Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Security Insider

Εντός του αυξανόμενου κινδύνου απάτης με δωροκάρτες

Λήψη
Κοινοποίηση
Ένας φορητός υπολογιστής μέσα από την οθόνη του οποίου εκτοξεύονται δωροκάρτες και πιστωτικές κάρτες

Cyber Signals Τεύχος 7: Στη φωλιά του λιονταριού

Σε μια εποχή όπου οι ψηφιακές συναλλαγές και οι ηλεκτρονικές αγορές έχουν γίνει αναπόσπαστο μέρος της καθημερινότητάς μας, η απειλή του ηλεκτρονικού εγκλήματος ελλοχεύει. Μεταξύ αυτών των απειλών, η απάτη με δωροκάρτες και κάρτες πληρωμών, η οποία περιλαμβάνει τόσο τις δωροκάρτες από εταιρείες πιστωτικών καρτών όσο και από καταστήματα λιανικής πώλησης, είναι διαδεδομένη και συνεχώς εξελίσσεται. Οι εγκληματίες χρησιμοποιούν όλο και πιο εξελιγμένες μεθόδους για να θέσουν σε κίνδυνο τις πύλες των δωροκαρτών πριν τις μετατρέψουν σε σχεδόν μη ανιχνεύσιμα μετρητά.

Αυτή η έκδοση του Cyber Signals εμβαθύνει στις τακτικές, τις τεχνικές και τις διαδικασίες ενός παράγοντα απειλής κυβερνοεγκλήματος που η Microsoft αποκαλεί Storm-0539, επίσης γνωστού ως Atlas Lion, καθώς και στις δραστηριότητές του στον τομέα της κλοπής δωροκαρτών, στις ιδιαιτερότητες των μεθόδων του και στις επιπτώσεις για τους ιδιώτες, τις επιχειρήσεις και το τοπίο της ασφάλειας από απειλές στον κυβερνοχώρο.

Η Storm-0539 παρέμεινε επίκαιρη όλα αυτά τα χρόνια, προσαρμοζόμενη στο διαρκώς μεταβαλλόμενο εγκληματικό τοπίο. Μέσω ενός δαιδαλώδους δικτύου κρυπτογραφημένων καναλιών και υπόγειων φόρουμ, οργανώνουν παράνομες επιχειρήσεις, εκμεταλλευόμενοι τεχνολογικά κενά και αναπτύσσοντας έξυπνες εκστρατείες κοινωνικής μηχανικής για την κλιμάκωση της επιχείρησής τους.

Παρόλο που πολλοί παράγοντες απειλής κυβερνοεγκλήματος ακολουθούν το δρόμο της ελάχιστης αντίστασης για γρήγορα κέρδη και επικεντρώνονται στην κλίμακα, η Storm-0539 δείχνει μια ήρεμη, παραγωγική εστίαση στην παραβίαση συστημάτων και συναλλαγών με δωροκάρτες. Αυτός ο αντίπαλος στοχεύει ανελέητα τους εκδότες δωροκαρτών, προσαρμόζοντας τις τεχνικές του ώστε να συμβαδίζει με τις αλλαγές στο λιανικό εμπόριο, τις πληρωμές και άλλους συναφείς κλάδους.

Είμαστε όλοι υπερασπιστές.

Ιστορικά, η Storm-0539 αυξάνει τη δραστηριότητά της στις επιθέσεις πριν από τις μεγάλες περιόδους διακοπών. Μεταξύ Μαρτίου και Μαΐου 2024, πριν από την περίοδο των καλοκαιρινών διακοπών, η Microsoft παρατήρησε 30% αύξηση της δραστηριότητας εισβολής από τη Storm-0539. Μεταξύ Σεπτεμβρίου και Δεκεμβρίου 2023, παρατηρήσαμε αύξηση της δραστηριότητας των επιθέσεων κατά 60%, η οποία συμπίπτει με τις φθινοπωρινές και χειμερινές διακοπές.

  • 30 τοις εκατό αύξηση της δραστηριότητας διείσδυσης της Storm-0539, μεταξύ Μαρτίου και Μαΐου 2024
  • 60 τοις εκατό αύξηση της δραστηριότητας διείσδυσης της Storm-0539, μεταξύ Σεπτεμβρίου και Δεκεμβρίου 2024

Οι εισβολείς τελειοποιούν τις ληστείες σε δωροκάρτες και κάρτες πληρωμών

Η Storm-0539 δραστηριοποιείται από το Μαρόκο και εμπλέκεται σε οικονομικά εγκλήματα όπως η απάτη με δωροκάρτες. Οι τεχνικές τους περιλαμβάνουν ηλεκτρονικό "ψάρεμα", ηλεκτρονικό "ψάρεμα" μέσω SMS, καταχώρηση των δικών τους συσκευών στα περιβάλλοντα θυμάτων για την απόκτηση μόνιμης πρόσβασης και αξιοποίηση της πρόσβασης για τη στόχευση οργανισμών τρίτων. Καταχωρούν συσκευές έτσι ώστε οι προτροπές ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που σχετίζονται με έναν παραβιασμένο λογαριασμό του θύματος να πηγαίνουν στη συσκευή του επιτιθέμενου. Η καταχώριση μιας συσκευής τους επιτρέπει να υποκλέψουν πλήρως μια ταυτότητα και να παραμείνουν στο περιβάλλον cloud. 

Ενεργή από τα τέλη του 2021, αυτή η ομάδα κυβερνοεγκλήματος αντιπροσωπεύει μια εξέλιξη των παραγόντων απειλής που επικεντρώνονται σε επιθέσεις σε λογαριασμούς και συστήματα καρτών πληρωμών. Στο παρελθόν, οι επιτιθέμενοι συνήθιζαν να παραβιάζουν δεδομένα καρτών πληρωμών με κακόβουλο λογισμικό POS. Ωστόσο, καθώς οι βιομηχανίες ενίσχυσαν τις άμυνες των POS, η Storm-0539 προσάρμοσε τις τεχνικές επίθεσής της για να θέσει σε κίνδυνο τις υπηρεσίες cloud και ταυτότητας με την εγκληματική στόχευση των πυλών για δωροκάρτες που συνδέονται με μεγάλους λιανοπωλητές, εμπορικά σήματα πολυτελείας και γνωστά εστιατόρια fast-food.

Ιστορικά, η απάτη με κάρτες πληρωμών και δωροκάρτες συνδέεται με εξελιγμένες εκστρατείες κακόβουλου λογισμικού και ηλεκτρονικού "ψαρέματος". Ωστόσο, αυτή η ομάδα αξιοποιεί τις βαθιές γνώσεις της σχετικά με το cloud για να πραγματοποιήσει αναγνώριση των διαδικασιών έκδοσης δωροκάρτας ενός οργανισμού, των πυλών δωροκάρτας και των υπαλλήλων με πρόσβαση σε δωροκάρτες.

Συνήθως, η αλυσίδα επίθεσης περιλαμβάνει τις ακόλουθες ενέργειες:
  • Χρησιμοποιώντας καταλόγους και χρονοδιαγράμματα εργαζομένων, λίστες επαφών και γραμματοκιβώτια εισερχόμενων email, η Storm-0539 στοχεύει τα προσωπικά και επαγγελματικά κινητά τηλέφωνα των εργαζομένων με κείμενα ηλεκτρονικού "ψαρέματος" μέσω SMS. 
  • Μόλις διεισδύσει ένας λογαριασμός υπαλλήλου σε έναν στοχευμένο οργανισμό, οι εισβολείς κινούνται πλευρικά μέσα στο δίκτυο, προσπαθώντας να εντοπίσουν την επιχειρηματική διαδικασία της δωροκάρτας, στρέφοντας την προσοχή τους σε παραβιασμένους λογαριασμούς που συνδέονται με το συγκεκριμένο χαρτοφυλάκιο. 
  • Συλλέγουν επίσης πληροφορίες σχετικά με εικονικές μηχανές, συνδέσεις VPN, πόρους SharePoint και OneDrive, καθώς και Salesforce, Citrix και άλλα απομακρυσμένα περιβάλλοντα. 
  • Αφού αποκτήσει πρόσβαση, η ομάδα δημιουργεί νέες δωροκάρτες χρησιμοποιώντας παραβιασμένους λογαριασμούς εργαζομένων. 
  • Στη συνέχεια, εξαργυρώνουν την αξία που σχετίζεται με αυτές τις κάρτες, πωλούν τις δωροκάρτες σε άλλους παράγοντες απειλής στη μαύρη αγορά ή χρησιμοποιούν παρένθετα πρόσωπα για τη μεταφορά χρημάτων προκειμένου να εξαργυρώσουν τις δωροκάρτες.
Εικόνα που δείχνει δύο τηλέφωνα με μηνύματα ηλεκτρονικού "ψαρέματος" μέσω SMS της Storm-0539 που υποδύονται το γραφείο βοήθειας της εταιρείας ενός υπαλλήλου-στόχου.
Μηνύματα ηλεκτρονικού "ψαρέματος" μέσω SMS της Storm-0539 που υποδύονται το γραφείο βοήθειας της εταιρείας ενός υπαλλήλου-στόχου.

Η αναγνώριση και η ικανότητα της Storm-0539 να αξιοποιεί περιβάλλοντα cloud είναι παρόμοια με αυτά που παρατηρεί η Microsoft από εθνικούς-κρατικούς φορείς απειλών, δείχνοντας πώς οι τεχνικές που έχουν γίνει δημοφιλείς από αντιπάλους με κατασκοπευτικό και γεωπολιτικό προσανατολισμό επηρεάζουν πλέον εγκληματίες με οικονομικά κίνητρα.

Για παράδειγμα, η Storm-0539 αξιοποιεί τις γνώσεις της σχετικά με το λογισμικό που βασίζεται στο cloud, τα συστήματα ταυτότητας και τα προνόμια πρόσβασης για να στοχεύσει στο σημείο όπου δημιουργούνται οι δωροκάρτες, αντί να εστιάζει αποκλειστικά στον τελικό χρήστη. Αυτή η δραστηριότητα είναι μια τάση που βλέπουμε μεταξύ μη κρατικών ομάδων όπως η Octo Tempest και η Storm-0539, οι οποίες γνωρίζουν καλά από άποψη τακτικής τους πόρους του cloud, όπως και οι προηγμένοι κρατικοί φορείς.

Για να καμουφλαριστούν και να παραμείνουν απαρατήρητοι, τα μέλη της Storm-0539 παρουσιάζονται ως νόμιμοι οργανισμοί στους παρόχους υπολογιστικού cloud, προκειμένου να αποκτήσουν προσωρινές εφαρμογές, αποθηκευτικούς χώρους και άλλους αρχικούς δωρεάν πόρους για την επιθετική τους δραστηριότητα.

Στο πλαίσιο αυτής της προσπάθειας, δημιουργούν τοποθεσίες web που υποδύονται φιλανθρωπικά ιδρύματα, καταφύγια ζώων και άλλους μη κερδοσκοπικούς οργανισμούς στις Ηνωμένες Πολιτείες, συνήθως με typosquatting, μια παραπλανητική πρακτική κατά την οποία τα άτομα κατοχυρώνουν ένα κοινό ορθογραφικό λάθος του τομέα ενός οργανισμού ως δικό τους για να εξαπατήσουν τους χρήστες ώστε να επισκεφθούν δόλιες τοποθεσίες και να εισάγουν προσωπικές πληροφορίες ή επαγγελματικά διαπιστευτήρια.

Για να επεκτείνει περαιτέρω την εργαλειοθήκη της απάτης, η Microsoft έχει παρατηρήσει ότι η Storm-0539 κατεβάζει νόμιμα αντίγραφα των επιστολών 501(c)(3) που εκδίδονται από την Υπηρεσία Εσωτερικών Εσόδων (IRS) από τις δημόσιες ιστοσελίδες μη κερδοσκοπικών οργανισμών. Οπλισμένοι με ένα αντίγραφο μιας νόμιμης επιστολής 501(c)(3) και ένα αντίστοιχο domain που υποδύεται τον μη κερδοσκοπικό οργανισμό για τον οποίο εκδόθηκε η επιστολή, προσεγγίζουν μεγάλους παρόχους cloud για χορηγίες ή εκπτώσεις σε τεχνολογικές υπηρεσίες που συχνά παρέχονται σε μη κερδοσκοπικούς οργανισμούς.

Ένα πληροφοριακό γράφημα που δείχνει πώς λειτουργεί η Storm-0539.
Η Storm-0539 λειτουργεί με δωρεάν δοκιμές, συνδρομές με πληρωμή ανάλογα με τη χρήση και παραβιασμένους πόρους cloud. Παρατηρήσαμε επίσης ότι η Storm-0539 υποδυόταν νόμιμους μη κερδοσκοπικούς οργανισμούς για να αποκτήσει μη κερδοσκοπική χορηγία από διάφορους παρόχους cloud.

Η ομάδα δημιουργεί επίσης δωρεάν δοκιμαστικούς ή φοιτητικούς λογαριασμούς σε πλατφόρμες υπηρεσιών cloud, παρέχοντας συνήθως σε νέους πελάτες πρόσβαση 30 ημερών. Μέσα σε αυτούς τους λογαριασμούς, δημιουργούν εικονικές μηχανές από τις οποίες ξεκινούν τις στοχευμένες επιχειρήσεις τους. Η ικανότητα της Storm-0539 να παραβιάζει και να δημιουργεί υποδομές επίθεσης που βασίζονται στο cloud τους επιτρέπει να αποφεύγουν τα συνήθη αρχικά έξοδα στην οικονομία του κυβερνοεγκλήματος, όπως η πληρωμή για κεντρικούς υπολογιστές και διακομιστές, καθώς προσπαθούν να ελαχιστοποιήσουν το κόστος και να μεγιστοποιήσουν την αποδοτικότητα.

Η Microsoft εκτιμά ότι η Storm-0539 πραγματοποιεί εκτεταμένη αναγνώριση των παρόχων ομοσπονδιακών υπηρεσιών ταυτότητας σε στοχευμένες εταιρείες για να μιμηθεί πειστικά την εμπειρία σύνδεσης του χρήστη, συμπεριλαμβανομένης όχι μόνο της εμφάνισης της σελίδας adversary-in-the-middle (AiTM), αλλά και της χρήσης εγγεγραμμένων τομέων που ταιριάζουν πολύ με τις νόμιμες υπηρεσίες. Σε άλλες περιπτώσεις, η Storm-0539 έχει παραβιάσει νόμιμα πρόσφατα καταχωρημένα domain του WordPress για να δημιουργήσει τη σελίδα προορισμού AiTM.

Προτάσεις

  • Προστασία με Token και πρόσβαση με τα λιγότερα προνόμια: Χρησιμοποιήστε πολιτικές για την προστασία από επιθέσεις επανάληψης token, δεσμεύοντας το token στη συσκευή του νόμιμου χρήστη. Εφαρμόστε τις αρχές πρόσβασης με τα λιγότερα προνόμια σε ολόκληρη τη στοίβα τεχνολογίας για να ελαχιστοποιήσετε τον πιθανό αντίκτυπο μιας επίθεσης.
  • Υιοθετήστε μια ασφαλή πλατφόρμα δωροκάρτας και εφαρμόστε λύσεις προστασίας από την απάτη: Εξετάστε το ενδεχόμενο μετάβασης σε ένα σύστημα που έχει σχεδιαστεί για τον έλεγχο ταυτότητας των πληρωμών. Οι έμποροι μπορούν επίσης να ενσωματώσουν λειτουργίες προστασίας από απάτες για την ελαχιστοποίηση των απωλειών.
  • Έλεγχος ταυτότητας πολλών παραγόντων (MFA) ανθεκτικός στο ηλεκτρονικό "ψάρεμα": Μετάβαση σε διαπιστευτήρια που είναι ανθεκτικά στο ηλεκτρονικό "ψάρεμα" και έχουν ανοσία σε διάφορες επιθέσεις, όπως τα κλειδιά ασφαλείας FIDO2.
  • Απαιτείται ασφαλής αλλαγή κωδικού πρόσβασης όταν το επίπεδο κινδύνου του χρήστη είναι υψηλό: Ο Έλεγχος ταυτότητας πολλών παραγόντων (MFA) του Microsoft Entra απαιτείται προτού ο χρήστης μπορέσει να δημιουργήσει έναν νέο κωδικό πρόσβασης με επαναφορά κωδικού πρόσβασης για την αποκατάσταση του κινδύνου.
  • Εκπαίδευση υπαλλήλων: Οι έμποροι θα πρέπει να εκπαιδεύουν τους υπαλλήλους να αναγνωρίζουν πιθανές απάτες με δωροκάρτες και να απορρίπτουν ύποπτες παραγγελίες.

Αντιμετώπιση της καταιγίδας (storm): Προστασία κατά των επιθέσεων από την storm-0539

Οι δωροκάρτες αποτελούν ελκυστικό στόχο για απάτες, διότι σε αντίθεση με τις πιστωτικές ή χρεωστικές κάρτες, δεν υπάρχουν ονόματα πελατών ή τραπεζικοί λογαριασμοί που συνδέονται με αυτές. Η Microsoft βλέπει μια αύξηση της δραστηριότητας της Storm-0539 που επικεντρώνεται σε αυτόν τον κλάδο γύρω από τις εποχιακές περιόδους διακοπών. Η Ημέρα Μνήμης, η Ημέρα Εργασίας και η Ημέρα των Ευχαριστιών στις ΗΠΑ, καθώς και η Black Friday και οι χειμερινές διακοπές που παρατηρούνται σε όλο τον κόσμο, τείνουν να συνδέονται με αυξημένη δραστηριότητα από την ομάδα.

Συνήθως, οι οργανισμοί θέτουν ένα όριο στην αξία μετρητών που μπορεί να εκδοθεί σε μια μεμονωμένη δωροκάρτα. Για παράδειγμα, εάν αυτό το όριο είναι 100.000 δολάρια ΗΠΑ, ο παράγοντας απειλής θα εκδώσει μια κάρτα για 99.000 δολάρια ΗΠΑ και, στη συνέχεια, θα στείλει στον εαυτό του τον κωδικό της δωροκάρτας και θα την εκμεταλλευτεί. Το πρωταρχικό τους κίνητρο είναι να κλέβουν δωροκάρτες και να αποκομίζουν κέρδη πουλώντας τις στο διαδίκτυο σε μειωμένη τιμή. Έχουμε δει μερικά παραδείγματα όπου ο παράγοντας απειλής έχει κλέψει έως και 100.000 δολάρια ΗΠΑ την ημέρα σε ορισμένες εταιρείες.

Για να αμυνθούν απέναντι σε τέτοιες επιθέσεις και να αποτρέψουν αυτή την ομάδα από το να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα τμήματα των δωροκαρτών, οι εταιρείες που εκδίδουν δωροκάρτες θα πρέπει να αντιμετωπίζουν τις πύλες των δωροκαρτών τους ως στόχους υψηλής αξίας. Θα πρέπει να παρακολουθούνται στενά και να ελέγχονται συνεχώς για οποιαδήποτε ανώμαλη δραστηριότητα.

Για κάθε οργανισμό που δημιουργεί ή εκδίδει δωροκάρτες, η εφαρμογή ελέγχων και ισορροπιών για την αποτροπή της γρήγορης πρόσβασης σε πύλες δωροκαρτών και άλλους στόχους υψηλής αξίας, ακόμη και αν ένας λογαριασμός παραβιαστεί, μπορεί να βοηθήσει. Συνεχής παρακολούθηση των αρχείων καταγραφής για τον εντοπισμό ύποπτων συνδέσεων και άλλων κοινών φορέων αρχικής πρόσβασης που βασίζονται σε παραβιάσεις της ταυτότητας cloud και εφαρμογή πολιτικών πρόσβασης υπό όρους που περιορίζουν τις συνδέσεις και επισημαίνουν τις επικίνδυνες συνδέσεις.

Οι οργανισμοί θα πρέπει επίσης να εξετάσουν το ενδεχόμενο συμπλήρωσης του MFA με πολιτικές πρόσβασης υπό όρους, όπου τα αιτήματα ελέγχου ταυτότητας αξιολογούνται με τη χρήση πρόσθετων σημάτων που βασίζονται στην ταυτότητα, όπως πληροφορίες για τη θέση της διεύθυνσης IP ή την κατάσταση της συσκευής, μεταξύ άλλων.

Μια άλλη τακτική που θα μπορούσε να βοηθήσει στον περιορισμό αυτών των επιθέσεων είναι μια διαδικασία επαλήθευσης πελατών για την αγορά domain. Οι κανονισμοί και οι πολιτικές των προμηθευτών μπορεί να μην αποτρέπουν με συνέπεια το κακόβουλο typosquatting σε όλο τον κόσμο, πράγμα που σημαίνει ότι αυτές οι παραπλανητικές τοποθεσίες web μπορούν να παραμείνουν δημοφιλείς για την κλιμάκωση των κυβερνοεπιθέσεων. Οι διαδικασίες επαλήθευσης για τη δημιουργία τομέων θα μπορούσαν να βοηθήσουν στον περιορισμό περισσότερων τοποθεσιών που δημιουργούνται αποκλειστικά με σκοπό την εξαπάτηση των θυμάτων.

Εκτός από τα παραπλανητικά ονόματα τομέα, η Microsoft έχει επίσης παρατηρήσει ότι η Storm-0539 χρησιμοποιεί νόμιμες εσωτερικές εταιρικές λίστες αλληλογραφίας για τη διάδοση μηνυμάτων ηλεκτρονικού «ψαρέματος», μόλις εισχωρήσει σε μια εταιρεία και κατανοήσει τις λίστες διανομής της και άλλα επιχειρησιακά πρότυπα.

Το ηλεκτρονικό "ψάρεμα" μέσω μιας έγκυρης λίστας διανομής όχι μόνο προσθέτει άλλο ένα επίπεδο αυθεντικότητας στο κακόβουλο περιεχόμενο, αλλά συμβάλλει επίσης στη βελτίωση της στόχευσης του περιεχομένου σε περισσότερα άτομα με πρόσβαση σε διαπιστευτήρια, σχέσεις και πληροφορίες στις οποίες βασίζεται η Storm-0539 για να αποκτήσει επίμονη παρουσία και εμβέλεια.

Όταν οι χρήστες κάνουν κλικ στους συνδέσμους που περιέχονται στα email ή στα κείμενα ηλεκτρονικού "ψαρέματος", ανακατευθύνονται σε μια σελίδα ηλεκτρονικού "ψαρέματος" AiTM για την κλοπή διαπιστευτηρίων και τη σύλληψη δευτερεύοντος συμβόλου ελέγχου ταυτότητας. Οι έμποροι λιανικής πώλησης ενθαρρύνονται να διδάξουν στο προσωπικό τους πώς λειτουργούν οι απάτες ηλεκτρονικού "ψαρέματος" μέσω SMS/ηλεκτρονικού "ψαρέματος", πώς να τις εντοπίζουν και πώς να τις αναφέρουν.

Είναι σημαντικό να επισημάνουμε ότι σε αντίθεση με τους θορυβώδεις παράγοντες απειλής ransomware που κρυπτογραφούν και κλέβουν δεδομένα και, στη συνέχεια, σας παρενοχλούν να πληρώσετε, η Storm-0539 περιφέρεται σε ένα περιβάλλον cloud συγκεντρώνοντας αθόρυβα αναγνώριση και κάνοντας κατάχρηση της υποδομής cloud και ταυτότητας για να επιτύχει τους τελικούς της στόχους.

Οι επιχειρήσεις της Storm-0539 είναι πειστικές λόγω της χρήσης από τον δράστη νόμιμων παραβιασμένων μηνυμάτων email και της μίμησης νόμιμων πλατφορμών που χρησιμοποιούνται από τη στοχευόμενη εταιρεία. Για ορισμένες εταιρείες οι απώλειες της δωροκάρτας είναι ανακτήσιμες. Αυτό απαιτεί ενδελεχή έρευνα για να προσδιοριστεί ποιες δωροκάρτες εξέδωσε ο παράγοντας απειλής.

Η υπηρεσία Πληροφορίες της Microsoft σχετικά με απειλές έχει εκδώσει ειδοποιήσεις σε οργανισμούς που έχουν πληγεί από τη Storm-0539. Εν μέρει λόγω αυτής της ανταλλαγής πληροφοριών και της συνεργασίας, παρατηρήσαμε τους τελευταίους μήνες αύξηση της ικανότητας των μεγάλων λιανοπωλητών να αποκρούουν αποτελεσματικά τη δραστηριότητα της Storm-0539.

Ένα πληροφοριακό γράφημα που δείχνει τον κύκλο ζωής της εισβολής Storm-0539, που ξεκινά με το "Ηλεκτρονικό "ψάρεμα"/Ηλεκτρονικό "ψάρεμα" μέσω SMS", ακολουθούμενο από το "Πρόσβαση σε πόρους στο cloud", "Αντίκτυπος (απόσπαση δεδομένων και κλοπή δωροκάρτας)" και "Πληροφορίες για μελλοντικές επιθέσεις". Η "Ταυτότητα" παραμένει στο κέντρο του γραφικού.
Κύκλος ζωής εισβολής Storm-0539.

Προτάσεις

  • Επαναφορά κωδικών πρόσβασης για χρήστες που σχετίζονται με δραστηριότητες ηλεκτρονικού "ψαρέματος" και AiTM: Για να ανακαλέσετε τυχόν ενεργές περιόδους λειτουργίας, επαναφέρετε αμέσως τους κωδικούς πρόσβασης. Ανακαλέστε τυχόν αλλαγές στις ρυθμίσεις MFA που πραγματοποιήθηκαν από τον επιτιθέμενο σε λογαριασμούς που έχουν παραβιαστεί. Απαιτεί την εκ νέου πρόκληση MFA για ενημερώσεις MFA ως προεπιλογή. Επίσης, βεβαιωθείτε ότι οι κινητές συσκευές που χρησιμοποιούν οι εργαζόμενοι για πρόσβαση στα εταιρικά δίκτυα προστατεύονται με τον ίδιο τρόπο.
  • Ενεργοποιήστε την Αυτόματη εκκαθάριση (ZAP) στον Microsoft Defender για Office 365: Το ZAP βρίσκει και αναλαμβάνει αυτοματοποιημένες ενέργειες στα μηνύματα email που αποτελούν μέρος της εκστρατείας ηλεκτρονικού "ψαρέματος" με βάση πανομοιότυπα στοιχεία γνωστών κακόβουλων μηνυμάτων.
  • Ενημερώστε τις ταυτότητες, τα προνόμια πρόσβασης και τους καταλόγους διανομής για να ελαχιστοποιήσετε τις επιφάνειες επίθεσης: Εισβολείς όπως η Storm-0539 υποθέτουν ότι θα βρουν χρήστες με υπερβολικά προνόμια πρόσβασης, τους οποίους μπορούν να παραβιάσουν για να πετύχουν τη δημιουργία μεγάλου αντίκτυπου. Οι ρόλοι των εργαζομένων και των ομάδων μπορεί να αλλάζουν συχνά. Η καθιέρωση μιας τακτικής αναθεώρησης των προνομίων, των μελών των καταλόγων διανομής και άλλων χαρακτηριστικών μπορεί να βοηθήσει στον περιορισμό των επιπτώσεων μιας αρχικής εισβολής και να δυσκολέψει το έργο των εισβολέων.

Μάθετε περισσότερα για την Storm-0539 και τους ειδικούς της υπηρεσίας Πληροφορίες της Microsoft σχετικά με απειλές που ασχολούνται με τον εντοπισμό του εγκλήματος στον κυβερνοχώρο και των πιο πρόσφατων απειλών.

Μεθοδολογία: Τα δεδομένα των στιγμιότυπων και των στατιστικών στοιχείων κάλυψης αντιπροσωπεύουν την αύξηση των ειδοποιήσεων και των παρατηρήσεων των πελατών μας σχετικά με τον παράγοντα απειλής Storm-0539. Οι αριθμοί αυτοί αντικατοπτρίζουν την αύξηση του προσωπικού και των πόρων που δαπανώνται για την παρακολούθηση αυτής της ομάδας. Το Azure Active Directory παρείχε ανώνυμα δεδομένα σχετικά με τη δραστηριότητα απειλών, όπως κακόβουλους λογαριασμούς email, ηλεκτρονικό "ψάρεμα" email και κίνηση εισβολέων εντός δικτύων. Πρόσθετες πληροφορίες προέρχονται από τα 78 τρισεκατομμύρια καθημερινά σήματα ασφαλείας που επεξεργάζεται η Microsoft κάθε μέρα, συμπεριλαμβανομένου του cloud, των τελικών σημείων, του έξυπνου άκρου και της τηλεμετρίας από τις πλατφόρμες και τις υπηρεσίες της Microsoft, συμπεριλαμβανομένου του Microsoft Defender.

Cyber Signals Ηλεκτρονικό "ψάρεμα" Παράγοντες απειλής

Σχετικά άρθρα

Γνωρίστε τους ειδικούς που παρακολουθούν την απάτη με δωροκάρτες από τη Storm-0539

Με προϋπηρεσία που καλύπτει τις διεθνείς σχέσεις, την ομοσπονδιακή επιβολή του νόμου, την ασφάλεια και τη δημόσια διοίκηση, οι αναλυτές της υπηρεσίας "Πληροφορίες της Microsoft σχετικά με απειλές" Alison Ali, Waymon Ho και Emiel Haeghebaert προσφέρουν μια σειρά από μοναδικές δεξιότητες για τον εντοπισμό της Storm-0539, ενός παράγοντα απειλής που ειδικεύεται στην κλοπή καρτών πληρωμών και στην απάτη με δωροκάρτες.
Μάθετε περισσότερα

Τροφοδοσία της οικονομίας εμπιστοσύνης: απάτη κοινωνικής μηχανικής

Εξερευνήστε ένα εξελισσόμενο ψηφιακό τοπίο όπου η εμπιστοσύνη είναι ταυτόχρονα κύρος και ευπάθεια. Ανακαλύψτε τις τακτικές απάτης κοινωνικής μηχανικής που χρησιμοποιούν περισσότερο οι εισβολείς στον κυβερνοχώρο και αναθεωρήστε στρατηγικές που μπορούν να σας βοηθήσουν να εντοπίσετε και να ξεπεράσετε τις απειλές κοινωνικής μηχανικής που έχουν σχεδιαστεί για να χειραγωγούν την ανθρώπινη φύση.
Μάθετε περισσότερα

Η αλλαγή τακτικής τροφοδοτεί την άνοδο των παραβιάσεων στο επιχειρησιακό ηλεκτρονικό ταχυδρομείο

Οι παραβιάσεις εταιρικού ηλεκτρονικού ταχυδρομείου (BEC) αυξάνονται τώρα που οι εγκληματίες του κυβερνοχώρου μπορούν να αποκρύψουν την πηγή των επιθέσεών τους και να γίνουν ακόμη πιο κακόβουλοι. Μάθετε για το CaaS και πώς μπορεί να βοηθήσει στην προστασία του οργανισμού σας.
Μάθετε περισσότερα

Ακολουθήστε την Ασφάλεια της Microsoft