Trace Id is missing

Indblik i den voksende risiko for svindel med gavekort

Download
Del
En bærbar computer med gavekort og kreditkort, der flyver ud af den

Cyber Signals 7. udgave: Ind i løves hule

I en tid, hvor digitale transaktioner og onlineshopping er blevet en integreret del af vores hverdag, er truslen om cyberkriminalitet overhængende. Blandt disse trusler er svindel med gave- og betalingskort, som omfatter både gavekort fra kreditkortselskaber og detailhandlere, udbredt og under udvikling. Kriminelle bruger stadig mere sofistikerede metoder til at kompromittere gavekort-portaler, før de forvandler dem til kontanter, der næsten ikke kan spores.

Denne udgave af Cyber Signals dykker ned i taktikkerne, teknikkerne og procedurerne hos en trusselaktør inden for cyberkriminalitet, som Microsoft kalder Storm-0539, også kendt som Atlas Lion, og dens aktiviteter inden for tyveri af gavekort, de indviklede metoder og konsekvenserne for enkeltpersoner, virksomheder og landskabet for cybersikkerhed.

Storm-0539 er forblevet relevant gennem årene og har tilpasset sig det stadigt skiftende kriminelle landskab. Gennem et labyrintisk netværk af krypterede kanaler og undergrundsfora orkestrerer de ulovlige foretagender, der udnytter teknologiske smuthuller og anvender smarte social engineering-kampagner til at skalere deres operationer.

Selvom mange cyberkriminelle trusselsaktører vælger stien med mindst modstand til hurtig profit og fokuserer på skala, viser Storm-0539 et stille, produktivt fokus på at kompromittere gavekortssystemer og -transaktioner. Denne modstander går ubarmhjertigt efter gavekortudstedere ved at tilpasse teknikkerne til at holde trit med ændringer på tværs af detailhandel, betaling og andre relaterede brancher.

Vi er alle forsvarere.

Historisk set øger Storm-0539 sin angrebsaktivitet forud for store feriesæsoner. Mellem marts og maj 2024, forud for sommerferiesæsonen, observerede Microsoft en stigning på 30 % i indtrængningsaktivitet fra Storm-0539. Mellem september og december 2023 observerede vi en stigning på 60 % i angrebsaktiviteten, hvilket fandt sted på samme tid som efterårs- og vinterferien.

  • 30 procent stigning i Storm-0539-indtrængningsaktivitet mellem marts og maj 2024
  • 60 procent stigning i Storm-0539-indtrængningsaktivitet mellem september og december 2024

Angribere finindstille gave- og betalingskort-kup

Storm-0539 opererer fra Marokko og er involveret i økonomisk kriminalitet som f.eks. svindel med gavekort. Deres teknikker omfatter phishing, sms-phishing, registrering af deres egne enheder i offermiljøer for at få vedvarende adgang og udnyttelse af adgangen til at ramme tredjepartsorganisationer. De registrerer enheder, så multifaktorgodkendelse i forbindelse med en kompromitteret offerkonto går til angriberens enhed. Ved at registrere en enhed kan de helt og holdent kompromittere en identitet og forblive i cloudmiljøet. 

Denne cyberkriminalitetsgruppe har været aktiv siden slutningen af 2021 og repræsenterer en udvikling af trusselsaktører, der fokuserer på at angribe betalingskortkonti og -systemer. Tidligere har angribere ofte kompromitteret betalingskortdata med POS-malware (point-of-sale). Men i takt med at brancherne skærpede POS-forsvaret, tilpassede Storm-0539 deres angrebsteknikker til at kompromittere cloud- og identitetstjenester i kriminelle angreb på gavekortportaler, der er knyttet til store detailhandlere, luksusmærker og kendte fastfood-restauranter.

Historisk set er svindel med betalings- og gavekort forbundet med sofistikerede malware- og phishing-kampagner. Men denne gruppe udnytter deres dybe viden om cloud til at foretage rekognoscering af en organisations processer for udstedelse af gavekort, gavekortportaler og medarbejdere med adgang til gavekort.

Typisk omfatter angrebskæden følgende handlinger:
  • Ved hjælp af medarbejderregistrer og -skemaer, kontaktlister og e-mailindbakker går Storm-0539 målrettet efter medarbejdernes private og arbejdsmæssige mobiltelefoner med beskeder med sms-phishing. 
  • Når en medarbejderkonto i en målrettet organisation er infiltreret, bevæger angriberne sig sidelæns gennem netværket og forsøger at identificere gavekortets forretningsproces ved at dreje mod kompromitterede konti, der er knyttet til denne specifikke portefølje. 
  • De indsamler også oplysninger om virtuelle maskiner, VPN-forbindelser, SharePoint- og OneDrive-ressourcer samt Salesforce, Citrix og andre fjernmiljøer. 
  • Når de har fået adgang, opretter gruppen nye gavekort ved hjælp af kompromitterede medarbejderkonti. 
  • Derefter indløser de den værdi, der er forbundet med disse kort, sælger gavekortene til andre trusselsaktører på de sorte markeder eller bruger pengemuldyr til at udbetale gavekortene.
Billede, der viser to telefoner med Storm-0539-smishing-beskeder, der efterligner en målmedarbejders helpdesk hos virksomheden.
Storm-0539-smishing-beskeder, der efterligner en målmedarbejders helpdesk hos virksomheden.

Storm-0539's rekognoscering og evne til at udnytte cloud-miljøer ligner det, Microsoft observerer fra nation-stat-sponsorerede trusselsaktører, hvilket viser, hvordan teknikker, der er populariseret af spionage og geopolitisk fokuserede modstandere, nu påvirker økonomisk motiverede kriminelle.

For eksempel udnytter Storm-0539 deres viden om cloudbaseret software, identitetssystemer og adgangsrettigheder til at målrette det sted hvor gavekortene oprettes, i stedet for kun at fokusere på slutbrugeren. Denne aktivitet er en tendens, som vi ser blandt grupper som ikke er nation-stat som Octo Tempest og Storm-0539, som er taktisk velbevandrede i cloudressourcer ligesom avancerede statssponsorerede aktører.

For at camouflere sig selv og forblive uopdaget præsenterer Storm-0539 sig som legitime organisationer over for cloududbydere for at få midlertidige applikationer, lagerplads og andre indledende gratis ressourcer til deres angrebsaktivitet.

Som en del af denne indsats opretter de hjemmesider, der udgiver sig for at være velgørenhedsorganisationer, dyreinternater og andre nonprofitorganisationer i USA. Dette sker typisk med typosquatting, som er en vildledende praksis, hvor enkeltpersoner registrerer en almindelig stavefejl i en organisations domæne som deres eget for at narre brugerne til at besøge falske sider og indtaste personlige oplysninger eller professionelle legitimationsoplysninger.

For yderligere at udvide deres værktøjskasse med svindel har Microsoft observeret, at Storm-0539 downloader legitime kopier af 501(c)(3)-breve udstedt af IRS (De amerikanske skattemyndigheder) fra nonprofitorganisationers offentlige hjemmesider. Bevæbnet med en kopi af et legitimt 501(c)(3)-brev og et matchende domæne, der udgiver sig for at være den nonprofitorganisation, som brevet er udstedt til, henvender de sig til store cloududbydere for at få sponsoreret eller nedsat teknologitjenester, der ofte gives til nonprofitorganisationer.

En infografik, der viser, hvordan Storm-0539 arbejder.
Storm-0539 opererer med gratis prøveversioner, abonnementer, der er betalt efter forbrug og kompromitterede cloud-ressourcer. Vi observerede også, at Storm-0539 udgav sig for at være legitime nonprofitorganisationer for at få nonprofit-sponsorater fra flere cloududbydere.

Gruppen opretter også konti til gratis prøveversioner eller konti til studerende på cloud-tjenesteplatforme, som typisk giver nye kunder 30 dages adgang. På disse konti opretter de virtuelle maskiner, hvorfra de kan starte deres målrettede operationer. Storm-0539's evner til at kompromittere og skabe cloudbaseret angrebsinfrastruktur gør, at de kan undgå almindelige startomkostninger, som andre cyberkriminelle står over for, såsom at betale for hosts og servere, da de forsøger at minimere omkostningerne og maksimere effektiviteten.

Microsoft vurderer, at Storm-0539 udfører omfattende rekognoscering af identitetsudbydere i medlemmer af organisationsnetværk hos målrettede virksomheder for på overbevisende vis at efterligne brugerens logon-oplevelse, herunder ikke kun udseendet af AiTM-siden (adversary-in-the-middle), men også brugen af registrerede domæner, der næsten stemmer overens med legitime tjenester. I andre tilfælde har Storm-0539 kompromitteret legitime, nyligt registrerede WordPress-domæner for at lave AiTM-landingssiden.

Anbefalinger

  • Tokenbeskyttelse og adgang med færrest mulige privilegier: Brug politikker til at beskytte mod token-replay-angreb ved at binde tokenet til den legitime brugers enhed. Anvend principper for adgang med færrest mulige privilegier på tværs af hele teknologistakken for at minimere den potentielle effekt af et angreb.
  • Brug en sikker platform til gavekort, og implementer løsninger til beskyttelse mod svindel: Overvej at skifte til et system, der er designet til at godkende betalinger. Forhandlere kan også integrere funktioner til beskyttelse mod svindel for at minimere tab.
  • Multifaktorgodkendelse, der er modstandsdygtig over for phishing: Skift til phishing-resistente legitimationsoplysninger, der er immune over for forskellige angreb, såsom FIDO2-sikkerhedsnøgler.
  • Kræv en sikker ændring af adgangskoden, når brugerens risikoniveau er højt: Microsoft Entra multifaktorgodkendelse er påkrævet, før brugeren kan oprette en ny adgangskode med tilbageførsel af adgangskode for at afhjælpe deres risiko.
  • Uddan medarbejderne: Forhandlere bør træne medarbejdere i at genkende potentielle gavekort-svindel og afvise mistænkelige ordrer.

At klare sig igennem stormen: Forsvar mod storm-0539

Gavekort er attraktive mål for svindel, fordi der i modsætning til kredit- og betalingskort ikke er knyttet kundenavne eller bankkonti til dem. Microsoft ser en stigning i aktiviteten fra Storm-0539 med fokus på denne branche omkring sæsonbestemte ferieperioder. Memorial Day, Labor Day og Thanksgiving i USA samt Black Friday og vinterferier rundt om i verden har en tendens til at være forbundet med øget aktivitet fra gruppen.

Typisk sætter organisationer en grænse for den kontante værdi, der kan udstedes til et individuelt gavekort. Hvis grænsen f.eks. er 100.000 USD, vil trusselaktøren udstede et kort på 99.000 USD og derefter sende koden til gavekortet til sig selv og tjene penge på dem. Deres primære motivation er at stjæle gavekort og tjene penge ved at sælge dem online med rabat. Vi har set eksempler på, at trusselaktører har stjålet op til 100.000 USD om dagen i visse virksomheder.

For at forsvare sig mod sådanne angreb og forhindre denne gruppe i at få uautoriseret adgang til afdelinger, der arbejder med gavekort bør virksomheder, der udsteder gavekort, behandle deres gavekort-portaler som mål af høj værdi. De skal overvåges nøje og løbende gennemses for enhver unormal aktivitet.

For enhver organisation, der opretter eller udsteder gavekort, kan det hjælpe at implementere kontrolforanstaltninger for at forhindre hurtig adgang til gavekort-portaler og andre mål af høj værdi, selv hvis en konto er kompromitteret. Overvåg løbende logfiler for at identificere mistænkelige logon og andre almindelige indledende adgangsvektorer, der er afhængige af kompromittering af cloudidentitet, og implementer politikker for betinget adgang, der begrænser logins og markerer risikable logons.

Organisationer bør også overveje at supplere multifaktorgodkendelse med betingede adgangspolitikker, hvor godkendelsesanmodninger evalueres ved hjælp af yderligere identitetsdrevne signaler som f.eks. oplysninger om IP-adressens placering eller enhedens status.

En anden taktik, der kan hjælpe med at stoppe disse angreb, er en proces med kundebekræftelse for køb af domæner. Regler og leverandørpolitikker forhindrer måske ikke konsekvent ondsindet typosquatting rundt om i verden, hvilket betyder, at disse vildledende hjemmesider kan forblive populære til at opskalere cyberangreb. Bekræftelsesprocesser for oprettelse af domæner kan hjælpe med at bremse flere websteder, der udelukkende er oprettet med det formål at narre ofre.

Ud over vildledende domænenavne har Microsoft også observeret, at Storm-0539 bruger legitime interne mailinglister i virksomheden til at sprede phishing-beskeder, når de først har fået fodfæste i en virksomhed og forstår dens distributionslister og andre forretningsnormer.

Ikke alene tilføjer phishing via en gyldig distributionsliste endnu et lag af autenticitet til ondsindet indhold, det hjælper også med at målrette indholdet mod flere personer med adgang til legitimationsoplysninger, relationer og information, som Storm-0539 er afhængig af for at opnå vedholdenhed og rækkevidde.

Når brugerne klikker på links i phishing-mails eller sms-beskeder, bliver de omdirigeret til en AiTM-phishing-side, hvor de kan stjæle legitimationsoplysninger og få fat i et sekundært godkendelsestoken. Forhandlere opfordres til at træne personalet i, hvordan sms-phishing/phishing-svindel fungerer, hvordan man identificerer det, og hvordan man rapporterer det.

Det er vigtigt at understrege, at i modsætning til trusselsaktører med støjende ransomware, der krypterer og stjæler data og derefter chikanerer dig til at betale, drøner Storm-0539 rundt i et cloudmiljø og indsamler stille og roligt rekognoscering og misbruger cloud- og identitetsinfrastrukturen til at nå deres endelige mål.

Storm-0539-operationer er overbevisende på grund af aktørens brug af legitime kompromitterede mails og efterligning af legitime platforme, der bruges af den målrettede virksomhed. For nogle virksomheder kan tab på gavekort erstattes. Det kræver en grundig undersøgelse for at finde ud af, hvilke gavekort trusselaktøren har udstedt.

Microsoft Threat Intelligence har udsendt meddelelser til organisationer, der er berørt af Storm-0539. Delvist på grund af denne informationsdeling og dette samarbejde har vi observeret en stigning i de store detailhandleres evne til effektivt at afværge Storm-0539-aktivitet i de seneste måneder.

En infografik, der viser livscyklussen for Storm-0539-indtrængen, startende med "Phishing/smishing", efterfulgt af "Adgang til ressourcer i skyen", "Påvirkning" (dataekstrudering og tyveri af gavekort)" og "Oplysninger til fremtidige angreb". "Identitet" er midt i grafikken.
Livscyklus for Storm-0539-indtrængen.

Anbefalinger

  • Nulstil adgangskoder for brugere, der er forbundet med phishing- og AiTM-aktivitet: Nulstil adgangskoderne øjeblikkeligt for at ophæve alle aktive sessioner. Tilbagekald alle ændringer af indstillinger for multifaktorgodkendelse, som angriberen har foretaget på kompromitterede konti. Kræv som standard en genudfordring af multifaktorgodkendelse for opdateringer af multifaktorgodkendelser. Sørg også for, at de mobile enheder, som medarbejderne bruger til at få adgang til virksomhedens netværk, er beskyttet på samme måde.
  • Aktiver ZAP (Omgående automatisk flytning) in Microsoft Defender for Office 365: ZAP finder og foretager automatiserede handlinger på de mails, der er en del af phishing-kampagnen, baseret på identiske elementer i kendte ondsindede beskeder.
  • Opdater identiteter, adgangsrettigheder og distributionslister for at minimere angrebsflader: Angribere som Storm-0539 antager, at de vil finde brugere med for mange adgangsrettigheder, som de kan kompromittere for at få stor indflydelse. Medarbejder- og teamroller kan ændre sig ofte. En regelmæssig gennemgang af privilegier, medlemskab af distributionslister og andre attributter kan hjælpe med at begrænse følgerne af en første indtrængen og gøre arbejdet for ubudne gæster mere svært.

Få mere at vide om Storm-0539 og Microsofts Threat Intelligence-eksperter , der er dedikeret til at spore cyberkriminalitet og de nyeste trusler.

Metodologi: Snapshot- og coverstat-data repræsenterer en stigning i vores kunders notifikationer og observationer af trusselsaktøren Storm-0539. Disse tal afspejler en stigning i medarbejdere og ressourcer, der bruges på at overvåge denne gruppe. Azure Active Directory leverede anonymiserede data om trusselsaktivitet, f.eks. skadelige mailkonti, phishing-mails og bevægelser i netværk fra personer med ondsindede hensigter. Yderligere indsigt kommer fra de 78 billioner daglige sikkerhedssignaler, som Microsoft behandler hver dag, herunder cloud, slutpunkter, den intelligente kant og telemetri fra Microsoft-platforme og -tjenester, herunder Microsoft Defender.

Cyber Signals Phishing Trusselsaktører

Relaterede artikler

Mød eksperterne, der sporer svindel med Storm-0539-gavekort

Microsoft Threat Intelligence-analytikerne Alison Ali, Waymon Ho og Emiel Haeghebaert har baggrunde, der spænder over internationale relationer, føderal retshåndhævelse, sikkerhed og myndigheder + politik, og de tilbyder en række unikke færdigheder til at spore Storm-0539. Som er en trusselsaktør, der har specialiseret sig i tyveri af betalingskort og svindel med gavekort.
Få mere at vide

Lever af tillidsøkonomien: social engineering-svindel

Udforsk et digitalt landskab under udvikling, hvor tillid både er en valuta og en sårbarhed. Opdag de social engineering-svindeltaktikker, som cyberangribere bruger mest, og gennemse strategier, der kan hjælpe dig med at identificere og udmanøvrere social engineering-trusler, der er designet til at manipulere den menneskelige natur.
Få mere at vide

Skiftende taktikker skaber en stigning i kompromittering af virksomhedsmail

Kompromittering af virksomhedsmail (BEC) bliver mere udbredt, nu hvor cyberkriminelle kan sløre kilden til deres angreb for at være endnu mere lyssky. Få mere at vide om CaaS, og hvordan du hjælper med at beskytte din organisation.
Få mere at vide

Følg Microsoft Security