Trace Id is missing

Analisi del rischio crescente delle frodi relative ai buoni regalo

Scarica
Condividi
Portatile con buoni regalo e carte di credito che escono fuori dallo schermo

Edizione 7 di Cyber Signals: Nella tana del leone

In un'era in cui le transazioni digitali e gli acquisti online sono diventati parte integrante delle nostre vite, incombe la minaccia del crimine informatico. Tra le varie minacce, le frodi relative a buoni regalo e carte di pagamento, che includono sia buoni regalo di aziende che emettono le carte di credito sia di negozianti, sono dilaganti e in evoluzione. I criminali usano metodi sempre più sofisticati per compromettere i portali dei buoni regalo prima di trasformarli in contanti quasi irrintracciabili.

Questa edizione di Cyber Signals approfondisce le tattiche, le tecniche e le procedure di un attore di minacce del crimine informatico che Microsoft ha nominato Storm-0539, noto anche come Atlas Lion, e le sue attività nell'ambito del furto di buoni regalo, la complessità dei suoi metodi e le implicazioni per privati, aziende, nonché il panorama della cybersecurity.

Storm-0539 è rimasto di rilievo negli anni, adattandosi al panorama criminale in continua evoluzione. Attraverso una rete labirintica di canali crittografati e forum clandestini, orchestra attività illecite che sfruttano falle tecnologiche e fanno uso di campagne di ingegneria sociale intelligente per allargare il suo raggio d'azione.

A differenza di molti attori di minacce nel campo del crimine informatico che optano per la strada più semplice per ottenere profitti rapidi e su vasta scala, Storm-0539 vanta un approccio sobrio e proficuo alla compromissione di sistemi di buoni regalo e transazioni. Questo antagonista attacca senza sosta gli emittenti di buoni regalo adattando le sue tecniche per restare al passo con i cambiamenti nei settori retail, dei pagamenti e altri settori correlati.

Siamo tutti chiamati a difenderci.

Da sempre Storm-0539 aumenta l'attività di attacco prima dei principali periodi festivi. Tra marzo e maggio 2024, prima delle vacanze estive, Microsoft ha osservato un aumento del 30% nell'attività di intrusione di Storm-0539. Tra settembre e dicembre 2023, abbiamo osservato un aumento del 60% nell'attività di attacco, in corrispondenza con le festività autunnali e invernali.

  • 30% di aumento dell'attività di intrusione di Storm-0539 tra marzo e maggio 2024
  • 60% di aumento dell'attività di intrusione di Storm-0539 tra settembre e dicembre 2024

Gli utenti malintenzionati affinano i furti di buoni regalo e carte di pagamento

Storm-0539 opera fuori dal Marocco ed è coinvolto in crimini finanziari come frodi relative ai buoni regalo. Le sue tecniche includono phishing, smishing, registrazione dei propri dispositivi negli ambienti delle vittime per avere accesso permanente e uso dell'accesso per attaccare organizzazioni terze. Registra i dispositivi in modo che i prompt dell'autenticazione a più fattori (MFA) associati all'account della vittima finiscano nel dispositivo dell'utente malintenzionato. La registrazione di un dispositivo consente la compromissione di un'identità e l'accesso permanente all'ambiente cloud. 

Attivo dalla fine del 2021, questo gruppo di criminali informatici rappresenta un'evoluzione degli attori di minacce specializzati negli attacchi ad account e sistemi di carte di pagamento. In passato, gli utenti malintenzionati compromettevano solitamente i dati delle carte di pagamento attraverso malware sui POS. Tuttavia, in seguito al rafforzamento delle misure di protezione dei POS, Storm-0539 ha adattato le sue tecniche di attacco per compromettere i servizi cloud e delle identità prendendo di mira i portali dei buoni regalo di grandi rivenditori, brand di lusso e note catene di fast food.

Le frodi relative a buoni regalo e carte di pagamento sono da sempre associate a campagne di phishing e malware sofisticati. Questo gruppo sfrutta però la sua conoscenza approfondita del cloud per condurre attività di ricognizione in relazione ai processi di emissione dei buoni regalo di un'organizzazione, ai relativi portali e ai dipendenti con accesso ai buoni.

In genere, la catena di attacco comprende le seguenti azioni:
  • Usando le directory e i calendari, gli elenchi dei contatti e la posta elettronica dei dipendenti, Storm-0539 punta ai loro cellulari personali e di lavoro attraverso messaggi di smishing. 
  • Dopo essersi infiltrati nell'account di un dipendente di un'organizzazione target, gli utenti malintenzionati si spostano lateralmente nella rete, cercando di identificare il processo aziendale per i buoni regalo, attraverso lo sfruttamento degli account compromessi collegati a questo specifico portfolio. 
  • Raccolgono anche informazioni su macchine virtuali, connessioni VPN, risorse di SharePoint e OneDrive, nonché Salesforce, Citrix e altri ambienti remoti. 
  • Dopo aver ottenuto l'accesso, il gruppo crea nuovi buoni regalo usando gli account compromessi dei dipendenti. 
  • Riscatta quindi il valore associato a queste carte, vende i buoni regalo ad altri attori di minacce sul mercato nero o usa i cosiddetti money mule per incassare i buoni regalo.
Immagine che mostra due telefoni con messaggi di smishing Storm-0539 che impersonano l'help desk aziendale di un dipendente preso di mira.
Messaggi di smishing Storm-0539 che impersonano l'help desk aziendale di un dipendente preso di mira.

La ricognizione e la capacità di sfruttare gli ambienti cloud di Storm-0539 sono simili a quanto Microsoft ha osservato negli attori di minacce sponsorizzati dagli stati-nazione: questo mostra come le tecniche diffuse da antagonisti con un focus geopolitico e agenti di spionaggio stiano ora influenzando i criminali con motivazioni finanziare.

Ad esempio, Storm-0539 sfrutta le sue conoscenze relative a software basato sul cloud, sistemi di identità e privilegi di accesso per sferrare attacchi dove vengono creati i buoni regalo, anziché puntare solamente all'utente finale. Questa attività è una tendenza che stiamo osservando tra i gruppi non legati a stati-nazioni come Octo Tempest e Storm-0539, che hanno una conoscenza tecnica avanzata delle risorse cloud proprio come gli attori sponsorizzati dagli stati.

Per mimetizzarsi e passare inosservato, Storm-0539 si spaccia per delle organizzazioni legittime nei provider cloud, in modo da ottenere l'accesso temporaneo ad applicazione, archiviazione e altre risorse gratuite iniziali per portare avanti la sua attività di attacco.

A tale scopo, crea siti web che rappresentano organizzazioni di beneficenza, rifugi per animali e altre no profit negli Stati Uniti usando generalmente il typosquatting, una pratica ingannevole in cui il dominio di un'organizzazione viene registrato come proprio con un errore di ortografia comune per indurre con l'inganno gli utenti a visitare siti fraudolenti e a inserire le loro informazioni personali o credenziali professionali.

Per ampliare ulteriormente il suo toolkit per le frodi, Microsoft ha osservato che Storm-0539 scarica copie legittime di lettere 501(c)(3) emesse dall'IRS dai siti web pubblici delle organizzazioni no profit. Grazie a una copia di una lettera 501(c)(3) legittima e un dominio corrispondente che rappresenta la no profit per cui è stata emessa la lettera, il gruppo contatta i principali provider cloud per richiedere servizi tecnologici sponsorizzati o scontati, spesso concessi alle organizzazioni no profit.

Un'infografica che mostra il funzionamento di Storm-0539.
Storm-0539 funziona con prove gratuite, abbonamenti a consumo e risorse cloud compromesse. Abbiamo anche osservato Storm-0539 spacciarsi per organizzazioni non profit legittime per ottenere sponsorizzazioni non profit da diversi provider cloud.

Il gruppo crea anche versioni di prova gratuite o account studente nelle piattaforme dei servizi cloud offrendo in genere ai nuovi clienti 30 giorni di accesso. All'interno di questi account, crea macchine virtuali dalle quali avvia le sue operazioni di attacco. La capacità di Storm-0539 di compromettere e creare un'infrastruttura di attacco basata sul cloud gli consente di evitare i costi anticipati tipici dell'economia del crimine informatico, ad esempio pagamento di host e server, per ridurre al minimo le spese e massimizzare l'efficienza.

Microsoft stima che Storm-0539 conduca un'attività di ricognizione esauriente nei provider di servizi delle identità federati in aziende target per imitare in modo convincente l'esperienza di accesso utente, non solo per quanto riguarda l'aspetto della pagina adversary-in-the-middle (AiTM) ma anche l'uso di domini registrati che corrispondono quasi perfettamente a quelli dei servizi legittimi. In altri casi, Storm-0539 ha compromesso domini WordPress legittimi registrati da poco per realizzare la pagina di destinazione AiTM.

Consigli

  • Protezione con token e accesso con privilegi minimi: usa i criteri per proteggerti da attacchi replay con token associando quest'ultimo al dispositivo dell'utente legittimo. Applica i principi di accesso con privilegi minimi all'intero stack tecnologico per ridurre al minimo il potenziale impatto di un attacco.
  • Adozione di una piattaforma sicura per i buoni regalo e implementazione di soluzioni di protezione dalle frodi: valuta l'idea di passare a un sistema progettato per autenticare i pagamenti. I rivenditori possono anche integrare funzionalità di protezione dalle frodi per ridurre al minimo le perdite.
  • Autenticazione a più fattori anti-phishing: passa a credenziali anti-phishing che sono immuni ai vari attacchi, ad esempio le chiavi di sicurezza FIDO2.
  • Richiesta della modifica della password di sicurezza quando il livello di rischio per l'utente è alto: è richiesta l'autenticazione a più fattori di Microsoft Entra prima che l'utente possa creare una nuova password con writeback delle password per ridurre il rischio.
  • Formazione dei dipendenti: i rivenditori devono formare i dipendenti affinché riconoscano le potenziali truffe relative ai buoni regalo e rifiutino gli ordini sospetti.

Abbattere lo stormo: difesa contro Storm-0539

I buoni regalo sono obiettivi allettanti per le frodi perché a differenza delle carte di credito o debito non riportano i nomi dei clienti o i conti corrente ad essi collegati. Microsoft riscontra un aumento dell'attività di Storm-0539 in questo settore in prossimità dei periodi festivi. Il Memorial Day, la Festa dei lavoratori e il Ringraziamento negli Stati Uniti, così come il Black Friday e le festività invernali che ricorrono a livello globale tendono a essere associati a un aumento dell'attività del gruppo.

In genere, le organizzazioni impostano un limite per il valore in contanti che è possibile emettere per un singolo buono regalo. Ad esempio, se il limite è di 100.000 USD, l'attore di minacce emetterà un buono di 99.000 USD, quindi invierà a se stesso il codice del buono regalo e lo monetizzerà. La sua principale motivazione è rubare i buoni regalo e guadagnarci vendendoli online a un prezzo scontato. Abbiamo osservato diversi esempi in cui l'attore di minacce ha rubato fino a 100.000 USD al giorno ad alcune aziende.

Per difendersi contro questi attacchi e impedire al gruppo di ottenere l'accesso non autorizzato ai reparti dei buoni regali, le aziende che li emettono devono considerare i portali dedicati come obiettivi di alto valore. Devono monitorali attentamente e controllarli con costanza per rilevare eventuali attività anomale.

Per le organizzazioni che creano o emettono buoni regalo, l'implementazione di controlli e contrappesi per evitare l'accesso rapido ai portali dei buoni regalo e altri obiettivi di alto valore, anche se un account è compromesso, può essere utile. Monitora continuamente i registri per identificare accessi sospetti e altri vettori di accesso iniziali comuni che usano la compromissione delle identità del cloud e implementa criteri di accesso condizionale che limitano gli accessi e segnalano quelli rischiosi.

Le organizzazioni devono anche considerare di usare insieme all'autenticazione a più fattori anche i criteri di accesso condizionale in cui le richieste di autenticazione sono valutate usando altri segnali basati sull'identità come informazioni sul luogo dell'indirizzo IP o lo stato del dispositivo.

Un'altra tattica potenzialmente utile per limitare questi attacchi è un processo di verifica del cliente in relazione all'acquisto dei domini. Regolamenti e criteri dei fornitori potrebbero non prevenire in modo coerente il typosquatting malevolo a livello globale, pertanto questi siti web ingannevoli possono rimanere un metodo popolare per ampliare gli attacchi informatici. I processi di verifica per la creazione di domini potrebbero essere utili per limitare più siti creati soltanto allo scopo di ingannare le vittime.

Oltre a nomi di dominio fuorvianti, Microsoft ha anche osservato che Storm-0539 usa mailing list aziendali interne legittime per diffondere messaggi di phishing dopo aver trovato un punto di appoggio in un'azienda e individuato le sue liste di distribuzione e altre prassi aziendali.

Il phishing tramite una lista di distribuzione valida non aggiunge solo un altro livello di autenticità ai contenuti malevoli, ma contribuisce anche a perpetrare l'attacco contro più persone grazie all'accesso a credenziali, relazioni e informazioni sulle quali Storm-0539 fa affidamento per ottenere accesso permanente e copertura.

Quando cliccano sui collegamenti nelle e-mail o nei messaggi di phishing, gli utenti vengono reindirizzati alla pagina di phishing AiTM per il furto di credenziali e l'acquisizione di token per l'autenticazione secondaria. Invitiamo i venditori a insegnare al proprio personale come funzionano le truffe di smishing/phishing, come identificarle e come segnalarle.

È importante evidenziare che a differenza degli attori di minacce fastidiosi che usano il ransomware e crittografano e rubano i dati per indurti a pagare, Storm-0539 si muove su un ambiente cloud senza farsi notare conducendo attività di ricognizione e usando in modo improprio l'infrastruttura delle identità e del cloud per arrivare ai suoi obiettivi finali.

Le operazioni di Storm-0539 sono persuasive a causa dell'uso di e-mail legittime compromesse e dell'imitazione di piattaforme legittime usate dall'azienda attaccata. Per alcune aziende le perdite relative ai buoni regalo sono recuperabili. Ciò richiede un'indagine minuziosa per determinare quali buoni regalo ha emesso l'attore di minacce.

Microsoft Threat Intelligence ha inviato notifiche alle organizzazioni colpite da Storm-0539. In parte grazie alla condivisione di queste informazioni e alla collaborazione, abbiamo osservato un aumento della capacità dei principali rivenditori di proteggersi in modo efficace dall'attività di Storm-0539 negli ultimi mesi.

Un'infografica che mostra il ciclo di vita dell'intrusione Storm-0539, a partire da "Phishing/smishing", seguito da "Accesso alle risorse cloud", "Impatto (esfiltrazione di dati e furto di carte regalo)" e "Informazioni per attacchi futuri". "Identità" rimane al centro del grafico.
Ciclo di vita dell'intrusione Storm-0539.

Consigli

  • Reimposta le password per gli utenti associati ad attività AiTM e phishing: per revocare le sessioni attive, reimposta subito le password. Revoca le modifiche alle impostazioni MFA apportate dall'utente malintenzionato negli account compromessi. Richiedi una nuova autenticazione a più fattori complessa per gli aggiornamenti della MFA come impostazione predefinita. Assicurati anche che i dispositivi mobili che usano i dipendenti per accedere alle reti aziendali siano protetti in modo simile.
  • Abilita Zero-Hour Auto Purge (ZAP) in Microsoft Defender per Office 365: ZAP trova ed esegue azioni automatizzate sulle e-mail che fanno parte di una campagna di phishing in base a elementi identici di messaggi dannosi noti.
  • Aggiorna identità, privilegi di accesso e liste di distribuzione per ridurre al minimo le superfici di attacco: gli utenti malintenzionati come Storm-0539 presumono di trovare utenti con privilegi di accesso eccessivi che possono compromettere per un impatto di grandi proporzioni. I ruoli dei dipendenti e team devono cambiare con frequenza. Stabilire un controllo regolare di privilegi, iscrizioni alle liste di distribuzione e altri attributi può essere utile per limitare le conseguenze di un'intrusione iniziale e rendere più difficile il lavoro degli intrusi.

Scopri di più su Storm-0539 e sugli esperti di Microsoft Threat Intelligence che si occupano di monitorare il crimine informatico e le minacce più recenti.

Metodologia: i dati dell'istantanea e delle statistiche rilevate mostrano un aumento delle notifiche ai clienti e delle osservazioni dell'attore di minacce Storm-0539. Questi numeri riflettono un aumento del personale e delle risorse usate per monitorare questo gruppo. Azure Active Directory ha fornito dati anonimizzati sull'attività delle minacce, come account e-mail dannosi, e-mail di phishing e lo spostamento degli utenti malintenzionati nelle reti. Le informazioni dettagliate aggiuntive derivano da 78 mila miliardi di segnali di sicurezza elaborati da Microsoft ogni giorno, tra cui cloud, endpoint, rete perimetrale intelligente, dati di diagnostica delle piattaforme e dei servizi di Microsoft, incluso Microsoft Defender.

Cyber Signals Phishing Attori di minacce

Articoli correlati

Ti presentiamo gli esperti che monitorano le frodi relative ai buoni regalo di Storm-0539

Con percorsi di formazione che spaziano nei campi delle relazioni internazionali, dell'applicazione delle leggi federali, della sicurezza e di governo e politica, gli analisti di Microsoft Threat Intelligence Alison Ali, Waymon Ho ed Emiel Haeghebaert vantano un insieme di competenze uniche per il monitoraggio di Storm-0539, un attore di minacce specializzato nel furto di carte di pagamento e frodi relative ai buoni regalo.
Scopri di più

Approfittare della trust economy: la frode dell'ingegneria sociale

Esplora il panorama digitale in evoluzione in cui la fiducia è una valuta ma anche una vulnerabilità. Scopri le tattiche di frode basate sull'ingegneria sociale che gli utenti malintenzionati usano più spesso e verifica le strategie che possono aiutarti a identificare e disinnescare le minacce di ingegneria sociale pensate per manipolare le persone.
Scopri di più

Strategie da adottare per far fronte alla compromissione della posta elettronica aziendale

La compromissione della posta elettronica aziendale (BEC) è in crescita oggi che i criminali informatici possono oscurare l'origine dei propri attacchi per essere ancora più efferati. Scopri di più su CaaS e come può aiutarti a proteggere la tua organizzazione.
Scopri di più

Segui Microsoft Security