Trace Id is missing

Náhled do rostoucího rizika podvodů s dárkovými kartami

Stáhnout
Sdílet
Přenosný počítač s dárkovými kartami a kreditními kartami, které z něj vylétávají

Cyber Signals číslo 7: Do jámy lvové

Dnešní doba, kdy se digitální transakce a online nakupování staly nedílnou součástí našich každodenních životů, nahrává hrozbě kybernetických trestných činů. Jednou z přetrvávajících a stále se vyvíjejících hrozeb jsou i podvody s dárkovými a platebními kartami, mezi které patří jak dárkové karty od společností kreditních karet, tak od maloobchodních prodejců. Zločinci používají k napadení portálů dárkových karet stále sofistikovanější metody, díky kterým je přemění na téměř nevysledovatelnou hotovost.

Tato edice Cyber Signals se zabývá taktikami, technikami a aktéra hrozeb kybernetických trestných činů, kterého Microsoft nazývá Storm-0539. Tento aktér je jinak známý také jako Atlas Lion a v edici jsou sledovány jeho aktivity v prostředí krádeží dárkových karet, spletitosti jeho metod a možné dopady na jednotlivce, podniky a prostředí kybernetické bezpečnosti.

Storm-0539 je relevantní již roky a dokázal se přizpůsobit prostředí zločinů, které podléhá neustálým změnám. Skrze spletitou síť zašifrovaných kanálů a ilegálních fórem zorganizovali nezákonné podniky, které zneužívají technologických kliček a nasazují inteligentní kampaně sociálního inženýrství s cílem škálovat jejich operace.

Ačkoliv řada aktérů hrozeb kybernetických trestných činů volí cestu nejmenšího odporu cílící na rychlé zisky se zaměřením na škálování, Storm-0539 se tiše a produktivně zaměřuje na napadání systémů a transakcí dárkových karet. Tato nežádoucí strana vytrvale napadá vydavatele dárkových karet tím, že přizpůsobuje své techniky, aby udržela tempo se změnami napříč maloobchodem, platbami a dalšími souvisejícími odvětvími.

Všichni jsme obhájci.

Storm-0539 před obdobím velkých svátků odjakživa zvyšuje frekvenci útoků. Mezi březnem a květnem 2024, před obdobím letních dovolených, Microsoft zaznamenal 30% nárůst narušování ze strany Storm-0539. Mezi zářím a říjnem 2023 jsme zaznamenali 60% nárůst v útocích, který kolidoval s podzimními a zimními svátky.

  • 30% nárůst v narušování ze strany Storm-0539 mezi březnem a květnem 2024
  • 60% nárůst v narušování ze strany Storm-0539 mezi září a prosincem 2024

Útočníci upřesňují krádeže dárkových a platebních karet

Storm-0539 působí z prostředí Maroka a je zapojen ve finančních zločinech, jako jsou podvody s dárkovými kartami. Mezi jejich metody patří phishing, smishing, registrace jejích zařízení v prostředí obětí, aby tak získali neustálý přístup, a využívání svého přístupu k cílení na organizace třetí strany. Registrují zařízení, aby tak na zařízení útočníka přenesli pobídnutí vícefaktorového ověřování, které souvisí s napadeným účtem oběti. Registrace zařízení jim umožňuje plné napadení účtu a přetrvání v cloudovém prostředí. 

Tato skupina kybernetických trestných činů je aktivní od konce roku 2021 a představuje evoluci aktérů hrozeb, kteří se zaměřují na napadání účtů a systémů platebních karet. V minulosti útočníci běžně napadali data platebních karet prostřednictvím malwaru pokladního místa. S intenzivnější obranou pokladních míst Storm-0539 přizpůsobil metody svých útoků k napadání služeb cloudu a účtů v rámci cílení na portály dárkových karet, které se pojí s velkými prodejci, luxusními značkami a známými restauracemi s rychlým občerstvením.

Podvody s dárkovými a platebními kartami se odjakživa pojí se sofistikovanými kampaněmi malwaru a phishingu. Tato skupina nicméně využívá své znalosti o cloudu k provedení průzkumu procesů organizací, co se týče vydávání dárkových karet, portálů dárkových karet a zaměstnanců s přístupem k dárkovým kartám.

Řetěz útoků většinou zahrnuje následující akce:
  • S využitím adresářů, rozvrhů, kontaktních seznamů a emailové pošty zaměstnanců Storm-0539 napadá osobní a pracovní mobilní telefony zaměstnanců zasíláním smishingových zpráv. 
  • Jakmile dojde k infiltraci účtu zaměstnance v dané organizaci, útočníci se laterálně pohybují sítí a snaží se identifikovat obchodní proces dárkových karet, přičemž se vydávají směrem napadených účtů propojených s tímto konkrétním portfoliem. 
  • Kromě toho získávají informace o virtuálních strojích, propojení virtuálních privátních sítích, prostředcích SharePointu a OneDrivu, nebo také o Salesforce, Citrix a dalších vzdálených prostředích. 
  • Po získání přístupu skupina s využitím napadených účtů zaměstnanců vytvoří nové dárkové karty. 
  • Poté uplatní hodnotu přidruženou k těmto kartám, prodají dárkové karty dalším aktérům hrozeb na černém trhu, nebo použijí převodce k získání peněz z dárkových karet.
Obrázek dvou telefonů se smishingovými zprávami Storm-0539, jejichž odesílatel se vydává za firemní help desk zaměstnance, jemuž je zpráva určena
smishingové zprávy Storm-0539, jejichž odesílatel se vydává za firemní help desk zaměstnance, jemuž je zpráva určena

Průzkum a schopnost Storm-0539 využít cloudová prostředí jsou podobná tomu, co Microsoft pozoruje u aktérů hrozeb sponzorovaných státem. Jde o důkaz toho, jaký vliv mají metody zpopularizované špionáží a geopolitickými protivníky na zločince s finančními motivy.

Storm-0539 například využívá své znalosti cloudového softwaru, systémů identit a oprávnění k přístupu k cílení na místa výroby dárkových karet, místo toho, aby se zaměřoval pouze na koncového uživatele. Jde o trend, který lze nyní vidět mezi nestátními skupinami, jako jsou Octo Tempest a Storm-0539, které jsou takticky dobře seznámeny s cloudovými prostředky, podobně jako pokročilí aktéři sponzorovaní státem.

Storm-0539 se pro poskytovatele cloudu prezentuje jako legitimní organizace, aby si zachoval krytí a byl neodhalitelný. Pro své útoky tak získá dočasnou aplikaci, úložiště a další počáteční bezplatné prostředky.

Jako součást své snahy vytváří webové stránky, které zosobňují charity, zvířecí útulky a další neziskový organizace ve Spojených státech. Většinou toho docilují pomocí typosquattingu, klamavé praktiky, kdy jednotlivci registrují běžný překlep domény organizace jako vlastní, aby tak oklamali uživatele k návštěvě podvodných stránek a zadání osobních údajů nebo profesionálních přihlašovacích údajů.

Microsoft zpozoroval, že Storm-0539 stahuje legitimní kopie listů 501(c)(3) vydávaných úřadem Internal Revenue Service (IRS) z veřejných webových stránek neziskových organizací, čímž dále rozšiřuje svou sadu podvodných nástrojů. Vybaveni kopií legitimních listů 501(c)(3) a odpovídající doménou zosobňující neziskovou organizaci, které byl list vydán, se obrací na velké poskytovatele cloudu ohledně sponzoringu nebo slevy ba technologické služby, které neziskové organizace často získávají.

Infografika fungování aktéra hrozby Storm-0539.
Aktér hrozby Storm-0539 zneužívá bezplatné zkušebních verze, předplatná s průběžnými platbami a napadené cloudové prostředky. Také jsme zaznamenali, že se aktér hrozby Storm-0539 vydával za legitimní neziskové organizace, aby od několika poskytovatelů cloudu získal sponzorský dar pro neziskové organizace.

Skupina na platformách cloudových služeb vytváří také bezplatná zkušební období nebo studentské účty, které novým zákazníkům většinou poskytují 30denní přístup. Na těchto účtech vytváří virtuální stroje, se kterými spouští své cílené operace. Dovednosti Storm-0539 napadat a vytvářet cloudovou infrastrukturu útoku jim umožňuje vyhnout se běžným počátečním výdajům v ekonomice kybernetických trestných činů, jako je platba za hosting a servery, protože se snaží o minimalizaci výdajů a maximalizaci účinnosti.

Dle vyhodnocení Microsoftu provádí Storm-0539 rozsáhlý průzkum poskytovatelů služeb federované identity v rámci vybraných firem, aby dokázal přesvědčivě napodobit uživatelské přihlašovací prostředí, nejen včetně vzhledu stránky protivník uprostřed(AiTM), ale také použití registrovaných domén, které se podobají legitimním službám. Dalším příkladem může být skutečnost, že Storm-0539 napadl nedávno registrované legitimní domény WordPressu, aby vytvořil vstupní stránku AiTM.

Doporučení

  • Ochrana tokenů a přístup s co nejméně oprávněními: Využít zásady k ochraně před útoky přehrání tokenů tím, že se token propojí se zařízením legitimního uživatele. Použijte zásady přístupu s co nejméně oprávněními napříč celým balíkem technologií k minimalizaci potencionálního dopadu útoku.
  • Převezměte bezpečnou platformu dárkových karet a zaveďte řešení ochrany před podvody: Zvažte přechod na systém s možností ověření plateb. Obchodníci mohou také integrovat ochranu před podvody a minimalizovat tak ztráty.
  • Vícefaktorové ověřování (MFA) odolná vůči phishingu: Přechod na přihlašovací údaje odolné vůči phishingu, které jsou imunní vůči mnoha útokům, jako jsou klíče zabezpečení FIDO2.
  • Požadovat změnu na bezpečné heslo, jakmile je úroveň rizika pro uživatele vysoká: Microsoft Entra MFA je požadováno předtím, než si uživatel vytvoří nové heslo se zpětným zápisem hesla, aby napravili svou rizikovou událost.
  • Vzdělávání zaměstnanců: Obchodníci by také měli trénovat zaměstnance, aby dokázali rozeznat případné podvodné dárkové karty a zamítnout podezřelé objednávky.

Jak ustát bouři: Obrana před Storm-0539

Dárkové karty jsou populárními cíli podvodů, protože na rozdíl od kreditních nebo debetních karet k nim nejsou přidělená jména zákazníků nebo bankovní účty. Microsoft pozoruje nárůst v činnosti Storm-0539 v rámci tohoto odvětví během období sezónních svátků. Den obětí války, Svátek práci a Díkůvzdání v USA, stejně jako Černý pátek a zimní prázdniny všude po světě, většinou provází nárůst činnosti skupiny.

Organizace si většinou nastaví limit peněžní hodnoty, který lze vydat za dárkovou kartu jednotlivce. Pokud je tento limit například 100 000 USD, aktér hrozby vydá kartu za 99 000 USD a pak si pošle kód této dárkové karty a zmonetizuje ji. Hlavní motivací pro ně je krádež dárkových karet a zisk z online prodeje za zvýhodněnou cenu. Viděli jsme příklady toho, že aktér hrozby ukradl od určitých firem až 100 000 USD denně.

Firmy vydávající dárkové karty by měly s portály dárkových karet zacházet jako s velmi cennými cíli, aby se ubránily proti podobným útokům a předešly tomu, aby tato skupina získala neoprávněný přístup k oddělení dárkových karet. Měly by být monitorovány a neustále kontrolovány kvůli jakékoliv nezvyklé činnosti.

Zavedení kontrol a prověrek k přecházení rychlého přístupu k portálům dárkových karet a dalším cílům s vysokou hodnotou, může všem organizacím vydávajícím dárkové karty pomoci, a to i v případě napadení účtu. Neustále monitorujte protokoly a identifikujte podezřelá přihlášení a další běžné vektory prvotního přístupu, které spoléhají napadení cloudové identity a zařazují zásady podmíněného přístupu, které omezují možnosti přihlášení a riziková přihlášení označují příznakem.

Organizace by měly také zvážit zavedení MFA se zásadami podmíněného přístupu, kdy jsou žádost o ověření hodnoceny za použití dodatečných signálů na základě identity, jako je geografická informace o IP adrese nebo stav zařízení.

Další taktikou, která by mohla pomoci dostat tyto útoky pod kontrolu, je proces ověření zákazníka během nákupu domény. Regulace a zásady dodavatele nemusí konzistentně předcházet typosquattingu všude po světě, takže tyto podvodné webové stránky mohou zůstat populárními nástroji pro škálování kybernetických útoků. Procesy ověřování pro tvorbu domén by mohly pomoci dostat pod kontrolu více stránek, které byly vytvořeny výhradně pro účely oklamání obětí.

Kromě zavádějících názvů domén Microsoft zaznamenal také skutečnost, že Storm-0539 používá legitimní seznam adresátů interní společnosti k rozšíření phishingových zpráv, jakmile se ve firmě uchytí a porozumí jejím distribučním seznamům a dalším obchodním normám.

Nejen, že phishing prostřednictvím platných distribučních seznamů dodává podvodnému obsahu další vrstvu ověření, ale pomáhá také zdokonalit cílení obsahu na více osob s přístupem k přihlašovacím údajům, vztahům a informacím, na které Storm-0539 spoléhá, aby získali trvalost a dosah.

Když uživatelé kliknou na odkazy ve phishingových emailech nebo zprávách, jsou přesměrováni na phishingovou stránku AiTM pro krádež přihlašovacích údajů a zachycení tokenu druhotného ověřování. Prodejci jsou nabádáni k tomu, aby zaměstnavatele učili, jak fungují smishingové/phishingové podvody, jak je identifikovat a jak je nahlásit.

Je důležité zdůraznit, že na rozdíl od hlasitých aktérů hrozeb ransomwaru, kteří šifrují a kradou data a následně vás obtěžují ohledně platby, Storm-0539 krouží kolem cloudového prostředí a tiše získává průzkum a využívá infrastrukturu cloudu a identity, aby dosáhl svých konečných cílů.

Operace Storm-0539 jsou přesvědčivé díky aktérově použití legitimních napadených emailů a napodobování legitimních platforem, které vybraná firma používá. Ztráty dárkových karet jsou pro některé firmy návratné. To požaduje důkladné prověřování, které určí druh dárkových karet vydaných aktérem hrozby.

Analýza hrozeb Microsoft vydal oznámení organizacím, které postihl Storm-0539. Zčásti i kvůli tomuto sdílení informací a spolupráci na nich jsme v posledních měsících zaznamenali nárůst dovedností velkých obchodníků účinně kontrolovat činnost Storm-0539.

Infografika zobrazující životní cyklus napadení ze strany aktéra hrozeb Storm-0539. Ten začíná „phishingem/smishingem“, následuje „přístup ke cloudovým zdrojům“, „působení (exfiltrace dat a krádež dárkových karet)“ a „informace pro budoucí útoky“. Ve středu infografiky zůstává „identita“.
Životní cyklus útoku Storm-0539.

Doporučení

  • Obnovte hesla uživatelů spojovaných s phishingem a činností AiTM: Odvolejte veškeré aktivní relace, neprodleně obnovte hesla. Odvolejte veškeré změny v nastavení vícefaktorového ověřování, které provedl útočník na napadených účtech. Požadujte zpochybňování vícefaktorového ověřování ohledně aktualizací vícefaktorového ověřování jako výchozích. Kromě toho se ujistěte, že mobilní zařízení, která používají zaměstnanci pro přístup k firemním sítím, jsou podobně chráněná.
  • Umožněte automatické čištění doručené pošty v Microsoft Defender pro Office 365: Automatické čištění doručené pošty na základě identických prvků známých škodlivých zpráv odhalí automatizované akce v emailech, které jsou součástí phishingové kampaně.
  • Aktualizujte identity, získejte přístup k oprávněním a distribučním seznamům a minimalizujte tak prostor pro útok: Útočníci jako Storm-0539 předpokládají, že najdou uživatele s nadměrnými oprávněními k přístupu, které by mohli napadnout a dosáhnout tak většího dopadu. Role zaměstnanců a týmu se často mění. Zavedení pravidelné revize oprávnění, členství distribučních seznamů a dalších atributů může pomoci omezit následky počáteční narušení a ztížit útočníkovi práci.

Získejte další informace o Storm-0539 a expertech Analýzy hrozeb Microsoftu , kteří se věnují sledování kybernetických trestných činů a nejnovějších hrozeb.

Metodologie: Snímek a titulní fotka statistických údajů představují nárůst v našich zákaznických upozorněních a pozorování aktéra hrozby Storm-0539. Tato čísla odráží nárůst zaměstnanců a prostředků k monitorování této skupiny. Služba Azure Active Directory poskytla anonymizovaná data o aktivitách hrozeb, jako jsou škodlivé e-mailové účty, phishingové e-maily a pohyb útočníků v sítích. Dodatečné přehledy jsou od 78 bilionů denních bezpečnostních signálů, které Microsoft každý den zpracovává. Ty zahrnují cloud, koncové body, inteligentní hraniční zařízení a telemetrická data z platforem a služeb Microsoftu, včetně Microsoft Defender.

Cyber Signals Phishing Aktéři hrozeb

Související články

Seznamte se s experty, kteří monitorují podvody s dárkovými kartami skupiny Storm-0539

Díky předchozím pracovním zkušenostem v oblastech, jako jsou mezinárodní vztahy, federální bezpečnostní složky, bezpečnostní služba nebo státní správa, nabízí analytikové Analýzy hrozeb Microsoftu zaměření na analýzu hrozeb Alison Ali, Waymon Ho a Emiel Haeghebaert řadu jedinečných dovedností pro monitorování aktéra hrozeb Storm-0539, který se specializuje na odcizování platebních karet a podvody s dárkovými kartami.
Další informace

Zneužití principu důvěry: podvody sociálního inženýrství

Prozkoumejte digitální prostředí, které se neustále vyvíjí a v němž je důvěra měnou i zranitelností. Objevte podvodné taktiky sociálního inženýrství, které kybernetičtí útočníci používají nejvíce, a revidujte strategie, které vám mohou pomoci identifikovat se a přechytračit hrozby sociálního inženýrství navrženy k manipulaci lidí.
Další informace

Změna taktiky je příčinou nárůstu zneužívání firemních e-mailů

Ohrožení zabezpečení firemních e-mailů (BEC) je nyní na vzestupu, protože kyberzločinci mohou maskovat zdroj útoků a být tak ještě zákeřnější. Získejte další informace o CaaS a o tom, jak můžete pomoct ochránit vaši organizaci.
Další informace

Sledujte zabezpečení od Microsoftu