други често срещани вектори за първоначален достъп, които разчитат на компрометирането на самоличности в облака, и прилагайте политики за условен достъп, които ограничават влизанията и маркират рискови влизания.

Организациите трябва също така да обмислят допълването на MFA с правила за условен достъп, при които заявките за удостоверяване се оценяват с помощта на допълнителни управлявани от самоличността сигнали като информация за местоположението на IP адреса или статуса на устройството, наред с други.

Друга тактика, която може да помогне за ограничаване на тези атаки, е процесът на удостоверяване на клиента при купуване на домейни. Наредбите и правилата на доставчиците може да не предотвратяват постоянно злонамереното грешно изписване по света, което означава, че тези измамни уебсайтове могат да останат популярни за мащабиране на кибератаки. Процесите на проверка за създаване на домейни могат да помогнат за ограничаване на повече сайтове, създадени единствено с цел измама на жертвите.

В допълнение към подвеждащите имена на домейни, Microsoft също наблюдава Storm-0539 да използват законни вътрешни фирмени пощенски списъци, за да разпространяват фишинг съобщения, след като стъпят в дадена компания и разберат нейните списъци за разпространение и други бизнес норми.

Фишингът чрез валиден списък за разпространение не само добавя още едно ниво на автентичност към злонамереното съдържание, но също така помага за усъвършенстване на насочването на съдържание към повече хора с достъп до идентификационни данни, взаимоотношения и информация, на която Storm-0539 разчита, за да спечели постоянство и обхват.

Когато потребителите щракнат върху връзки, съдържащи се във фишинг имейлите или текстовете, те се пренасочват към AiTM фишинг страница за кражба на идентификационни данни и улавяне на вторични маркери за удостоверяване. Търговците на дребно се насърчават да обучават персонала си как работят измамите с фишинг чрез SMS съобщение/фишинг, как да ги идентифицират и как да ги докладват.

Важно е да се подчертае, че за разлика от шумните извършители на заплахи с рансъмуер, които криптират и крадат данни, след което ви тормозят, за да платите, Storm-0539 се движат в облачната среда, тихо извършвайки разузнаване и злоупотребявайки с облака и инфраструктурата за самоличност, за да постигнат крайните си цели.

Операциите на Storm-0539 са убедителни поради използването на законно компрометирани имейли и имитирането на законни платформи, използвани от целевата компания. За някои компании загубите от ваучерите за подаръци са възстановими. Това изисква задълбочено разследване, за да се определи кои ваучери за подаръци са издадени от извършител на заплаха.

Наборът от ресурси на Microsoft срещу заплахи е издал известия до организациите, засегнати от Storm-0539. Отчасти поради това споделяне на информация и сътрудничество, наблюдаваме увеличаване на способността на големите търговци на дребно да се предпазват ефективно от активността на Storm-0539 през последните месеци.

Инфографика, показваща жизнения цикъл на проникване на Storm-0539, започващ с „Фишинг/фишинг чрез SMS съобщение“, последван от „Достъп до облачни ресурси“, „Въздействие (извличане на данни и кражба на ваучери за подаръци)“ и „Информация за бъдещи атаки“. „Самоличност“ остава в центъра на графиката.
Жизнен цикъл на проникване на Storm-0539.

Препоръки

  • Нулирайте паролите за потребители, свързани с фишинг и AiTM дейност: За да отмените всички активни сесии, незабавно нулирайте паролите. Отменете всички промени в настройките на MFA, направени от атакуващия в компрометирани акаунти. Изисквайте повторно предизвикателство за MFA за актуализации на MFA по подразбиране. Също така се уверете, че мобилните устройства, които служителите използват за достъп до корпоративни мрежи, са защитени по подобен начин.
  • Активирайте моментално автоизчистване (ZAP) в Microsoft Defender за Office 365: ZAP открива и предприема автоматизирани действия върху имейлите, които са част от фишинг кампанията, въз основа на идентични елементи от известни лоши съобщения.
  • Актуализирайте самоличностите, привилегиите за достъп и списъците за разпространение, за да минимизирате повърхностите за атака: Атакуващите като Storm-0539 предполагат, че ще намерят потребители с прекомерни привилегии за достъп, които могат да компрометират за прекомерно въздействие. Ролите на служителите и екипите могат да се променят често. Установяването на редовен преглед на привилегиите, членството в списъка за разпространение и други атрибути може да помогне за ограничаване на последиците от първоначалното проникване и да затрудни работата на натрапниците.

Научете повече за Storm-0539 и експертите на набора от ресурси на Microsoft срещу заплахи , отдадени на проследяването а киберпрестъпления и най-новите заплахи.

Методология: Моментните снимки и статистическите данни за покритие представляват увеличение на нашите известия за клиенти и наблюдения на извършителите на заплахи Storm-0539. Тези числа отразяват увеличение в персонала и ресурсите, изразходвани за наблюдение на тази група. Azure Active Directory предоставя анонимни данни за дейността, свързана със заплахи, като например злонамерени имейл акаунти, фишинг имейли и движение на атакуващите в мрежите. Допълнителните прозрения са от 78 трилиона ежедневни сигнали за сигурност, обработвани от Microsoft всеки ден, включително облака, крайните точки, интелигентния анализ и телеметрията от платформи и услуги на Microsoft, включително Microsoft Defender.

Cyber Signals Фишинг Извършители, представляващи заплаха

Свързани статии

Запознайте се с експертите, проследяващи измамата с ваучерите за подаръци на Storm-0539

С опит, обхващащ международните отношения, федералното правоприлагане, сигурността и правителството, анализаторите на разузнаването за заплахи на Microsoft Алисън Али, Уеймън Хо и Емил Хегеберт предлагат набор от уникални умения за проследяване на Storm-0539, извършители на заплахи, специализирани в кражбите на разплащателни карти и измамите с ваучери за подаръци.
Научете повече

Подхранване на икономиката на доверието: измами със социално инженерство

Запознайте се с променящия се цифров пейзаж, в който доверието е едновременно валута и уязвимост. Открийте тактиките за измама чрез социално инженерство, които кибернападателите използват най-често, и разгледайте стратегиите, които могат да ви помогнат да разпознаете и изпреварите заплахите на социалното инженерство, предназначени да манипулират човешката природа.
Научете повече

Променящите се тактики стимулират нарастването на компрометирането на имейлите от бизнес клас

Компрометирането на имейл от бизнес клас (BEC) се повишава сега, когато престъпниците могат да скрият източника на атаките си, за да бъдат още по-подли. Научете повече за CaaS и как да защитите организацията си.
Научете повече

Следвайте Microsoft Security