Trace Id is missing

Az ajándékkártya-csalások növekvő kockázata

Letöltés
Megosztás
Egy laptop, amelyből ajándékkártyák és hitelkártyák repülnek ki

Cyber Signals, 7. szám: Az oroszlán barlangja

A mai korban, amikor a digitális tranzakciók és az online vásárlás mindennapi életünk szerves részévé vált, folyamatosan fenyeget a kiberbűnözés veszélye. E fenyegetések között egyre nagyobb teret nyernek és folyamatosan növekednek az ajándékkártyákkal és fizetési kártyákkal kapcsolatos csalások, amelyek a hitelkártya-társaságoktól és a kiskereskedőktől származó ajándékkártyákra is kiterjednek. A bűnözők egyre kifinomultabb módszerekkel igyekeznek feltörni az ajándékkártya-portálokat, hogy aztán szinte lenyomozhatatlan készpénzt nyerjenek belőlük.

A Cyber Signals jelen száma a Microsoft által Storm-0539-nek nevezett, de Atlas Lion néven is ismert kiberbűnözési fenyegető szereplő taktikáit, technikáit és eljárásait, valamint az ajándékkártya-lopás területén folytatott tevékenységét és módszereinek bonyolultságát, továbbá az egyénekre, vállalkozásokra és a kiberbiztonságra gyakorolt hatásait vizsgálja meg.

A Storm-0539 az évek során mindig is meghatározó tényező maradt, alkalmazkodva a folyamatosan változó bűnügyi környezethez. Titkosított csatornák és rejtett fórumok labirintusszerű hálózatán keresztül szervezik törvénytelen tevékenységeiket, kihasználva a technológiai kiskapukat, és rafinált pszichológiai manipulációs kampányokat alkalmaznak működésük kiterjesztése érdekében.

Bár sok kiberbűnözési fenyegető szereplő a legkisebb ellenállás felé vezető utat választja a gyors profit érdekében és inkább a méretre összpontosít, a Storm-0539 csendes, produktív erőfeszítéseket tesz az ajándékkártya-rendszerek és tranzakciók feltörésére. Ez a fenyegető szereplő fáradhatatlanul támadja az ajándékkártya-kibocsátókat azáltal, hogy a kiskereskedelmi, fizetési és más kapcsolódó iparágakban bekövetkező változásokkal lépést tartva alkalmazza a technikákat.

Mindannyian védekezők vagyunk.

A Storm-0539 rendszerint a nagyobb ünnepek előtt növeli a támadási aktivitását. 2024 márciusa és májusa között, a nyári szabadságolási szezon előtt a Microsoft a Storm-0539 behatolási tevékenységének 30%-os növekedését figyelte meg. 2023 szeptembere és decembere között a támadási aktivitás 60%-os növekedését figyeltük meg, ami egybeesik az őszi és téli ünnepek idejével.

  • A Storm-0539 behatolási tevékenységének 30 százalékos növekedése 2024 márciusa és májusa között
  • A Storm-0539 behatolási tevékenységének 60 százalékos növekedése 2024 szeptembere és decembere között

A támadók továbbfejlesztik az ajándékkártyás és fizetési kártyás lopásokat

A Storm-0539 Marokkóból irányítja tevékenységét, és olyan pénzügyi bűncselekményekben vesz részt, mint például az ajándékkártyákkal kapcsolatos csalás. Technikáik közé tartozik az adathalászat, az SMS-adathalászat, a saját eszközeik regisztrálása az áldozat környezetében, hogy tartós hozzáférést szerezzenek, és a hozzáférés kihasználása külső szervezetek megcélzására. Az eszközöket úgy regisztrálják, hogy az áldozat feltört fiókjához kapcsolódó többtényezős hitelesítési (MFA) kérések a támadó eszközére érkezzenek. Az eszköz regisztrálása lehetővé teszi, hogy teljes mértékben megszerezzenek egy identitást, és így tartósan jelen maradjanak a felhőkörnyezetben. 

Ez a 2021 vége óta aktív kiberbűnözői csoport a fizetési kártyás fiókok és rendszerek megtámadására összpontosító fenyegető szereplők továbbfejlesztett formáját képviseli. A támadók a korábban a fizetési kártyák adatait általában a POS-terminálokat célzó kártevő szoftverekkel szerezték meg. Mivel azonban az iparágak megerősítették a POS-védelmet, a Storm-0539 úgy alakította át támadási technikáit, hogy a nagy kiskereskedelmi láncok, a luxusmárkák és a jól ismert gyorséttermek ajándékkártya-portáljait vehesse célba annak érdekében, hogy a felhőalapú és az identitáskezelési szolgáltatásokat törje fel.

A fizetési és ajándékkártya-csalásoknál korábban kifinomult kártevőket és adathalász-kampányokat használtak. Ez a csoport azonban a felhővel kapcsolatos mélyreható ismereteit használja fel arra, hogy feltérképezze a szervezetek ajándékkártya-kibocsátási folyamatait, az ajándékkártya-portálokat és az ajándékkártyákhoz hozzáféréssel rendelkező alkalmazottakat.

A támadási lánc jellemzően a következő műveleteket tartalmazza:
  • A Storm-0539 az alkalmazottak címjegyzékeit és beosztásait, kapcsolati listáit és e-mail-postafiókjait felhasználva az alkalmazottak személyes és munkahelyi mobiltelefonjait célozza meg SMS-adathalászati üzenetekkel. 
  • Miután egy célszervezetnél beszivárogtak egy alkalmazotti fiókba, a támadók oldalirányban haladnak a hálózaton, megpróbálják azonosítani az ajándékkártya-üzleti folyamatot, és az ehhez az adott portfólióhoz kapcsolódó feltört fiókokat célozzák meg. 
  • Emellett információkat gyűjtenek virtuális gépekről, VPN-kapcsolatokról, SharePoint- és OneDrive-erőforrásokról, valamint a Salesforce-ról, a Citrixről és egyéb távoli környezetekről is. 
  • A hozzáférés megszerzése után a csoport új ajándékkártyákat hoz létre a feltört alkalmazotti fiókok felhasználásával. 
  • Ezután kiváltják a kártyákhoz tartozó értéket, eladják az ajándékkártyákat a feketepiacokon más fenyegető szereplőknek, vagy illegális pénztovábbítókat használnak az ajándékkártyák beváltására.
A kép két telefont mutat, amelyeken az látható, hogy a Storm-0539 adathalász SMS-üzenetei megszemélyesítik egy célba vett alkalmazott vállalati segélyszolgálatát.
A Storm-0539 adathalász SMS-üzenetei megszemélyesítik egy célba vett alkalmazott vállalati segélyszolgálatát.

A Storm-0539 felderítő tevékenysége és azon képessége, hogy kihasználja a felhőkörnyezeteket, hasonló ahhoz, amit a Microsoft a nemzetállamok által támogatott fenyegető szereplőknél figyelt meg, ami azt mutatja, hogy a kémkedés és a geopolitikai fókuszú támadók által népszerűsített technikák mostanában a pénzügyileg motivált bűnözőknél is megjelennek.

A Storm-0539 például a felhőalapú szoftverekkel, az identitáskezelő rendszerekkel és a hozzáférési jogosultságokkal kapcsolatos ismereteit felhasználva azt a helyet célozza meg, ahol az ajándékkártyákat létrehozzák ahelyett, hogy kizárólag a végfelhasználóra összpontosítana. Ez a tevékenység egy olyan tendencia, amelyet olyan nem nemzetállami csoportoknál látunk, mint az Octo Tempest és a Storm-0539, amelyek taktikailag ugyanolyan jól ismerik a felhőalapú erőforrásokat, mint a nemzetállamok által támogatott fejlett szereplők.

Az álcázás és az észrevétlenség érdekében a Storm-0539 legitim szervezeteknek adja ki magát a felhőszolgáltatók felé, hogy a támadási tevékenységhez ideiglenes alkalmazási, tárolási és egyéb, kezdetben ingyenes erőforrásokat szerezzen.

Ennek részeként olyan weboldalakat hoznak létre, amelyek az Egyesült Államokban működő jótékonysági szervezeteknek, állatmenhelyeknek és más nonprofit szervezeteknek adják ki magukat, jellemzően a typosquatting néven ismert módszerrel, amelynek során magánszemélyek egy szervezet tartománynevének gyakori hibás írásmódjával regisztrálnak tartománycímet sajátjukként, hogy a felhasználókat rávegyék a hamis oldalak meglátogatására és személyes adataik vagy szakmai hitelesítő adataik megadására.

A Microsoft megfigyelte, hogy a Storm-0539 a csalási eszköztárának bővítése érdekében az Amerikai Egyesült Államok Szövetségi Adóhivatala (IRS) által kiadott 501(c)(3) levelek legitim másolatait tölti le nonprofit szervezetek nyilvános webhelyeiről. Egy legitim 501(c)(3) levél másolatával és egy olyan tartománynévvel felfegyverkezve, amely annak a nonprofit szervezetnek adja ki magát, amely számára a levelet kiállították, megkeresik a főbb felhőszolgáltatókat, hogy szponzorált vagy kedvezményes technológiai szolgáltatásokat kérjenek, amelyeket azok gyakran adnak nonprofit szervezetek számára.

A Storm-0539 működését szemléltető infografika.
A Storm-0539 ingyenes próbaverziókból, használatalapú előfizetésekből, illetve megfertőzött felhőbeli erőforrásokból kiindulva végzi a tevékenységét. Azt is megfigyeltük, hogy a Storm-0539 megszemélyesít jogszerűen működő, valódi nonprofit szervezeteket, hogy ilyen szervezeteknek szóló szponzorációt szerezzen különböző felhőszolgáltatóktól.

A csoport ingyenes próba- és diákfiókokat is létrehoz a felhőszolgáltatási platformokon, amelyek jellemzően 30 napos hozzáférést biztosítanak az új ügyfeleknek. Ezeken a fiókokon belül virtuális gépeket hoznak létre, amelyekről elindíthatják a célzott műveleteiket. A felhőalapú támadási infrastruktúra feltörésében és létrehozásában való jártassága lehetővé teszi a Storm-0539 számára, hogy elkerülje a kiberbűnözési gazdaságban szokásos előzetes költségeket, például a tárhelyek és a kiszolgálók díjait, hiszen igyekszik minimalizálni a költségeket és maximalizálni a hatékonyságot.

A Microsoft értékelése szerint a Storm-0539 kiterjedt felderítést végez a megcélzott vállalatok szövetséges identitásszolgáltatóinál, hogy meggyőzően utánozza a felhasználói bejelentkezési élményt, beleértve nemcsak a közbeékelődéses támadási (AiTM) oldal megjelenését, hanem olyan regisztrált tartománycímek használatát is, amelyek nagyon hasonlítanak a legitim szolgáltatásokéra. Más esetekben a Storm-0539 legitim, nemrégiben regisztrált WordPress-tartományokat tört fel az AiTM-kezdőlap elkészítéséhez.

Javaslatok

  • Tokenvédelem és minimális jogosultságú hozzáférés: Használjon szabályzatokat a biztonsági jogkivonatot újrahasználó támadások elleni védelemre azzal, hogy a biztonsági jogkivonatot a jogos felhasználó eszközéhez köti. Használja a minimális jogosultságú hozzáférés elvét a teljes technológiai stackben, hogy minimalizálja a támadás lehetséges hatását.
  • Válasszon biztonságos ajándékkártya-platformot, és alkalmazzon csalásvédelmi megoldásokat: Fontolja meg a fizetések hitelesítésére tervezett rendszerre való áttérést. A kereskedők a veszteségek minimalizálása érdekében csalásvédelmi funkciókat is integrálhatnak.
  • Adathalászatnak ellenálló MFA: Térjen át az adathalászatnak ellenálló hitelesítő adatok használatára, amelyek immunisak a különböző támadásokkal szemben, mint például a FIDO2 biztonsági kulcsok.
  • Követelje meg a biztonságos jelszóváltoztatást, ha a felhasználó kockázati szintje magas: A Microsoft Entra többtényezős hitelesítése szükséges ahhoz, hogy a felhasználó új jelszót hozhasson létre jelszó-visszaírással a kockázat csökkentése érdekében.
  • Biztosítson oktatást az alkalmazottaknak: Javasoljuk, hogy a kereskedők részesítsék oktatásban az alkalmazottakat annak érdekében, hogy felismerjék a lehetséges ajándékkártya-csalásokat és elutasítsák a gyanús rendeléseket.

A vihar átvészelése: Védekezés a storm-0539 ellen

Az ajándékkártyák azért jelentenek vonzó célpontot a csalások számára, mert a hitel- vagy betéti kártyákkal ellentétben nem kapcsolódnak hozzájuk ügyfélnevek vagy bankszámlák. A Microsoft úgy látja, hogy az erre az iparágra összpontosító Storm-0539 aktivitása az ünnepi időszakokban megélénkül. Az Egyesült Államokban a Memorial Day, a Labor Day és a Hálaadás napja, valamint a Fekete péntek és a világszerte ünnepelt téli ünnepek általában a csoport fokozott aktivitásával járnak együtt.

A szervezetek általában korlátozzák az egyes ajándékkártyákhoz kiadható készpénzértéket. Például ha ez a korlát 100 000 USD, akkor a fenyegető szereplő 99 000 USD értékű kártyát állít ki, majd elküldi magának az ajándékkártya kódját, és pénzzé teszi azt. Elsődleges motivációjuk az ajándékkártyák ellopása, hogy azokat kedvezményes áron értékesítsék az interneten, és így szerezzenek hasznot belőlük. Láttunk példát arra, hogy a fenyegető szereplők bizonyos vállalatoknál akár napi 100 000 USD-t is elloptak.

Az ilyen támadások elleni védekezés és annak megakadályozása érdekében, hogy ez a csoport jogosulatlanul hozzáférjen az ajándékkártya-osztályokhoz, az ajándékkártyákat kibocsátó vállalatoknak kiemelt célpontként kell kezelniük az ajándékkártya-portálokat. Ezeket szorosan figyelemmel kell kísérni, és folyamatosan ellenőrizni kell, hogy nincs-e valamilyen rendellenes tevékenység.

Bármely ajándékkártyákat létrehozó vagy kibocsátó szervezet számára segítséget jelenthet az olyan fékek és ellensúlyok bevezetése, amelyek megakadályozzák az ajándékkártya-portálokhoz és más nagy értékű célpontokhoz való gyors hozzáférést még akkor is, ha egy fiókot feltörtek. Folyamatosan figyelni kell a naplókat a gyanús bejelentkezések és más olyan gyakori kezdeti hozzáférési vektorok azonosítása érdekében, amelyek a feltört felhőalapú identitásokra támaszkodnak, és olyan feltételes hozzáférési szabályzatokat kell bevezetni, amelyek korlátozzák a bejelentkezéseket és jelzik a kockázatos bejelentkezéseket.

A szervezeteknek fontolóra kell venniük az MFA feltételes hozzáférési szabályzatokkal való kiegészítését is, ahol a hitelesítési kérelmeket további identitásfüggő jelek, például az IP-cím helyére vonatkozó információk vagy az eszköz állapota alapján értékelik.

Egy másik taktika, amely segíthet megfékezni ezeket a támadásokat, a tartományok vásárlásakor alkalmazott vásárlói adatok ellenőrzése folyamat. A rendelkezések és a szolgáltatói szabályzatok nem feltétlenül akadályozzák meg következetesen a rosszindulatú typosquatting módszert világszerte, ami azt jelenti, hogy ezek a megtévesztő weboldalak továbbra is kedvelt eszközök lesznek a kibertámadások kiterjesztésére. A tartományok létrehozására vonatkozó ellenőrzési folyamatok segíthetnének csökkenteni a kizárólag az áldozatok megtévesztése céljából létrehozott webhelyek számát.

A Microsoft azt is megfigyelte, hogy a megtévesztő tartománynevek mellett a Storm-0539 a legitim belső vállalati levelezési listákat is felhasználja az adathalász üzenetek terjesztésére, miután sikerült bejutniuk a vállalati rendszerbe, és megismerték annak terjesztési listáit és egyéb üzleti normáit.

Az érvényes terjesztési listán keresztül történő adathalászat nem csupán a hitelességet erősíti a rosszindulatú tartalmaknál, hanem abban is segít, hogy több olyan személyt célozzanak meg, akik hozzáférnek azokhoz a hitelesítő adatokhoz, kapcsolatrendszerekhez és információkhoz, amelyekre a Storm-0539 támaszkodik a tartós fennmaradás és hatókör érdekében.

Amikor a felhasználók az adathalász e-mailekben vagy SMS-ekben található hivatkozásokra kattintanak, átirányítják őket egy AiTM adathalász oldalra, ahol a hitelesítő adatok ellopása és a másodlagos hitelesítési biztonsági jogkivonatok megszerzése történik. A kiskereskedőknek érdemes oktatásban részesíteniük a munkatársakat arról, hogyan működnek az SMS-adathalászati és adathalászati csalások, és hogyan lehet felismerni és jelenteni őket.

Fontos kiemelni, hogy a hangos zsarolóvírus-fenyegetőktől eltérően, akik titkosítják és ellopják az adatokat, majd fizetésre kényszerítik Önt, a Storm-0539 csendben végez felderítést a felhőkörnyezetben, és a felhőalapú és identitáskezelési infrastruktúrát használja ki a végső céljai eléréséhez.

A Storm-0539 tevékenységei azért meggyőzőek, mert a szereplő legitim, feltört e-maileket használ, és a megcélzott vállalat által használt legitim platformokat utánozza. Néhány vállalat esetében az ajándékkártya veszteségei visszaszerezhetők. Ehhez alapos vizsgálatra van szükség annak megállapításához, hogy a fenyegető szereplő mely ajándékkártyákat bocsátotta ki.

A Microsoft Veszélyforrás-intelligencia értesítéseket adott ki a Storm-0539 által érintett szervezetek számára. Részben ennek az információmegosztásnak és együttműködésnek köszönhetően az elmúlt hónapokban azt figyelhettük meg, hogy a nagy kiskereskedők egyre jobban képesek hatékonyan védekezni a Storm-0539 tevékenysége ellen.

A Storm-0539 behatolási életciklusát bemutató infografika, amely az Adathalászattal/SMS-adathalászattal indul, majd a Felhő-erőforráshoz való hozzáférés, a Hatás (adatok kiszivárgása és ajándékkártya-lopás) és az Információ a jövőbeli támadásokhoz következik. Az identitás az ábra közepén látható.
A Storm-0539 behatolási életciklusa.

Javaslatok

  • Állítsa vissza az adathalászattal és AiTM-tevékenységgel összefüggésbe hozható felhasználók jelszavait: Az aktív munkamenetek törléséhez haladéktalanul állítsa vissza a jelszavakat. Vonja vissza a támadó által a feltört fiókokon végrehajtott MFA-beállítási módosításokat. Alapértelmezett módon tegye kötelezővé az MFA-feladványt az MFA-módosításokhoz. Gondoskodjon arról is, hogy az alkalmazottak által a vállalati hálózatokhoz való hozzáférésre használt mobileszközök hasonlóan védettek legyenek.
  • Kapcsolja be az Azonnali automatikus törlést (ZAP-t) az Office 365-höz készült Microsoft Defenderben: A ZAP az ismert káros üzenetek közös elemei alapján megtalálja az adathalász-kampány részét képező e-maileket, és automatizált intézkedéseket tesz velük kapcsolatban.
  • Frissítse az identitásokat, a hozzáférési jogosultságokat és a terjesztési listákat a támadási felületek minimalizálása érdekében: A Storm-0539-hez hasonló támadók abból indulnak ki, hogy találnak majd olyan felhasználókat, akiknek túlzott hozzáférési jogosultságai vannak, és akiknek meg tudják szerezni az adatait, hogy nagyobb hatást érhessenek el. Az alkalmazottak és a csapatok szerepkörei gyakran változhatnak. A jogosultságoknak, a terjesztési listák tagjainak és egyéb attribútumoknak a rendszeres felülvizsgálata segíthet a kezdeti behatolás következményeinek korlátozásában és a behatolók munkájának megnehezítésében.

Ismerje meg a Storm-0539-et és a Microsoft Veszélyforrás-intelligencia szakértőit , akik a kiberbűnözés és a legújabb fenyegetések nyomon követésével foglalkoznak.

Módszertan: A pillanatfelvételek és a lefedettségi statisztikák adatai azt mutatják, hogy a Storm-0539 fenyegető szereplővel kapcsolatos ügyfélértesítések és megfigyelések száma megnövekedett. Ezek a számok a csoport ellenőrzésére fordított személyi és anyagi források növekedését tükrözik. Az Azure Active Directory szolgáltatott anonimizált adatokat a fenyegető tevékenységekről, például a kártevő e-mail-fiókokról, az adathalász e-mailekről és a támadók hálózaton belüli mozgásáról. A további információk a Microsoft által naponta feldolgozott 78 trillió biztonsági jelből származnak, beleértve a felhőt, a végpontokat, az intelligens peremhálózatot, valamint a Microsoft-platformok és -szolgáltatások, köztük a Microsoft Defender telemetriai adatait.

Cyber Signals Adathalászat Fenyegető szereplők

Kapcsolódó cikkek

Ismerje meg a Storm-0539 ajándékkártya-csalásait nyomon követő szakértőket

Alison Ali, Waymon Ho és Emiel Haeghebaert, a Microsoft Veszélyforrás-intelligencia elemzői a nemzetközi kapcsolatok, a szövetségi bűnüldözés, a biztonság és a kormányzat területén szerzett tapasztalataikkal egyedülálló képességekkel rendelkeznek a fizetési kártyák ellopására és az ajándékkártyás csalásokra szakosodott Storm-0539 fenyegető szereplő felkutatásához.
További információ

A bizalmi gazdaság kihasználása: pszichológiai manipulációs csalás

Megismerheti a változó digitális környezetet, ahol a bizalom egyszerre számít értéknek és sebezhetőségnek. Ismerje meg a kibertámadók által leggyakrabban alkalmazott pszichológiai manipulációs csalási taktikákat, és tekintse át azokat a stratégiákat, amelyek segítségével felismerheti és kivédheti az emberi természet manipulálását célzó pszichológiai manipulációs fenyegetéseket.
További információ

Változó taktikák táplálják az üzleti levelezéssel kapcsolatos csalások hullámát

Az üzleti levelezéssel kapcsolatos csalások egyre gyakoribbak napjainkban, mert a kiberbűnözők már el tudják fedni a támadásaik forrását, így még alattomosabbak tudnak lenni. Ismerje meg, hogy a CaaS hogyan segíthet a szervezete védelmében.
További információ

A Microsoft Biztonság követése