Trace Id is missing

Inne i den økende risikoen for svindel med gavekort

Last ned
Del
E bærbar datamaskin med gavekort som flyr ut av

Cyber Signals utgave 7: Inn i Løvens Hule

I en tidsalder der digitale transaksjoner og nettshopping har blitt en stor del av vårt daglige liv, er trusselen for cyberkriminalitet stadig voksende. Blant disse truslene er svindel med gave- og betalingskort, som inkluderer både gavekort fra kredittkortselskaper eller forhandlere, både pågående og i utvikling. Kriminelle bruker stadig mer sofistikerte metoder for å kompromittere gavekortportaler før de gjør dem om til nesten usporbare kontanter.

Denne utgaven av Cyber ​​Signals fordyper seg i taktikken, teknikkene og prosedyrene til en trusselaktør for nettkriminalitet som Microsoft kaller Storm-0539, også kjent som Atlas Lion, og dens aktiviteter innen gavekorttyveri, forviklingene ved metodene, og implikasjoner for enkeltpersoner, bedrifter og cybersikkerhetslandskapet.

Storm-0539 har holdt seg relevant gjennom årene, og tilpasset seg det stadig skiftende kriminelle landskapet. Gjennom et labyrintisk nettverk av krypterte kanaler og underjordiske fora, orkestrerer de ulovlige foretak som utnytter teknologiske smutthull og distribuerer smarte sosiale ingeniørkampanjer for å skalere driften.

Selv om mange trusselaktører innen nettkriminalitet tar minst motstands vei mot rask fortjeneste og fokuserer på skala, viser Storm-0539 et stille, produktivt fokus på å kompromittere gavekortsystemer og transaksjoner. Denne motstanderen retter seg nådeløst mot gavekortutstedere ved å tilpasse teknikker for å holde tritt med endringer på tvers av detaljhandel, betaling og andre relaterte bransjer.

Vi er alle i forsvar.

Historisk sett øker Storm-0539 sin angrepsaktivitet i forkant av store høytider. Mellom mars og mai 2024, i forkant av sommerferien, observerte Microsoft en 30 % økning i inntrengningsaktivitet fra Storm-0539. Mellom september og desember 2023 observerte vi en 60 % økning i angrepsaktivitet, sammenfallende med høst- og vinterferien.

  • 30 % økning i Storm-0539 inntrengningsaktivitet, mellom mars og mai 2024
  • 60 % økning i Storm-0539 inntrengningsaktivitet, mellom september og desember 2024

Angripere forbedrer gave- og betalingskortran

orm-0539 opererer fra Marokko og er involvert i økonomisk kriminalitet som svindel med gavekort. Deres teknikker inkluderer phishing, registrering av deres egne enheter til ofrenes miljøer for å tilegne seg tilgang, og ved å utnytte tilgangen til å målrette tredjepartsorganisasjoner. De registerere enheter slik at meldinger fra flerfaktorautentisering (MFA) knyttet til en kompromittert offerkonto går til angriperens enhet. Registrering av en enhet lar dem fullstendig kompromittere en identitet og fortsette i skymiljøet. 

Denne nettkriminalitetsgruppen, som har vært aktiv siden slutten av 2021, representerer en utvikling av trusselaktører med fokus på å angripe betalingskortkontoer og -systemer. Angripere kompromitterte tidligere ofte betalingskortdata med skadelig programvare fra salgsstedet (POS). Likevel, ettersom industrien herdet POS-forsvaret, tilpasset Storm-0539 sine angrepsteknikker for å kompromittere sky- og identitetstjenester i kriminell målretting av gavekortportaler knyttet til store forhandlere, luksusmerker og kjente gatekjøkkenrestauranter.

Historisk sett er betalings- og gavekortsvindel assosiert med sofistikerte skadelig programvare- og phishing-kampanjer. Denne gruppen utnytter imidlertid sin dype kunnskap om skyen for å foreta gjenkjenning av en organisasjons prosesser for utstedelse av gavekort, gavekortportaler og ansatte med tilgang til gavekort.

Vanligvis inkluderer angrepskjeden følgende handlinger:
  • Ved å bruke ansattkataloger og tidsplaner, kontaktlister og e-postinnbokser, sikter Storm-0539 seg inn på de ansattes personlige og jobbmobiler med smishing tekster. 
  • Når en ansattkonto hos en målrettet organisasjon er infiltrert, beveger angriperne seg sideveis gjennom nettverket, og prøver å identifisere gavekortforretningsprosessen, og svinger mot kompromitterte kontoer knyttet til denne spesifikke porteføljen. 
  • De samler også informasjon om virtuelle maskiner, VPN-tilkoblinger, SharePoint- og OneDrive-ressurser, samt Salesforce, Citrix og andre eksterne miljøer. 
  • Etter å ha fått tilgang, oppretter gruppen nye gavekort ved å bruke kompromitterte medarbeiderkontoer. 
  • De løser deretter inn verdien knyttet til disse kortene, selger gavekortene til andre trusselaktører på svarte markeder, eller bruker løpegutter for å ta ut gavekortene.
Bilde som viser to telefoner med Storm-0539-smishing-meldinger som etterligner teknisk støtte for selskapet til en målrettet kunde.
Storm-0539-smishing-meldinger som etterligner teknisk støtte for selskapet til en målrettet kunde.

Storm-0539s rekognosering og evne til å utnytte skymiljøer ligner på det Microsoft observerer fra nasjonalstatssponsede trusselaktører, og viser hvordan teknikker popularisert av spionasje og geopolitisk fokuserte motstandere nå påvirker økonomisk motiverte kriminelle.

Storm-0539s erkjennelse og evne til å utnytte skymiljøer ligner på Microsoft-observatører fra nasjonalstatssponsede trusselaktører, og viser hvordan teknikker er populært gjort av spionasje og geopolitisk fokuserte motstandere nå økonomiske motiverte kriminelle. Denne aktiviteten er en trend som vi ser blant ikke-nasjonsstatsgrupper som Octo Tempest og Storm-0539, som er taktisk godt kjent med skyressurser, omtrent som avanserte statsstøttede aktører.

For å kamuflere seg selv og forbli uoppdaget, presenterer Storm-0539 seg som legitime organisasjoner for skyleverandører, for å få midlertidig applikasjon, lagring og andre første gratis ressurser for angrepsaktiviteten deres.

Som en del av denne prosessen, oppretter de nettsteder som utgir seg for veldedige organisasjoner, dyresentre og andre ideelle organisasjoner i USA, vanligvis med skrivefeil, en villedende praksis der enkeltpersoner registrerer en vanlig feilstaving av en organisasjons domene som sitt eget for å lure brukere til å besøke uredelige nettsteder og legge inn personlig informasjon eller faglig legitimasjon.

For ytterligere å utvide svindelverktøysettet deres, har Microsoft observert Storm-0539 som laster ned legitime kopier av 501(c)(3)-brev utstedt av Internal Revenue Service (IRS) fra ideelle organisasjoners offentlige nettsteder. Bevæpnet med en kopi av et legitimt 501(c)(3)-brev og et matchende domene som utgir seg for den ideelle organisasjonen som brevet ble utstedt på vegne av, henvender de seg til store skyleverandører for sponsede eller rabatterte teknologitjenester som ofte gis til ideelle organisasjoner.

En infografikk som viser hvordan Storm-0539 opererer.
Storm-0539 opererer fra gratis prøveversjoner, bruksbaserte abonnementer, og kompromitterte skyressurser. Vi har også observert at Storm-0539 etterligner legitime ideelle organisasjoner for å oppnå sponsing fra flere skyleverandører.

Gruppen lager også gratis prøve- eller studentkontoer på skytjenesteplattformer, som typisk tilbyr nye kunder 30 dagers gratis prøvetid. Med disse kontoene kan de lage virtuelle maskiner som de så starter sine operasjoner fra. Storm-0539s dyktighet til å kompromittere og lage skybasert angrepsinfrastruktur lar dem unngå vanlige forhåndskostnader i cyberkriminalitetsøkonomien, for eksempel å betale for verter og servere, da de søker å minimere kostnadene og maksimere effektiviteten.

Microsoft vurderer at Storm-0539 utfører omfattende rekognosering i de fødererte identitetstjenesteleverandørene hos målrettede selskaper for på en overbevisende måte å etterligne brukerpåloggingsopplevelsen, som ikke bare inkluderer utseendet til motstanderen-i-midten (AiTM)-siden, men også bruk av registrerte domener som samsvarer nøye med legitime tjenester. I andre tilfeller, har Storm-0539 kompromissert legitime, nylig registrerte WordPress-domener for å opprette AiTM-landingssiden.

Anbefalinger

  • Tokenbeskyttelse og minst privilegert tilgang: Bruk policyer for å beskytte mot token-replay-angrep ved å binde tokenet til den legitime brukerens enhet. Skru på minst privilegert tilgangsprinsipper på kryss av hele teknologistabelen for å minimere det potensielle omfanget av et angrep.
  • Ta i bruk en sikker gavekortplattform og implementer løsninger for svindelbeskyttelse: Vurder å bytte til et system som er designet for å autentisere betalinger. Selgere kan også integrere funksjoner for svindelbeskyttelse for å minimere tap.
  • Phising-resistent MFA: Overgang til phishing-bestandig legitimasjon som er immun mot ulike angrep, for eksempel FIDO2-sikkerhetsnøkler.
  • Krev et sikkert passordbytte når risikoen for trusler er høy: Microsoft Entra MFA kreves før brukeren kan opprette et nytt passord med tilbakeskrivning av passord for å avhjelpe risikoen.
  • Opplæring av ansatte: Kjøpmenn burde trene sine ansatte til å gjenkjenne potensielle gavekort-svindler og avslå mistenkelige bestillinger.

Å klare stormen: Forsvar mot Storm-0539

Gavekort er et attraktivt mål for svindel fordi i ulikhet med kreditt- eller debit-kort, er det ingen kundenavn eller bankkontoer koblet til dem. Microsoft har sett en oppgang i aktivitet fra Storm-0539 som fokuserer på denne industrien rundt høytider. Memorial Day, Labor Day og Thanksgiving i USA, samt Black Friday og vinterferier observert rundt om i verden, har en tendens til å være assosiert med økt aktivitet fra gruppen.

Vanligvis setter organisasjoner en grense på kontantverdien som kan utstedes til et individuelt gavekort. For eksempel, hvis grensen er 100 000 USD, vil trusselaktøren utstede et kort for 99 000 USD og deretter sende seg selv gavekortkoden og tjene penger på dem. Deres primære motivasjon er å stjele gavekort og tjene penger ved å selge dem på nett til en rabattert pris. Vi har sett noen eksempler der trusselaktøren har stjålet opptil 100 000 USD om dagen hos noen bedrifter.

For å forsvare seg mot slike angrep og forhindre at denne gruppen får uautorisert tilgang til gavekortavdelinger, bør selskaper som utsteder gavekort behandle gavekortportalene sine som mål av høy verdi. De bør overvåkes nøye og kontinuerlig revideres for enhver unormal aktivitet.

For enhver organisasjon som oppretter eller utsteder gavekort, kan implementering av sjekk og saldoer for å forhindre rask tilgang til gavekortportaler og andre verdifulle mål, selv om en konto er kompromittert, hjelpe. Kontinuerlig overvåking av logger for å identifisere mistenkelige pålogginger og andre vanlige innledende tilgangsvektorer som er avhengige av kompromisser med skyidentitet og implementere retningslinjer for betinget tilgang som begrenser pålogginger og flagger risikable pålogginger.

Organisasjoner bør også vurdere å komplementere MFA med retningslinjer for betinget tilgang der autentiseringsforespørsler evalueres ved å bruke ytterligere identitetsdrevne signaler som IP-adresseplasseringsinformasjon eller enhetsstatus, blant annet.

En annen taktikk som kan hjelpe med å dempe disse angrepene er en kundeverifiseringsprosess for å kjøpe domener. Forskrifter og leverandørpolicyer forhindrer kanskje ikke konsekvent ondsinnet skrivefeil over hele verden, noe som betyr at disse villedende nettstedene kan forbli populære for skalering av nettangrep. Verifiseringsprosesser for å opprette domener kan bidra til å begrense flere nettsteder som er opprettet utelukkende med det formål å lure ofre.

I tillegg til villedende domenenavn, har Microsoft også observert at Storm-0539 bruker legitime bedriftsinterne e-postlister for å spre phishing-meldinger når de får fotfeste i et selskap og forstår distribusjonslistene og andre forretningsnormer.

Ikke bare gir phishing gjennom en gyldig distribusjonsliste enda et lag av autentisitet til skadelig innhold, det bidrar også til å finpusse målrettingen av innhold til flere individer med tilgang til legitimasjon, relasjoner og informasjon Storm-0539 er avhengig av for å oppnå utholdenhet og rekkevidde.

Når brukere klikker på lenker i phishing-e-postene eller tekstene, blir de omdirigert til en AiTM-phishing-side for legitimasjonstyveri og sekundær autentiseringstokenfangst. Forhandlere oppfordres til å lære ansatte hvordan smishing/phishing-svindel fungerer, hvordan de identifiserer dem og hvordan de rapporterer dem.

Det er viktig å fremheve at i motsetning til støyende løsepengevare -trusselaktører som krypterer og stjeler data og deretter trakasserer deg for å betale, skøyter Storm-0539 rundt i et skymiljø og samler stille inn rekognosering og misbruker sky- og identitetsinfrastrukturen for å nå sluttmålene sine.

Storm-0539-operasjoner er overbevisende på grunn av skuespillerens bruk av legitime kompromitterte e-poster og etterligning av legitime plattformer brukt av det målrettede selskapet. For noen selskaper kan tap av gavekort gjenvinnes. Det krever en grundig undersøkelse for å finne ut hvilke gavekort trusselaktøren utstedte.

Microsoft trusselinformasjon har utstedt varsler til organisasjoner som er berørt av Storm-0539. Delvis på grunn av denne informasjonsdelingen og samarbeidet, har vi observert en økning i store forhandleres evne til effektivt å avverge Storm-0539-aktivitet de siste månedene.

En infografikk som viser inntrengningssyklusen til Storm-0539, fra «phishing/smishing» etterfulgt av «skyressurstilgang», «innvirkning (dataeksfiltrasjon og gavekorttyveri)» og «informasjon for fremtidige angrep». «Identitet» forblir i sentrum av infografikken.
Storm-0539 inntrengningslivssyklus.

Anbefalinger

  • Tilbakestill passord for brukere som er assosiert med phishing og AiTM-aktivitet: For å tilbakekalle aktive økter, tilbakestill passord umiddelbart. Tilbakekall endringer i MFA-innstillinger som er utført av trusselaktøren på kompromitterte kontoer. Krev å utfordre MFA på nytt for MFA-oppdateringer som standard. Sørg også for at mobile enheter ansatte bruker for å få tilgang til bedriftsnettverk er beskyttet på samme måte.
  • Aktivere null-timers automatisk rensing (ZAP) i Microsoft Defender for Office 365: ZAP finner og utfører automatiske handlinger på e-postene som er en del av phishing-kampanjen basert på identiske elementer av kjente dårlige meldinger.
  • Oppdater identiteter, tilgangsrettigheter og distribusjonlister for å minimere angrepsoverflater: Angripere som Storm-0539 antar at de vil finne brukere med overdreven tilgangsrettigheter som de kan gå på akkord med for stor påvirkning. Ansatt- og teamroller kan ofte endres. Å etablere en regelmessig gjennomgang av privilegier, distribusjonslistemedlemskap og andre attributter kan bidra til å begrense nedfallet av en innledende inntrenging og gjøre inntrengeres arbeid vanskeligere.

Mer informasjon om Storm-0539 og Microsoft Trusselinformasjonsekspertene dedikert til å spore cyberkriminalitet og de siste truslene.

Metode: Øyeblikksbilde og omslagsstatistikk representerer en økning i kundevarslene og observasjoner av trusselaktøren Storm-0539. Disse tallene gjenspeiler en økning i stab og ressurser brukt på å overvåke denne gruppen. I tillegg leverte Azure Active Directory anonymiserte data om trusselaktivitet, for eksempel skadelige e-postkontoer, phishing-e-post og angrepsbevegelser i nettverk. Ytterligere innsikt er fra de 78 billioner daglige sikkerhetssignalene som behandles av Microsoft hver dag, inkludert skyen, i endepunkter, den intelligente kanten og telemetri fra Microsofts plattformer og tjenester, inkludert Microsoft Defender.

Cyber Signals Phishing Trusselaktører

Relaterte artikler

Mer informasjon om ekspertene som sporer Storm-0539 gavekortsvindel

Med bakgrunn som spenner over internasjonale relasjoner, føderal rettshåndhevelse, sikkerhet og myndigheter, tilbyr Microsoft trusselinformasjon-analytikerne Alison Ali, Waymon Ho og Emiel Haeghebaert en rekke unike ferdigheter for å spore Storm-0539, en trusselaktør som spesialiserer seg på tyveri og gave av betalingskort kortsvindel.
Mer informasjon

Å fôre tillitsøkonomien: sosial ingeniørsvindel

Utforsk et digitalt landskap i endring, hvor tillit er både en valuta og en sårbarhet. Oppdag svindeltaktikken med sosial manipulering som cyberangripere bruker mest, og se gjennom strategier som kan hjelpe deg med å utmanøvrere trusler fra sosial manipulering, som har til hensikt å lure mennesker.
Mer informasjon

Endring i taktikk står bak økning i kompromittert bedrifts-e-post

Kompromittering av bedrifts-e-post (BEC) er i fremmarsj nå som cyberkriminelle kan skjule kilden til angrepene, så de er enda mer ondskapsfulle. Finn ut mer om CaaS, og hvordan du bidrar til å beskytte organisasjonen.
Mer informasjon

Følg Microsoft Sikkerhet