Trace Id is missing

Kasvava kinkekaardipettuste ohu keskel

Laadige alla
Jaga
Sülearvuti, millest lendavad välja kinkekaardid ja krediitkaardid

Ajakirja „Cyber Signals“ 7. väljaanne: „Lõvipuuri“

Ajastul, mil digitehingud ja võrgus ostlemine on saanud meie igapäevaelu lahutamatuks osaks, on küberkuritegude oht üha suurem. Nende ohtude hulgas on üks levinumaid ja kiiremini kasvavaid ohuliike kinkekaardi- ja maksekaardipettused, mis hõlmavad nii krediitkaardifirmade kui ka jaemüüjate kinkekaarte. Kurjategijad kasutavad üha keerukamaid meetodeid kinkekaardiportaalide kompromiteerimiseks, et muuta kinkekaardid peaaegu jälgimatuks sularahaks.

See ajakirja „Cyber Signals“ väljaanne vaatleb lähemalt neid taktikaid, tehnikaid ja protseduure, mida rakendab küberohustaja, keda Microsoft kutsub nimega Storm-0539, kuid kes on tuntud ka Atlas Lioni nime all. Lisaks vaadeldakse ka tema tegevust kinkekaartide varguse valdkonnas ning kirjeldatakse tema meetodite üksikasju ja tema tegevuse mõju üksikisikutele, ettevõtetele ja küberturvalisuse valdkonnale.

Storm-0539 on püsinud aktuaalsena läbi aastate, kohandudes üha muutuva kriminaalse maailmaga. Krüpteeritud kanalite ja maa-aluste foorumite labürindi kaudu korraldavad nad ebaseaduslikke ettevõtmisi, kasutades ära tehnoloogilisi lünki ja rakendades oma tegevuse suurendamiseks nutikaid manipuleerimiskampaaniaid.

Vastupidiselt paljudele teistele küberohustajatele, kes soovivad eelkõige võimalikult kiiresti võimalikult suurt kasumit teenida ja keskenduvad seetõttu laiaulatuslike pettuste korraldamisele, eelistab Storm-0539 vaikset ja produktiivset spetsialeerumist kinkekaardisüsteemide ja -tehingute kompromiteerimisele. See vaenlane sihib järeleandmatult kinkekaartide väljastajaid, kohandades oma võtteid, et pidada sammu muutustega jaemüügivaldkonnas, makseteenuste valdkonnas ja muudes seotud valdkondades.

Me kõik oleme kaitsjad.

Reeglina suurendab Storm-0539 rünnakuaktiivsust enne suuremat puhkuste hooaega. 2024. aasta märtsist maini, enne suvist puhkuste hooaega, tuvastas Microsoft 30% suuruse kasvu Storm-0539 sissetungitegevuses. 2023. aasta septembrist detsembrini, ehk sügis- ja talvepuhkuste hooajal, tuvastasime 60% tõusu rünnakuaktiivsuses.

  • 30-protsendiline Storm-0539 sissetungi aktiivsuse kasv 2024. aasta märtsist maini
  • 60-protsendiline Storm-0539 sissetungi aktiivsuse kasv 2024. aasta septembrist detsembrini

Ründajad täiustavad kinke- ja maksekaartidega seotud pettusi

Storm-0539 tegutseb Marokost ja on seotud finantskuritegudega, nt kinkekaardipettustega. Nende kasutatavate võtete hulka kuuluvad andmepüük, SMS-andmepüük, oma seadmete registreerimine ohvrite keskkondadesse, et saada püsiv juurdepääs, ja juurdepääsu võimendamine kolmandatest isikutest organisatsioonide sihtimiseks. Nad registreerivad seadmeid nii, et ründe ohvriks langenud kontoga seotud mitmikautentimise (MFA) viibad saadetakse ründaja seadmesse. Seadme registreerimine võimaldab neil täielikult kompromiteerida identiteeti ja püsida pilvekeskkonnas. 

See alates 2021. aasta lõpust tegutsev küberkurjategijate rühm on märk maksekaardikontode ja-süsteemide ründamisele keskenduvate küberohustajate arengust. Ründajad ohustasid varem tavaliselt maksekaardiandmeid kassa ründevaraga. Ent pärast seda, kui kassasüsteemide kaitset tugevdama hakati, kohandas Storm-0539 oma ründetehnikaid, et ohustada suurte jaemüüjate, luksusbrändide ja tuntud kiirtoidurestoranidega seotud kinkekaardiportaalide kuritegelikul sihtimisel pilv- ja identimisteenuseid.

Ajalooliselt on makse- ja kinkekaardipettusi seostatud keerukate ründevara- ja andmepüügikampaaniatega. See rühm aga kasutab oma põhjalikke teadmisi pilvteenustest selleks, et koguda luureandmeid organisatsiooni kinkekaartide väljastamise protsesside, kinkekaardiportaalide ja kinkekaartidele juurdepääsu omavate töötajate kohta.

Tavaliselt hõlmab ründeahel allkirjeldatud toiminguid.
  • Kasutades töötajate katalooge ja ajakavasid, kontaktiloendeid ja meili sisendkaustu, sihib Storm-0539 töötajate isiklikke ja töö mobiilinumbreid SMS-andmepüügi tekstisõnumitega. 
  • Kui sihitud organisatsiooni töötaja kontosse sisseimbumine õnnestub, liiguvad ründajad külgsuunas läbi võrgu kaudu külgsuunas, püüdes tuvastada kinkekaardiettevõtte äriprotsessi ning pöörates tähelepanu selle konkreetse portfelliga seotud, ründe ohvriks langenud kontodele. 
  • Samuti koguvad nad teavet virtuaalarvutite, VPN-ühenduste, SharePointi ja OneDrive'i ressursside ning Salesforce'i, Citrixi ja muude kaugkeskkondade kohta. 
  • Pärast juurdepääsu saamist loob grupp uusi kinkekaarte, kasutades selleks ründe ohvriks langenud töötajate kontosid. 
  • Seejärel lunastavad nad nende kaartidega seotud väärtuse, müüvad kinkekaarte teistele mustadel turgudel tegutsevatele küberohustajatele või kasutavad kinkekaartidel oleva raha lunastamiseks rahamuulasid.
Pilt, millel on esitatud kaks telefoni Storm-0539 SMS-andmepüügi sõnumitega, mis imiteerivad sihipärase töötaja ettevõtte kasutajatuge.
Storm-0539 SMS-andmepüügi sõnumid, mis imiteerivad sihipärase töötaja ettevõtte kasutajatuge.

Storm-0539 luurevõimekus ja pilvekeskkondade kasutamise võimekus on tasemelt sarnased võimekusega, mida Microsoft on täheldanud rahvusriiklike toetavate küberohustajate puhul. See on tõestuseks asjaolule, et spionaažile ja geopoliitilistele aspektidele keskenduvate küberohustajate populariseeritud tehnikad mõjutavad nüüd ka rahaliselt motiveeritud kurjategijaid.

Näiteks kasutab Storm-0539 oma teadmisi pilvepõhisest tarkvarast, identimissüsteemidest ja juurdepääsuõigustest, et sihtida kinkekaartide loomise kohta, selle asemel, et keskenduda ainult lõppkasutajale. See tegevus on trend, mida oleme märganud rahvusriikidega mitteseotud gruppide seas, nagu OCTO Tempes ja Storm-0539, kes on taktikaliselt hästi kursis pilvressurssidega, sarnaselt riigi toetatud osalistega.

Enda varjamiseks ja märkamatuks jäämiseks, esitleb Storm-0539 end pilvteenuse pakkujatele seadusliku organisatsioonina, et saada nende ründetegevuseks ajutine rakendus, talletusruum ja muud esialgsed tasuta ressursid.

Selle jõupingutuse osana loovad nad veebisaite, mis kehastavad USA heategevusorganisatsioone, loomade varjupaiku ja muid mittetulundusühinguid, kasutades tavaliselt lähiskvottingut ehk petlikku praktikat, kus üksikisikud registreerivad organisatsiooni domeeni levinud valesti kirjutatud kuju enda omaks, et meelitada kasutajaid petturlikke saite külastama ja isikuandmeid või tööalast identimisteavet sisestama.

Microsoft on täheldanud, et oma pettusetööriistade komplekti täiustamiseks on Storm-0539 mittetulundusühingute avalikelt veebisaitidelt alla laadinud maksuasutuse saadetud tõeliste, artikli 501(c)(3) alusel saadetud kirjade koopiaid. Kasutades tõelisi, artikli 501(c)(3) alusel saadetud kirjade koopiaid ja domeeni, mis kehastab mittetulundusühingut, kellele kiri väljastati, pöörduvad nad suurte pilveteenuste pakkujate poole niisuguste spondeeritud või soodushinnaga tehnoloogiateenuste saamiseks, mida sageli osutatakse mittetulundusühingutele.

Teabeülevaade, mis näitab, kuidas Storm-0539 töötab.
Storm-0539 töötab tasuta prooviversioonide, kasutuspõhiste tellimuste ja ründe ohvriks langenud pilveressursside kaudu. Samuti täheldasime, et Storm-0539 esines seaduslike mittetulundusühingutena, et saada mitmelt pilveteenuse pakkujalt mittetulunduslikku sponsorlust.

Rühm loob pilvteenuste platvormidel ka tasuta prooviversioone või õpilaskontosid, mis pakuvad uutele klientidele tavaliselt 30-päevast juurdepääsu. Nende kontode raames loovad nad virtuaalarvuteid, millelt käivitavad oma suunatud operatsioone. Storm-0539 ründamisoskus ning pilvepõhise ründetaristu loomise võime võimaldavad neil kulude minimeerimiseks ja tõhususe maksimeerimiseks vältida küberkuritegevuse valdkonnas tavaliselt tegevuse alustamisega kaasnevaid kulusid, näiteks hostide ja serverite eest tasumist.

Microsoft hindab, et Storm-0539 viib läbi ulatuslikku luuret ühendatud identiteediteenuse pakkujatega sihtettevõtetes, et kasutajate sisselogimiskogemust veenvalt jäljendada, sealhulgas mitte ainult vahendusründe (AiTM) lehte luues, vaid ka seaduslikele teenustega väga sarnaseid registreeritud domeene kasutades. Muudel juhtudel on Storm-0539 seadnud ohtu legitiimsed hiljuti registreeritud WordPressi domeenid AiTM-i sihtlehe meisterdamiseks.

Soovitused

  • Tõendikaitse ja miinimumpääs: Kasutage lubatud korduskäituse rünnakute eest kaitsmiseks poliitikaid, sidudes loa seadusliku kasutaja seadmega. Rünnaku võimaliku mõju minimeerimiseks rakendage miinimumpääsu põhimõtteid kogu tehnoloogiavirna ulatuses.
  • Võtke kasutusele turvaline kinkekaardiplatvorm ja rakendage pettusevastaseid lahendusi. Kaaluge üleminekut süsteemile, mis on loodud maksete autentimiseks. Kaupmehed saavad kahjumi minimeerimiseks integreerida ka pettuste vastane kaitse funktsioone.
  • Andmepüügikindel MFA: Võtke kasutusele andmepüügikindel identimisteave, mis on immuunne erinevate rünnakute, näiteks FIDO2 turbevõtmete suhtes.
  • Nõudke turvalist parooli muutmist, kui kasutaja riskitase on kõrge: Kui kasutaja soovib riski kõrvaldamiseks luua uue parooli koos parooli tagasikirjutamisega, tuleb kasutada Microsoft Entra MFA-d.
  • Töötajate koolitamine: kaupmehed peaksid töötajaid koolitama, et nad tunneksid ära võimalikud kinkekaardipettused ja lükkaksid kahtlased tellimused tagasi.

Võitlus tormiga: kaitske end storm-0539 eest

Kinkekaardid on pettuste jaoks atraktiivsed sihtmärgid, sest erinevalt krediit- või deebetkaartidest ei ole nendega seotud klientide nimesid ega pangakontosid. Microsoft on märganud puhkusehooaegadel Storm-0539 aktiivsuse kasvu selles valdkonnas. Mälestuspäev, tööpäev ja tänupühad USA-s, samuti üle maailma peetav Must Reede ning talvised pühad on perioodid, mil on täheldatud grupi suurenenud aktiivsust.

Tavaliselt seavad organisatsioonid üksikule kinkekaardile väljastatavale sularahaväärtusele piirangu. Kui see limiit on näiteks 100 000 USD, väljastab küberohustaja kaardi, mille väärtus on 99 000 USD ja saadab seejärel endale kinkekaardi koodi ning lunastab kinkekaardi väärtuse. Nende esmane motivatsioon on varastada kinkekaarte ja teenida seejärel kasumit, müües varastatud kinkekaarti veebis soodushinnaga. Oleme näinud näiteid, kus küberohustaja on varastanud teatud firmades kuni 100 000 USD päevas.

Et kaitsta end selliste rünnakute eest ja takistada sellel grupil kinkekaartide osakondadele volitamata juurdepääsu saamist, peaksid kinkekaarte väljastavad ettevõtted käsitlema oma kinkekaardiportaale väärtuslike sihtmärkidena. Neid tuleb hoolikalt jälgida ja igasuguse anomaalse tegevuse suhtes pidevalt kontrollida.

Iga kinkekaarte loova või väljastava organisatsiooni puhul võib abi olla kontrollprotsessidest, mille eesmärk on takistada kiiret juurdepääsu kinkekaartide portaalidele ja muudele väärtuslikele sihtmärkidele, isegi kui konto on ründe ohvriks langenud. Jälgige pidevalt logisid, et tuvastada kahtlased sisselogimised ja muud tavalised esmase juurdepääsu vektorid, mis tuginevad pilveidentiteedi ründele, ning rakendage tingimusjuurdepääsu poliitikaid, mis piiravad sisselogimisi ja märgistavad riskantseid sisselogimisi.

Organisatsioonid peaksid kaaluma ka mitmikautentimise täiendamist tingimusjuurdepääsupoliitikaga, kui autentimistaotlusi hinnatakse muu hulgas täiendavate identiteedipõhiste signaalide abil, nagu IP-aadressi asukohateave või seadme olek.

Teine taktika, mis võib aidata neid rünnakuid ohjeldada, on klientide tuvastamise protsess domeenide ostmisel. Eeskirjad ja tarnijapoliitika ei pruugi järjekindlalt takistada pahatahtlikku lähiskvottingut kogu maailmas, mis tähendab, et need petlikud veebisaidid võivad ka edaspidi jääda populaarseks küberrünnakute skaleerimise viisiks. Domeenide loomise kontrolliprotsessid võivad aidata ohjeldada üksnes ohvrite petmiseks mõeldud saitide loomist.

Microsoft on märganud, et lisaks eksitavatele domeeninimedele kasutab Storm-0539 pärast ettevõtte võrgule ligi pääsemist ning ettevõtte leviloendite ja muude ärinormide selgeks tegemist andmepüügisõnumite levitamiseks ka tõelisi ettevõttesiseseid leviloende.

Lisaks sellele, et andmepüük olemasoleva leviloendi kaudu lisab pahatahtlikule sisule veel ühe autentsuskihi, võimaldab see sisu veelgi täpsemat ja suuremahulisemat sihtimist isikutele, kellel on juurdepääs mandaatidele, seostele ja teabele, millele Storm-0539 püsivuse ja katvuse saavutamiseks toetub.

Kui kasutajad klõpsavad õngitsemismeilides või tekstides sisalduvaid linke, suunatakse nad identimisteabevarguse ja sekundaarse autentimisloa hõivamise eesmärgil AiTM-i õngitsemislehele. Jaemüüjaid on soovitatav õpetada töötajatele, kuidas SMS-andmepüügi/andmepüügi pettused toimivad ning kuidas neid tuvastada ja kuidas neist teatada.

Oluline on esile tõsta, et erinevalt lärmakatest lunavara levitavatest küberohustajatest, kes krüptivad ja varastavad andmeid ning pressivad teilt seejärel raha välja, liigub Storm-0539 pilv- ja identimistaristus vaikselt, et koguda luureandmeid ja saavutada oma lõppeesmärgid.

Storm-0539 operatsioonid on veenvad tänu sellele, et küberohustaja kasutab seaduslikke kompromiteeritud e-kirju ning imiteerib sihtettevõtte kasutatavaid seaduslikke platvorme. Mõne ettevõtte puhul on kinkekaardikahju hüvitatav. See eeldab põhjalikku uurimist, mille käigus tehakse kindlaks, milliseid kinkekaarte ähvardaja välja andis.

Microsofti ohuanalüüs on väljastanud teatisi organisatsioonidele, mida Storm-0539 mõjutab. Osaliselt tänu teabe jagamisele ja koostööle oleme viimastel kuudel täheldanud, et suuremate jaemüüjate võime Storm-0539 rünnet tõhusalt tõrjuda on paranenud.

Teabeülevaade, kus on esitatud Storm-0539 sissetungi elutsükkel, mis algab sõnadega „Andmepüük/SMS-andmepüük“, millele järgnevad „Juurdepääs pilvepõhistele ressurssidele“, „Mõju (andmete väljasmugeldamine ja kinkekaardi vargus)“ ja „Teave tulevaste rünnakute jaoks“. Sõna „Identiteet“ on pildi keskel.
Storm-0539 sissetungi elutsükkel

Soovitused

  • Lähtestage andmepüügi ja AiTM-i tegevusega seotud kasutajate paroolid: Kõigi aktiivsete seansside tühistamiseks lähtestage paroolid kohe. Tühistage kõik ründaja rikutud kontodel tehtud mitmikautentimise sätete muudatused. Nõudke mitmikautentimise värskenduste korral vaikimisi mitmikautentimise uuesti väljakutsumist. Samuti veenduge, et mobiilseadmed, mida töötajad kasutavad ettevõtte võrkudele juurdepääsuks, oleksid sarnaselt kaitstud.
  • Lubage lugemiseelne automaatpuhastus (ZAP) teenusekomplektis Microsoft Defender for Office 365: ZAP leiab andmepüügikampaania osaks olevad meilisõnumid ja rakendab automatiseeritud toiminguid, mis põhinevad teadaolevate halbade sõnumite identsetel elementidel.
  • Ründepinna minimeerimiseks värskendage identiteete, juurdepääsuõigusi ja leviloendeid: Storm-0539 ja teised sarnased ründajad eeldavad, et nad leiavad kasutajad, kellel on ülemäärased juurdepääsuõigused, mida nad saavad suure mõju tõttu kompromiteerida. Töötajate ja meeskonna rollid võivad sageli muutuda. Õiguste, leviloendi liikmelisuse ja muude atribuutide regulaarne ülevaatamine võib aidata piirata esmase sissetungi tulemuslikkust ja raskendada sissetungijate tööd.

Lisateave küberkuritegevuse jälitamisele ja uusimatele ohtudele pühendunud Storm-0539 ja Microsofti ohuteabe ekspertide kohta.

Metoodika: Hetktõmmis ja kaanestatistika kirjeldavad nende teatiste ja tähelepanekute arvu suurenemist, mille meie kliendid küberohustaja Storm-0539 kohta saatnud on. Need arvud peegeldavad selle rühma jälgimiseks kaasatud personali ja ressursside mahu suurenemist. Azure Active Directory esitas anonüümsed andmed ohutegevuste, näiteks ründemeilikontode, andmepüügimeilide ja ründajate võrkudes liikumise kohta. Lisateave põhineb 78 triljonil Microsofti igapäevaselt töödeldud turbesignaalil, mis hõlmavad pilvi, lõpp-punkte, tehisintelligentset Edge’i ning Microsofti platvormide ja teenuste, sealhulgas Microsoft Defenderi, telemeetriat.

Cyber Signals Andmepüük Küberohustajad

Seotud artiklid

Tutvuge Storm-0539 kinkekaardipettust jälgivate ekspertidega

Rahvusvaheliste suhete, föderaalse õiguskaitse, turbeteenuste ja riikliku taustaga Microsofti ohuanalüüsi analüütikutel Alison Alil, Waymon Hol ja Emiel Haeghebaertil on mitmeid unikaalseid oskusi, mis aitavad maksekaardivargustele ja kinkekaardipettustele spetsialiseerunud küberohustajat Storm-0539 jälgida.
Lisateave

Usalduspõhise majanduse ekspluateerimine: manipuleerimispettus

Tutvuge areneva digitaalse maastikuga, kus usaldusest on saanud nii väärtuslik valuuta kui ka nõrkus. Uurige, millised on sotsiaalse manipuleerimise pettuse taktikad, mida küberründajad enim kasutavad, ja vaadake üle strateegiad, mis aitavad teil tuvastada ja üle kavaldada inimlikke apsakaid ära kasutava sotsiaalse manipuleerimise ohte.
Lisateave

Taktikavahetus on kasvatanud ärimeiliteenuse pettuste hulka

Meilipettest on saamas aina sagedamini kasutatav ründevõte, kuna küberkurjategijad saavad rünnete allikat peita ehk sogastada varasemast veelgi paremini. Lisateave CaaS-i ja oma organisatsiooni kaitsmise kohta.
Lisateave

Jälgige Microsofti turbeteenust