Trace Id is missing

Šta se krije u sve većem riziku od prevara sa poklon karticama

Preuzmi
Deljenje
Laptop iz kojeg izleću poklon kartice i kreditne kartice

Cyber Signals, 7. izdanje: Pogled u lavlju jazbinu

Živimo u doba u kojem su digitalne transakcije i kupovina na mreži postali sastavni deo svakodnevice i suočavamo se sa pretnjama kibernetičkog kriminala. Posebnu pretnju predstavljaju prevare sa poklon i platnim karticama, uključujući kako poklon kartice preduzeća za kreditne kartice tako i one koje izdaju prodavci, jer su rasprostranjene i neprekidno se razvijaju. Kriminalci koriste sve složenije načine rada kojima ugrožavaju portale sa poklon karticama, sve dok ih ne pretvore u gotovinu koja netragom nestaje.

U ovom izdanju biltena Cyber Signals obrazložene su taktike, tehnike i procedure zlonamernog aktera u oblasti kibernetičkog kriminala kojeg Microsoft naziva Storm-0539, poznatog i kao Atlas Lion, kao i njegovim aktivnostima na polju krađe poklon kartica, složenosti načina rada, posledica po pojedince, preduzeća i okruženje u kojem se odvija kibernetička bezbednost.

Grupa Storm-0539 godinama održava svoj značaj tako što se neprekidno prilagođava promenljivim uslovima kriminalnog okruženja. Uspešno prolazeći kroz zamršenu mrežu šifrovanih kanala i podzemnih foruma, ova grupa rukovodi nezakonitim poduhvatima tako što koristi tehnološke propuste i primenjuje pametne kampanje društvenog inženjeringa kako bi povećala domet svojih operacija.

Dok mnogi zlonamerni akteri u oblasti kibernetičkog kriminala radi brzog sticanja dobiti koriste liniju manjeg otpora i fokusiraju se na obim, kod grupe Storm-0539 vidimo tiho i produktivno fokusiranje na ugrožavanje sistema i transakcija sa poklon karticama. Ovaj napadač neumorno cilja izdavaoce poklon kartica tako što prilagođava tehnike i prati tempo svih promena u maloprodaji, plaćanju, kao i drugim oblastima rada.

Svi učestvujemo u odbrani.

Godinama unazad, Storm-0539 pojačava aktivnost napada uoči velikih praznika. Od marta do maja 2024. godine, uoči sezone letnjih godišnjih odmora, korporacija Microsoft je uočila da je grupa Storm-0539 za 30% povećala aktivnost upada u sisteme. Od septembra do decembra 2023. godine, u periodu koji se poklapa sa jesenjim i zimskim praznicima, zapazili smo porast aktivnosti napada od 60%.

  • 30 procenata povećanja aktivnosti upada grupe Storm-0539 od marta do maja 2024. godine
  • 60 procenata povećanja aktivnosti upada grupe Storm-0539 od septembra do decembra 2024. godine

Napadači poboljšavaju načine krađe poklon i platnih kartica

Storm-0539 obavlja aktivnosti iz Maroka i učesnik je finansijskih zločina kao što je prevara sa poklon karticama. Služe se tehnikama kao što su phishing, smishing, registrovanje njihovih sopstvenih uređaja u okruženju žrtava radi dobijanja neprekidnog pristupa, kao i korišćenje pristupa ciljanim organizacijama trećih strana. Uređaje registruju tako da se zahtevi za višestruku potvrdu identiteta (MFA) preusmeravaju sa ugroženog naloga žrtve na uređaj napadača. Registrovanje uređaja omogućava im da u potpunosti ugroze identitet i zadrže se u okruženju oblaka. 

Aktivna od kraja 2021. godine, ova grupa u oblasti kibernetičkog kriminala pokazuje kako se zlonamerni akteri sve više fokusiraju na napade na račune i sisteme platnih kartica. Napadači su ranije obično ugrožavali podatke o platnim karticama malverom na prodajnom mestu (POS). Ipak, sa jačanjem odbrane na prodajnim mestima, grupa Storm-0539 u svojim kriminalnim aktivnostima mora da prilagođava tehnike napada kako bi uspela da ugrozi usluge oblaka i identiteta na portalima sa poklon karticama koji su povezani sa velikim maloprodajama, luksuznim brendovima i poznatim restoranima brze hrane.

Godinama unazad, prevare sa platnim i poklon karticama povezane su sa složenim kampanjama u kojima se koristi malver i phishing. Međutim, ova grupa koristi svoje temeljno znanje o oblaku kako bi u organizaciji sprovodila izviđanje procesa izdavanja poklon kartica, portala sa poklon karticama, kao i onih zaposlenih koji imaju pristup poklon karticama.

Lanac napada obično se sastoji od sledećih radnji:
  • Pomoću direktorijuma i rasporeda zaposlenih, spiskova sa podacima o kontakt osobama i prijemnih sandučića e-pošte, Storm-0539 usmerava napade na lične i poslovne mobilne uređaje zaposlenih koristeći tekstualne poruke za smishing. 
  • Kada uspeju da prodru u nalog zaposlenog u organizaciji koja predstavlja metu napada, napadači se kreću bočno u pokušaju da otkriju poslovni proces u vezi sa poklon karticama, a zatim se okreću ugroženim nalozima povezanim sa tim posebnim portfoliom. 
  • Grupa se bavi i prikupljanjem informacija o virtuelnim mašinama, VPN vezama, SharePoint i OneDrive resursima, kao i Salesforce, Citrix i drugim udaljenim okruženjima. 
  • Kada dobije pristup, grupa kreira nove poklon kartice koristeći ugrožene naloge zaposlenih. 
  • Nakon toga otkupljuju vrednost povezanu sa tim karticama, prodaju poklon kartice drugim zlonamernim akterima na crnom tržištu ili koriste tzv. „mazge za prenos novca“ kako bi unovčili poklon kartice.
Slika koja prikazuje dva telefona sa Storm-0539, koji u SMS porukama oponaša tehničku podršku kompanije u kojoj je ciljani pojedinac zaposlen.
Storm-0539 krade identitet putem SMS poruka, tako što oponaša tehničku podršku kompanije u kojoj je ciljani pojedinac zaposlen.

Izviđanje i sposobnost grupe Storm-0539 da iskoristi okruženje oblaka slični su onome što Microsoft zapaža kod zlonamernih aktera pod pokroviteljstvom nacionalne države, što pokazuje kako tehnike koje popularišu špijunažu i napadači fokusirani na geopolitičku situaciju u današnje vreme utiču na finansijski motivisane kriminalce.

Na primer, grupa Storm-0539 koristi znanje koje ima o softveru zasnovanom na tehnologiji oblaka, sisteme identiteta i privilegije pristupa kako bi usmerila napad na lokaciju na kojoj se kreiraju poklon kartice, umesto da se fokusira isključivo na krajnjeg korisnika. Ta aktivnost predstavlja trend i viđamo je među grupama koje ne spadaju u grupe nacionalne države, kao što su Octo Tempest i Storm-0539, koje su dobro upućene u resurse oblaka baš kao i napredni akteri koje sponzoriše država.

Da bi se uspešno prikrila i da ne bi bila otkrivena, grupa Storm-0539 se dobavljačima usluga u oblaku predstavlja kao legitimna organizacija, sa ciljem preuzimanja privremene aplikacije, skladišta i drugih početnih besplatnih resursa za obavljanje aktivnosti napada.

U sklopu tih pokušaja, grupa kreira veb sajtove koje lažno predstavlja kao dobrotvorne organizacije, skloništa za životinje i druge neprofitne organizacije u Sjedinjenim Američkim Državama, obično se služeći namernim omaškama u kucanju naziva, obmanjujućom praksom koja podrazumeva pogrešno napisan domen organizacije kako bi naveli korisnike da posete lažne sajtove i unesu lične podatke ili profesionalne akreditive.

Korporacija Microsoft je uočila da grupa Storm-0539, radi dodatnog proširenja kompleta alatki za prevaru, sa javnih veb sajtova neprofitnih organizacija preuzima legitimne kopije pisama 501(c)(3) koje je objavila Služba unutrašnjih poslova (IRS). Opremljena kopijom legitimnog pisma 501(c)(3) i odgovarajućim domenom koji predstavlja domen neprofitne organizacije za koju se lažno predstavlja a za koju je pismo izdato, grupa se obraća velikim dobavljačima usluga u oblaku radi dobijanja tehnoloških usluga koje se sponzorišu ili nude po sniženim cenama, a često se pružaju neprofitnim organizacijama.

Informativna grafika koja prikazuje način na koji Storm-0539 operiše.
Storm-0539 operiše kroz besplatne probne verzije, pripejd pretplate i ugrožene resurse u oblaku. Takođe smo primetili da Storm-0539 oponaša legitimne neprofitne organizacije kako bi dobio neprofitna sponzorstva od više snabdevača usluga u oblaku.

Grupa kreira i naloge za besplatne probne verzije ili studente na platformama za usluge u oblaku, koje novim korisnicima obično omogućavaju pristup u trajanju od 30 dana. U okviru tih naloga grupa zatim kreira virtuelne mašine koje služe pokretanju ciljanih operacija. Veština grupe Storm-0539 u ugrožavanju i kreiranju infrastrukture napada zasnovane na oblaku omogućava joj da izbegne uobičajene prethodne troškove u ekonomiji kibernetičkog kriminala, poput plaćanja za host i servere, budući da nastoje da smanje troškove a povećaju efikasnost.

Microsoft procenjuje da grupa Storm-0539 u ciljanim preduzećima sprovodi temeljno izviđanje saveznih dobavljača usluga identiteta kako bi što ubedljivije oponašala funkciju prijavljivanja korisnika, uključujući ne samo izgled stranice koja predstavlja posrednički napad (AiTM), već i korišćenje registrovanih domena veoma nalik legitimnim uslugama. U nekim drugim slučajevima, grupa Storm-0539 je ugrozila legitimne nedavno registrovane WordPress domene kako bi izradila odredišnu stranicu za AiTM.

Preporuke

  • Zaštita tokena i pristup sa najnižim nivoom privilegija: Koristite smernice za zaštitu od napada tehnikom ponavljanja tokena tako što ćete povezati token sa legitimnim uređajem korisnika. Primenite principe pristupa sa najnižim nivoom privilegija na čitav niz tehnologija kako biste smanjili potencijalni uticaj napada.
  • Usvojite bezbednu platformu za poklon kartice i primenite rešenja za zaštitu od prevara: Razmislite o prelasku na sistem koji je dizajniran za potvrdu plaćanja. Trgovci mogu da integrišu funkcije za zaštitu od prevara radi smanjenja gubitaka.
  • Višestruka potvrda identiteta koja je otporna na phishing: Prelazak na akreditive otporne na phishing koji odolevaju raznim vrstama napada, kao što su FIDO2 bezbednosni ključevi.
  • Zatražite bezbednu promenu lozinke kada je nivo rizika po korisnike visok: Microsoft Entra višestruka potvrda identiteta zahteva se pre nego što korisnik bude u mogućnosti da kreira novu lozinku pomoću povratne lozinke kako bi se otklonio rizik.
  • Obučite zaposlene: Trgovci treba da obučavaju zaposlene tako da mogu da prepoznaju potencijalne prevare sa poklon karticama i da odbijaju sumnjive porudžbine.

Kako što lakše prebroditi krizu: Odbrana od napada grupe Storm-0539

Poklon kartice predstavljaju privlačne mete za prevaru, jer za razliku od kreditnih ili debitnih kartica ne sadrže imena klijenata niti brojeve bankovnih računa. Microsoft zapaža porast aktivnosti grupe Storm-0539 fokusiranih na te oblasti rada u periodima uoči i tokom praznika. Dan sećanja, Praznik rada i Dan zahvalnosti u Sjedinjenim Američkim Državama, kao i Crni petak i zimski praznici koji se slave širom sveta, obično su povezani sa povećanom aktivnošću grupe.

Organizacije obično postavljaju ograničenje na gotovinsku vrednost koja se može izdati po pojedinačnoj poklon kartici. Na primer, ako ograničenje iznosi 100.000 USD, zlonamerni akter će izdati karticu za 99.000 USD, a zatim će sebi poslati šifru za poklon karticu i unovčiti je. Njihova primarna motivacija je da ukradu poklon kartice i ostvare dobit tako što će ih prodati na mreži po sniženoj ceni. Viđali smo i takve primere da je u nekim preduzećima zlonamerni akter krao i po 100.000 USD dnevno.

Da bi se zaštitile od takvih napada i sprečile ovu grupu da dobije neovlašćen pristup odeljenjima za poklon kartice, preduzeća koja izdaju poklon kartice treba da se odnose prema portalima sa poklon karticama kao prema metama visokog rizika. Treba ih pažljivo nadgledati i neprekidno nadzirati radi otkrivanja bilo kakve anomalne aktivnosti.

Svakoj organizaciji koja kreira i izdaje poklon kartice može koristiti primena provere i bilansa za sprečavanje brzog pristupa portalima sa poklon karticama i drugim potencijalnim značajnim metama, čak i ako je nalog već ugrožen. Neprestano nadgledajte evidencije kako biste identifikovali sumnjiva prijavljivanja i druge uobičajene vektore za početni pristup koji se oslanjaju na ugrožavanje identiteta u oblaku i primenite smernice za uslovni pristup koje ograničavaju prijavljivanja i označavaju rizične prijave.

Organizacije treba da razmotre i uvođenje smernica za uslovni pristup kao dopune višestrukoj potvrdi identiteta, jer se na taj način zahtevi za potvrdu identiteta procenjuju korišćenjem dodatnih signala na osnovu identiteta, kao što su, između ostalog, informacije o lokaciji IP adrese ili status uređaja.

Još jedna taktika koja može da olakša suzbijanje napada je proces verifikacije korisnika za kupovinu domena. Propisi i smernice dobavljača možda nisu u stanju da u potpunosti spreče zlonamerne omaške u kucanju širom sveta, što znači da obmanjujući veb sajtovi mogu i dalje biti popularni za skaliranje kibernetičkih napada. Procesi verifikacije za kreiranje domena mogu olakšati sprečavanje kreiranja većeg broja sajtova koji služe isključivo za obmanjivanje žrtava.

Korporacija Microsoft je uočila da grupa Storm-0539 osim obmanjujućih naziva domena koristi i legitimne interne liste sa adresama kako bi širila phishing poruke kada stvori uporište u preduzeću i upozna se sa listama distribucije i drugim normama poslovanja.

Ne radi se samo o tome da phishing putem važećih lista distribucije dodaje još jedan sloj zlonamernom sadržaju, već omogućava i uspešnije ciljanje za slanje sadržaja većem broju osoba sa pristupom akreditivima, odnosima i informacijama na koje se Storm-0539 oslanja radi zadobijanja postojanosti i dosega.

Kada korisnici kliknu na veze koje se nalaze u phishing e-porukama ili tekstualnim porukama, preusmeravaju se na phishing stranicu za AiTM radi krađe akreditiva i snimanje sekundarnog tokena za potvrdu identiteta. Prodavce u maloprodaji treba podsticati da obučavaju osoblje o načinima na koje funkcionišu smishing/phishing prevare, kako da ih identifikuju i kako da ih prijavljuju.

Važno je istaći da za razliku od bučnih zlonamernih aktera ransomver pretnjama, koji šifruju i ukradu podatke a zatim vas prisile da platite, Storm-0539 se neprimetno kreće po okruženju u oblaku, tiho prikuplja podatke za izviđanje i zloupotrebljava infrastrukturu kako oblaka tako i identiteta radi postizanja krajnjih ciljeva.

Operacije grupe Storm-0539 su efikasne, jer akter koristi legitimne ugrožene adrese e-pošte i lažirane legitimne platforme koje koristi preduzeće na koje je usmeren napad. Neka preduzeća su u mogućnosti da nadoknade gubitke sa poklon karticama. To je postupak koji zahteva iscrpnu istragu kako bi se utvrdilo koje poklon kartice je izdao zlonamerni akter.

Služba Microsoft informacije o pretnjama poslala je obaveštenja organizacijama kojima je grupa Storm-0539 nanela štetu. Delimično i zbog te razmene informacija i saradnje, zapazili smo da se tokom poslednjih nekoliko meseci povećala sposobnost velikih trgovaca da se uspešno zaštite od aktivnosti grupe Storm-0539.

Informativna grafika koja prikazuje životni ciklus Storm-0539 upada, koji počinje sa „phishingom/smishingom“ i nastavlja se „pristupom resursima u oblaku“, „udarom (izvlačenjem podataka i krađom poklon kartice)“ i „informacijama za buduće napade“. „Identitet“ ostaje u centru grafike.
Životni ciklus Storm-0539 upada.

Preporuke

  • Ponovo postavite lozinke korisnicima koji su povezani sa phishing i AiTM aktivnostima: Da biste opozvali sve aktivne sesije, odmah ponovo postavite lozinke. Opozovite sve promene koje je u postavkama višestruke potvrde identiteta izvršio napadač na ugrožene naloge. Zatražite ponovnu proveru višestruke potvrde identiteta da biste ispravke za MFA postavili kao podrazumevane. Obavezno proverite da li su mobilni uređaji koje zaposleni koriste za pristup korporativnim mrežama zaštićeni na sličan način.
  • Omogućite automatsko čišćenje u zakazano vreme (ZAP) u usluzi Microsoft Defender za Office 365: Automatsko čišćenje u zakazano vreme pronalazi i preduzima automatizovane radnje na e-porukama koje se nalaze u sklopu phishing kampanje na osnovu identičnih elemenata već poznatih neželjenih poruka.
  • Ažurirajte identitete, privilegije za pristup i liste distribucije kako biste smanjili površine napada: Napadači poput grupe Storm-0539 računaju na to da pronađu korisnike sa privilegijama visokog nivoa pristupa koje mogu ugroziti radi ostvarenja veoma velikog uticaja. Uloge zaposlenih i timova mogu se učestalo menjati. Uspostavljanje redovnog pregleda privilegija, članstva na listama distribucije i drugih atributa može smanjiti stepen posledica početnog upada i otežati posao uljezu.

Saznajte više o grupi Storm-0539 i stručnjacima za Microsoft informacije o pretnjama koji su posvećeni praćenju kibernetičkog kriminala i najnovijih pretnji.

Metodologija: Snimak izveštaja i statistički podaci sa naslovnice predstavljaju povećanje broja obaveštenja i zapažanja naših klijenata o zlonamernom akteru Storm-0539. Ti brojevi odražavaju povećanje u broju osoblja i resursa utrošenih na praćenje ove grupe. Usluga Azure Active Directory obezbedila je anonimizovane podatke o aktivnostima pretnji, kao što su zlonamerni nalozi e-pošte, phishing e-poruke, kao i kretanje napadača unutar mreža. Dodatni uvidi dobijeni su iz 78 triliona dnevnih bezbednosnih signala koje Microsoft obrađuje svakog dana, uključujući oblak, krajnje tačke, inteligentnu ivicu, kao i telemetriju sa Microsoft platformi i usluga, uključujući Microsoft Defender.

Cyber Signals Phishing Zlonamerni akteri

Srodni članci

Upoznajte stručnjake koji prate Storm-0539, grupu koja se bavi prevarama sa poklon karticama

Analitičari službe Microsoft informacije o pretnjama Alison Ali, Vejmon Ho i Emiel Heghebert, sa iskustvom u međunarodnim odnosima, federalnim organima za sprovođenje zakona, bezbednosti i državnoj upravi, nude niz jedinstvenih veština za praćenje grupe Storm-0539, zlonamernog aktera specijalizovanog za krađu platnih kartica i prevare sa poklon karticama.
Saznajte više

Iskorišćavanje ekonomije poverenja: prevara putem društvenog inženjeringa

Istražite razvoj digitalnog okruženja u kojem je poverenje istovremeno i valuta i ranjivost. Pronađite taktike prevare putem društvenog inženjeringa koje kibernetički napadači najčešće koriste i pregledajte strategije koje će vam omogućiti da lakše identifikujete i nadmudrite pretnje u oblasti društvenog inženjeringa osmišljene sa ciljem manipulisanja ljudskom prirodom.
Saznajte više

Promena taktike podstiče nagli porast u ugrožavanju poslovne e-pošte

Ugrožavanje poslovne e-pošte (BEC) je u porastu sada kada kibernetički kriminalci imaju mogućnost da prikriju izvore napada sa ciljem da budu još opasniji. Saznajte više o modelu CaaS i načinima da zaštitite organizaciju.
Saznajte više

Pratite Microsoft bezbednost