Trace Id is missing

Découvrir le risque croissant de fraude sur les cartes-cadeaux

Téléchargez
Partagez
Un ordinateur portable d'où s'envolent des cartes-cadeaux et des cartes de crédit

Numéro 7 de Cyber Signals : Dans la fosse aux lions

À une époque où les transactions numériques et les achats en ligne font désormais partie intégrante de notre vie quotidienne, la menace de la cybercriminalité plane. Parmi ces menaces, la fraude aux cartes-cadeaux et aux cartes de paiement, qui concerne à la fois les cartes-cadeaux des sociétés de cartes de crédit et des détaillants, est omniprésente et en constante évolution. Les criminels utilisent des méthodes de plus en plus sophistiquées pour compromettre les portails de cartes-cadeaux avant de les transformer en argent liquide quasiment intraçable.

Cette édition de Cyber Signals se penche sur les tactiques, les techniques et les procédures d'un acteur de la menace cybercriminelle que Microsoft appelle Storm-0539, également connu sous le nom d'Atlas Lion, et sur ses activités dans le domaine du vol de cartes-cadeaux, sur les subtilités de ses méthodes et sur les implications pour les particuliers, les entreprises et le paysage de la cybersécurité.

Storm-0539 est resté pertinent au fil des ans, s'adaptant au paysage criminel en constante évolution. Grâce à un réseau labyrinthique de canaux cryptés et de forums clandestins, ils orchestrent des opérations illicites en exploitant les failles technologiques et en déployant des campagnes d'ingénierie sociale astucieuses pour étendre leurs activités.

Bien que de nombreux acteurs de la cybercriminalité empruntent la voie de la moindre résistance pour réaliser des profits rapides et se concentrer sur la portée de leur action, Storm-0539 se concentre de manière discrète et productive sur la compromission des systèmes de cartes-cadeaux et des transactions qui s'y rapportent. Cet adversaire cible sans relâche les émetteurs de cartes-cadeaux en adaptant ses techniques aux changements qui surviennent dans les secteurs de la vente au détail, des paiements et d'autres secteurs connexes.

Nous sommes tous des protecteurs.

Historiquement, Storm-0539 augmente son activité d'attaque avant les grandes périodes de vacances. Entre mars et mai 2024, avant les vacances d'été, Microsoft a observé une augmentation de 30 % des intrusions provenant de Storm-0539. Entre septembre et décembre 2023, nous avons observé une augmentation de 60 % de l'activité des attaques, qui coïncide avec les vacances d'automne et d'hiver.

  • Augmentation de 30 % de l'activité d'intrusion Storm-0539, entre mars et mai 2024
  • Augmentation de 60 % de l'activité d'intrusion Storm-0539, entre septembre et décembre 2024

Les pirates affinent les vols de cartes de paiement et de cartes-cadeaux

Storm-0539 opère à partir du Maroc et est impliqué dans des délits financiers tels que la fraude aux cartes-cadeaux. Leurs techniques comprennent le phishing, le phishing par sms, l'enregistrement de leurs propres appareils dans les environnements des victimes afin d'obtenir un accès permanent, et l'utilisation de l'accès pour cibler des organisations tierces. Ils enregistrent les appareils de manière à ce que les invites d'authentification multifactorielle (MFA) associées à un compte victime compromis soient envoyées à l'appareil de l'attaquant. L'enregistrement d'un appareil lui permet de compromettre totalement une identité et de persister dans l'environnement cloud. 

Actif depuis la fin de l'année 2021, ce groupe de cybercriminels représente une évolution des acteurs de la menace qui se concentrent sur l'attaque des comptes et des systèmes de cartes de paiement. Par le passé, les attaquants compromettaient souvent les données des cartes de paiement à l'aide de logiciels malveillants installés dans les points de vente (POS). Pourtant, alors que les entreprises renforçaient les défenses de leurs points de vente, Storm-0539 a adapté ses techniques d'attaque pour compromettre les services de cloud computing et d'identité en ciblant de manière criminelle les portails de cartes-cadeaux liés à de grands détaillants, à des marques de luxe et à des restaurants fast-foods réputés.

Historiquement, la fraude aux cartes de paiement et de cadeau est associée à des campagnes sophistiquées de logiciels malveillants et d'hameçonnage. Cependant, ce groupe tire parti de sa connaissance approfondie de l'informatique dématérialisée pour effectuer une reconnaissance des processus d'émission de cartes-cadeaux d'une organisation, des portails de cartes-cadeaux et des employés ayant accès aux cartes-cadeaux.

En règle générale, la chaîne d'attaque comprend les actions suivantes :
  • En utilisant les répertoires et les horaires des employés, les listes de contacts et les boîtes de réception des courriels, Storm-0539 cible les téléphones mobiles personnels et professionnels des employés en leur envoyant des sms de phishing. 
  • Une fois qu'un compte d'employé d'une organisation ciblée est infiltré, les attaquants se déplacent latéralement dans le réseau, en essayant d'identifier le processus commercial des cartes-cadeaux, en pivotant vers les comptes compromis liés à ce portefeuille spécifique. 
  • Ils recueillent également des informations sur les machines virtuelles, les connexions VPN, les ressources SharePoint et OneDrive, ainsi que sur Salesforce, Citrix et d'autres environnements distants. 
  • Après avoir obtenu l'accès, le groupe crée de nouvelles cartes-cadeaux en utilisant des comptes d'employés compromis. 
  • Ils échangent ensuite la valeur associée à ces cartes, vendent les cartes-cadeaux à d'autres acteurs de la menace sur les marchés noirs ou utilisent des passeurs de fonds pour encaisser les cartes-cadeaux.
Image montrant deux téléphones avec des messages montrant une tentative de hameçonnage par SMS de Storm-0539 se faisant passer pour le service d'assistance de l'entreprise d'un employé ciblé.
Sms d'hameçonnage Storm-0539 se faisant passer pour le service d'assistance de l'entreprise d'un employé ciblé.

La reconnaissance de Storm-0539 et sa capacité à exploiter les environnements en cloud sont similaires à ce que Microsoft observe chez les acteurs de la menace parrainés par des États-nations, ce qui montre que les techniques popularisées par l'espionnage et les adversaires géopolitiques influencent désormais les criminels motivés par des considérations financières.

Par exemple, Storm-0539 tire parti de sa connaissance des logiciels en cloud, des systèmes d'identité et des privilèges d'accès pour cibler l'endroit où les cartes-cadeaux sont créées, au lieu de se concentrer uniquement sur l'utilisateur final. Cette activité est une tendance que nous observons parmi les groupes d'États non nationaux comme Octo Tempest et Storm-0539, qui ont une bonne connaissance tactique des ressources en nuage, à l'instar des acteurs avancés parrainés par l'État.

Pour se camoufler et ne pas être détecté, Storm-0539 se présente comme une organisation légitime auprès des fournisseurs d'informatique en cloud, afin d'obtenir des applications temporaires, des espaces de stockage et d'autres ressources initiales gratuites pour leur activité d'attaque.

Dans ce cadre, ils créent des sites web qui usurpent l'identité d'organisations caritatives, de refuges pour animaux et d'autres organisations à but non lucratif aux États-Unis, généralement par le biais du typo-squattage, une pratique trompeuse qui consiste à enregistrer une faute d'orthographe courante du domaine d'une organisation comme s'il s'agissait du sien, afin d'inciter les utilisateurs à se rendre sur des sites frauduleux et à y saisir des informations personnelles ou des références professionnelles.

Afin d'élargir encore sa panoplie d'outils de fraude, Microsoft a observé que Storm-0539 téléchargeait des copies légitimes de lettres 501(c)(3) émises par l'Internal Revenue Service (IRS) à partir de sites web publics d'organisations à but non lucratif. Armés d'une copie d'une lettre 501(c)(3) légitime et d'un domaine correspondant usurpant l'identité de l'organisation à but non lucratif pour laquelle la lettre a été émise, ils approchent les principaux fournisseurs d'informatique en cloud pour obtenir des services technologiques sponsorisés ou à prix réduit, souvent accordés aux organisations à but non lucratif.

Une infographie montrant le fonctionnement de Storm-0539.
Storm-0539 opère à partir d'essais gratuits, d'abonnements à la carte et de ressources cloud compromises. Nous avons également observé que Storm-0539 se faisait passer pour une organisation à but non lucratif légitime afin d'obtenir le soutien destinés à ces organisations mis en place par certains fournisseurs de services par cloud.

Le groupe crée également des essais gratuits ou des comptes d'étudiants sur les plateformes de services en cloud, offrant généralement aux nouveaux clients un accès de 30 jours. Au sein de ces comptes, ils créent des machines virtuelles à partir desquelles ils lancent leurs opérations ciblées. L'habileté de Storm-0539 à compromettre et à créer des infrastructures d'attaque basées sur le cloud leur permet d'éviter les coûts initiaux habituels dans l'économie de la cybercriminalité, tels que le paiement des hôtes et des serveurs, car ils cherchent à minimiser les coûts et à maximiser l'efficacité.

Microsoft estime que Storm-0539 effectue une reconnaissance approfondie des fournisseurs de services d'identité fédérés des entreprises ciblées pour imiter de manière convaincante l'expérience de connexion de l'utilisateur, y compris non seulement l'apparence de la page adversary-in-the-middle (AiTM), mais aussi l'utilisation de domaines enregistrés qui correspondent étroitement à des services légitimes. Dans d'autres cas, Storm-0539 a compromis des domaines WordPress légitimes récemment enregistrés pour créer une page d'atterrissage AiTM.

Recommandations

  • Protection par token et accès à moindre privilège : Utiliser des politiques pour se protéger contre les attaques par relecture de jeton en liant le jeton à l'appareil de l'utilisateur légitime. Appliquer les principes d'accès à moindre privilège dans l'ensemble de la pile technologique afin de minimiser l'impact potentiel d'une attaque.
  • Adopter une plateforme sécurisée pour les cartes cadeaux et mettre en œuvre des solutions de protection contre la fraude : Envisagez de passer à un système conçu pour authentifier les paiements. Les commerçants peuvent également intégrer des fonctions de protection contre la fraude afin de minimiser les pertes.
  • Une AMF résistante à l'hameçonnage : Passer à des identifiants résistants à l'hameçonnage et immunisés contre diverses attaques, comme les clés de sécurité FIDO2.
  • Exiger un changement de mot de passe sécurisé lorsque le niveau de risque de l'utilisateur est élevé : Microsoft Entra MFA est nécessaire pour que l'utilisateur puisse créer un nouveau mot de passe avec reprise de mot de passe afin de remédier au risque.
  • Sensibiliser les employés : Les commerçants doivent former leurs employés à reconnaître les escroqueries potentielles liées aux cartes-cadeaux et à refuser les commandes suspectes.

Faire face à la tempête : Se défendre contre storm-0539

Les cartes-cadeaux sont des cibles attrayantes pour les fraudeurs car, contrairement aux cartes de crédit ou de débit, elles ne sont pas associées à des noms de clients ou à des comptes bancaires. Microsoft constate un regain d'activité de la part de Storm-0539 qui se concentre sur ce secteur au moment des fêtes de fin d'année. Le Memorial Day, le Labor Day et Thanksgiving aux États-Unis, ainsi que le Black Friday et les vacances d'hiver observées dans le monde entier, tendent à être associés à une activité accrue du groupe.

En règle générale, les organisations fixent une limite à la valeur en espèces qui peut être émise pour une carte cadeau individuelle. Par exemple, si la limite est de 100 000 USD, l'auteur de la menace émettra une carte de 99 000 USD, puis s'enverra à lui-même le code de la carte-cadeau et la monétisera. Leur principale motivation est de voler des cartes-cadeaux et d'en tirer profit en les vendant en ligne à un prix réduit. Nous avons vu des exemples où l'acteur de la menace a volé jusqu'à 100 000 USD par jour dans certaines entreprises.

Pour se défendre contre de telles attaques et empêcher ce groupe d'obtenir un accès non autorisé aux services des cartes-cadeaux, les entreprises émettrices de cartes-cadeaux doivent considérer leurs portails de cartes-cadeaux comme des cibles de grande valeur. Elles doivent être étroitement surveillées et faire l'objet d'un audit permanent pour détecter toute activité anormale.

Pour toute organisation qui crée ou émet des cartes-cadeaux, il peut être utile de mettre en place des contrôles et des équilibres pour empêcher l'accès rapide aux portails de cartes-cadeaux et à d'autres cibles de grande valeur, même en cas de compromission d'un compte. Contrôler en permanence les journaux pour identifier les connexions suspectes et d'autres vecteurs d'accès initiaux courants qui reposent sur des compromissions d'identité dans le cloud et mettre en œuvre des politiques d'accès conditionnel qui limitent les ouvertures de session et signalent les connexions à risque.

Les entreprises devraient également envisager de compléter l'AMF par des politiques d'accès conditionnel dans lesquelles les demandes d'authentification sont évaluées à l'aide de signaux supplémentaires liés à l'identité, tels que les informations de localisation de l'adresse IP ou l'état de l'appareil, entre autres.

Une autre tactique qui pourrait contribuer à freiner ces attaques est un processus de vérification des clients pour l'achat de domaines. Les réglementations et les politiques des fournisseurs n'empêchent pas toujours le typo-squattage malveillant dans le monde entier, ce qui signifie que ces sites Web trompeurs peuvent rester populaires pour étendre les cyberattaques. Les processus de vérification pour la création de domaines pourraient contribuer à réduire le nombre de sites créés dans le seul but de tromper les victimes.

Outre les noms de domaine trompeurs, Microsoft a également observé que Storm-0539 utilisait des listes de diffusion internes légitimes pour diffuser des messages d'hameçonnage une fois qu'il avait pris pied dans une entreprise et qu'il connaissait ses listes de diffusion et d'autres normes commerciales.

Non seulement le hameçonnage par le biais d'une liste de distribution valide ajoute une nouvelle couche d'authenticité au contenu malveillant, mais il permet également de mieux cibler le contenu sur un plus grand nombre de personnes ayant accès aux informations d'identification, aux relations et aux informations sur lesquelles Storm-0539 s'appuie pour gagner en persistance et en portée.

Lorsque les utilisateurs cliquent sur les liens contenus dans les courriels ou les textes de phishing, ils sont redirigés vers une page de phishing AiTM pour le vol d'informations d'identification et la capture de jetons d'authentification secondaire. Les détaillants sont encouragés à enseigner à leur personnel comment fonctionnent les escroqueries par phishing et phishing par sms, comment les identifier et comment les signaler.

Il est important de souligner que, contrairement aux ransomwares bruyants qui cryptent et volent des données puis vous harcèlent pour que vous payiez, Storm-0539 se faufile dans un environnement en cloud, recueillant discrètement des informations et abusant de l'infrastructure en cloud et de l'infrastructure d'identité pour atteindre ses objectifs finaux.

Les opérations Storm-0539 sont convaincantes car l'acteur utilise des courriels légitimes compromis et imite les plateformes légitimes utilisées par l'entreprise ciblée. Pour certaines entreprises, les pertes liées aux cartes-cadeaux sont récupérables. Cela nécessite une enquête approfondie afin de déterminer quelles cartes cadeaux ont été émises par l'auteur de la menace.

La Veille des menaces Microsoft a émis des notifications aux organisations touchées par la tempête 0539. C'est en partie grâce à ce partage d'informations et à cette collaboration que nous avons observé, ces derniers mois, une amélioration de la capacité des grands détaillants à se prémunir efficacement contre les activités de Storm-0539.

Une infographie montrant le cycle de vie d'une intrusion Storm-0539, commençant par "Hameçonnage/Hameçonnage par SMS", suivi de " Accès aux ressources du cloud ", " Impact (exfiltration de données et vol de cartes-cadeaux) " et " Informations pour de futures attaques ". Le mot "identité" reste au centre du graphique.
Cycle de vie d'une intrusion Storm-0539.

Recommandations

  • Réinitialiser les mots de passe des utilisateurs associés à des activités de phishing et d'AiTM : Pour révoquer toute session active, réinitialisez immédiatement les mots de passe. Révoquer tous les changements de paramètres AMF effectués par l'attaquant sur les comptes compromis. Exiger un nouvel appel à l'AMF pour les mises à jour de l'AMF comme valeur par défaut. Veillez également à ce que les appareils mobiles utilisés par les employés pour accéder aux réseaux de l'entreprise soient protégés de la même manière.
  • Activer la purge automatique de l'heure zéro (ZAP) dans Microsoft Defender pour Office 365 : ZAP détecte et prend des mesures automatisées sur les courriels qui font partie de la campagne d'hameçonnage en se basant sur les éléments identiques des mauvais messages connus.
  • Mettre à jour les identités, les privilèges d'accès et les listes de distribution afin de minimiser les surfaces d'attaque : Les attaquants comme Storm-0539 supposent qu'ils trouveront des utilisateurs disposant de privilèges d'accès excessifs qu'ils pourront compromettre pour obtenir un impact considérable. Les rôles des employés et des équipes peuvent changer fréquemment. La mise en place d'un examen régulier des privilèges, de l'appartenance aux listes de distribution et d'autres attributs peut contribuer à limiter les retombées d'une intrusion initiale et à rendre le travail des intrus plus difficile.

En savoir plus sur Storm-0539 et sur les experts de Veille des menaces Microsoft qui se consacrent à la traque de la cybercriminalité et des menaces les plus récentes.

Méthodologie : Les données Snapshot et cover stat représentent une augmentation des notifications de nos clients et des observations de l'acteur de la menace Storm-0539. Ces chiffres reflètent l'augmentation du personnel et des ressources consacrées au suivi de ce groupe. Azure Active Directory a fourni des données anonymes sur l'activité des menaces, telles que les comptes de messagerie malveillants, les courriels d'hameçonnage et les mouvements des attaquants au sein des réseaux. D'autres informations proviennent des 78 billions de signaux de sécurité traités chaque jour par Microsoft, y compris le cloud, les terminaux, la périphérie intelligente et la télémétrie des plates-formes et des services Microsoft, y compris Microsoft Defender.

Cyber Signals Hameçonnage Acteurs de la menace

Articles connexes

Rencontre avec des experts qui traquent la fraude aux cartes-cadeaux Storm-0539

Grâce à leur expérience dans les domaines des relations internationales, de l'application des lois fédérales, de la sécurité et du gouvernement, les analystes de Microsoft Threat Intelligence Alison Ali, Waymon Ho et Emiel Haeghebaert offrent un éventail de compétences uniques pour traquer Storm-0539, un acteur de la menace spécialisé dans le vol de cartes de paiement et la fraude à la carte-cadeau.
En savoir plus

Alimenter l'économie de la confiance : la fraude par ingénierie sociale

Explorez un paysage numérique en pleine évolution où la confiance est à la fois une monnaie et une vulnérabilité. Découvrez les tactiques de fraude par piratage psychologique les plus utilisées par les cyber-attaquants et passez en revue les stratégies qui peuvent vous aider à identifier et à déjouer les menaces par piratage psychologique conçues pour manipuler la nature humaine.
En savoir plus

L’évolution des tactiques alimente la montée en puissance de la compromission de messagerie d’entreprise

Les attaques par compromission de messagerie d’entreprise (BEC) sont de plus en plus fréquentes depuis que les cybercriminels ont la capacité de dissimuler la source de leurs attaques pour se montrer encore plus malveillants. Découvrez le CaaS et comment protéger votre organisation.
En savoir plus

Suivez la Sécurité Microsoft