Trace Id is missing

Om den växande risken för presentkortsbedrägerier

Ladda ned
Dela
En bärbar dator ur vilken det flyger ut presentkort och kreditkort

Cyber Signals, utgåva 7: I lejonets kula

I en tid där digitala transaktioner och onlineshopping har blivit en integrerad del av vårt dagliga liv finns cyberbrottsligheten hela tiden närvarande som ett hot. Bland dessa hot är present- och betalkortsbedrägeri, som omfattar presentkort från såväl kreditkortsföretag som återförsäljare, ett genomgripande hot som ständigt utvecklas. Brottslingarna använder allt mer sofistikerade metoder för att kompromettera presentkortsportaler innan de omvandlar det hela till kontanter som knappt går att spåra.

I den här utgåvan av Cyber ​​Signals fördjupar vi oss i de taktiker, tekniker och procedurer som hotaktören som Microsoft kallar Storm-0539, även känd som Atlas Lion, använder sig av, hur de genomför sina presentkortsbedrägerier, hur intrikata deras metoder är och vilka konsekvenser detta får för individer och företag och för cybersäkerhetslandskapet i sin helhet.

Storm-0539 har hållit sig relevant genom åren och anpassat sig till det ständigt föränderliga kriminella landskapet. Genom ett labyrintiskt nätverk av krypterade kanaler och underjordiska forum genomför de olagliga aktioner genom att utnyttja tekniska kryphål och skalar upp effekten genom att implementera smarta kampanjer som involverar social manipulering.

Även om många cyberhotaktörer följer minsta motståndets väg mot snabba vinster och fokuserar på skala, så uppvisar Storm-0539 ett tyst och produktivt fokus när det gäller att kompromettera presentkortssystem och transaktioner. Den här angriparen fokuserar obevekligt på presentkortsutgivare genom att anpassa sina tekniker så att de håller jämna steg med de förändringar som sker inom detaljhandeln, betalningsbranschen och andra relaterade branscher.

Vi är alla försvarare.

Historiskt sett så intensifierar Storm-0539 sin attackaktivitet inför stora semesterperioder. Inför sommarlovet 2024, mellan mars och maj, kunde Microsoft observera en ökning på 30 % av intrångsaktiviteten från Storm-0539. Mellan september och december 2023 kunde vi observera en ökning på 60 % av attackaktiviteten, vilket sammanföll med höst- och vinterloven.

  • En ökning på 30 % av intrångsaktiviteten hos Storm-0539, under perioden mars till maj 2024
  • En ökning på 60 % av intrångsaktiviteten hos Storm-0539, under perioden september till december 2024

Angriparna förfinar presentkorts- och betalkortsbedrägerierna

Storm-0539, som opererar från Marocko, är inblandat i olika former av ekonomisk brottslighet, t.ex. presentkortsbedrägerier. Deras tekniker omfattar nätfiske, SMS-fiske, registrering av sina egna enheter i offermiljöer, så att de får permanent åtkomst, och kan utnyttja denna åtkomst till att angripa tredjepartsorganisationer. De registrerar enheter så att uppmaningar om multifaktorautentisering (MFA) kopplade till ett komprometterat offers konto går till angriparens enhet. Genom att registrera en enhet kan de fullständigt kompromettera en identitet och stanna kvar i molnmiljön. 

Den här cyberbrottsgruppen, som har varit aktiv sedan slutet av 2021, representerar en utveckling bland hotaktörerna som innebär att man fokuserar på att attackera betalkortssystemen och deras konton. Tidigare komprometterade angriparna ofta betalkortsdata genom att plantera skadlig programvara i kassasystemen. Men när kassasystemens försvar stärktes anpassade Storm-0539 sina attacktekniker till att kompromettera moln- och identitetstjänster i sina angrepp på presentkortsportaler kopplade till stora återförsäljare, lyxvarumärken och välkända snabbmatsrestauranger.

Historiskt sett är betalnings- och presentkortsbedrägerier förknippade med sofistikerade skadliga program och nätfiskekampanjer. Den här gruppen utnyttjar dock sina djupa kunskaper om molnet för att lära känna organisationernas processer för utfärdande av presentkort, presentkortsportalerna och anställda med tillgång till presentkort.

En attackkedja omfattar ofta följande åtgärder:
  • Med hjälp av medarbetarkataloger och scheman, kontaktlistor och inkorgar för e-post, riktar Storm-0539 in sig på anställdas jobbmobiler och privata mobiler med SMS-fisketexter. 
  • När ett anställds konto hos en angripen organisation väl har infiltrerats, så rör sig angriparna lateralt genom nätverket och försöker identifiera affärsprocessen för presentkort och riktar sig mot komprometterade konton som är kopplade till denna specifika portfölj. 
  • De samlar också in information om virtuella datorer, VPN-anslutningar, SharePoint- och OneDrive-resurser samt Salesforce, Citrix och andra fjärrmiljöer. 
  • Efter att ha fått åtkomst skapar gruppen nya presentkort genom att utnyttja komprometterade personalkonton. 
  • De löser sedan in de värden som är förknippade med dessa kort, säljer presentkorten till andra hotaktörer på den svarta marknaden eller använder pengakurirer för att lösa in presentkorten.
En bild som visar två telefoner med SMS-fiskemeddelanden från Storm-0539 som ser ut att komma från en attackerad medarbetares supportavdelning.
SMS-fiskemeddelanden från Storm-0539 som ser ut att komma från en attackerad medarbetares supportavdelning.

De rekognosceringsresurser och den förmåga att utnyttja molnmiljöer som Storm-0539 besitter liknar det som Microsoft har observerat hos nationalstatsfinansierade hotaktörer, och det visar hur tekniker som populariserats av aktörer inom spionage och geopolitisk verksamhet nu används av ekobrottslingar.

Storm-0539 utnyttjar exempelvis sina kunskaper om molnbaserad programvara, identitetssystem och åtkomstprivilegier för att angripa platsen där presentkorten skapas, snarare än att enbart fokusera på slutanvändaren. Den här aktiviteten är en trend som vi kan se bland ej nationalstatsanknutna grupper som Octo Tempest och Storm-0539, vilka är taktiskt välbevandrade vad gäller molnresurser i ungefär samma grad som avancerade statligt finansierade aktörer.

Storm-0539 kamouflerar sig själva så att de förblir oupptäckta genom att presentera sig som legitima organisationer gentemot molnleverantörerna, så att de får tillgång till temporära program, lagring och andra initiala gratisresurser som de kan använda för sin attackaktivitet.

Som en del av detta arbete skapar de webbplatser som ser ut att representera välgörenhetsorganisationer, djurhärbärgen och andra ideella verksamheter i USA, vanligtvis genom ”typosquatting”, en vilseledande metod som innebär att man registrerar en vanlig felstavning av en organisations domän som sin egen och därigenom kan lura användare att besöka bedrägliga webbplatser och ange personlig information eller jobbrelaterade autentiseringsuppgifter.

To further expand their fraud toolkit, Microsoft has observed Storm-0539 laddar ned legitima kopior av 501(c)(3)-dokument från den amerikanska skattemyndigheten (IRS) från idéella organisationers webbplatser. Försedda med en kopia av ett legitimt 501(c)(3)-dokument och en matchande domän som utger sig vara den ideella organisation för vilken dokumentet utfärdades, så kontaktar de stora molnleverantörer angående den typ av sponsrade eller rabatterade tekniktjänster som ofta ges till ideella organisationer.

Infografik som visar hur Storm-0539 fungerar.
Storm-0539 utnyttjar kostnadsfria provperioder, prenumerationer som betalas efter hand och komprometterade molnresurser. Vi har också observerat att Storm-0539 utger sig för att vara olika legitima idéella organisationer för att därigenom få sponsring som idéell organisation från flera molnleverantörer.

Gruppen skapar också kostnadsfria utvärderingsperioder eller studentkonton på molntjänstplattformar som vanligtvis ger nya kunderna 30 dagars åtkomst. Genom dessa konton skapar de virtuella datorer från vilka de kan starta sina attackåtgärder. Tack vare den skicklighet med vilken Storm-0539 kan kompromettera och skapa en molnbaserad attackinfrastruktur kan de undvika vanliga förskottskostnaderna inom cyberbrottsekonomin, som att betala för värddatorer och servrar, i sin strävan att minimera kostnaderna och maximera effektiviteten.

Microsoft bedömer att Storm-0539 utför omfattande rekognoscering av de federerade identitetstjänsteleverantörerna hos de företag man angriper, så att man på ett övertygande sätt kan efterlikna användarens inloggningsupplevelse, och då inte bara utseendet på AiTM-sidan, utan också användningen av registrerade domäner som närapå matchar legitima tjänster. I andra fall har Storm-0539 komprometterat legitima nyligen registrerade WordPress-domäner för att kunna skapa AiTM-målsidan.

Rekommendationer

  • Tokenskydd och minst privilegierad åtkomst: Skydda mot tokenrepetitionsattacker med hjälp av policyer som binder token till den legitima användarens enhet. Tillämpa principer för minst privilegierad åtkomst på hela teknikstacken, så att den potentiella påverkan av en attack minimeras.
  • Använd en säker presentkortsplattform och implementera bedrägeriskyddslösningar: Överväg att byta till ett system anpassat till att autentisera betalningar. Försäljare kan även minimera förlusterna genom att integrera bedrägeriskyddsfunktioner.
  • MFA med skydd mot nätfiske: Byt till autentisering med skydd mot nätfiske, och som är immun mot olika sorter attacker, t.ex. FIDO2-säkerhetsnycklar.
  • Kräv en säker metod för att ändra lösenord när användarrisknivån är hög: Microsoft Entra MFA måste användas innan en användare kan skapa ett nytt lösenord med tillbakaskrivning av lösenord för att eliminera risken.
  • Utbilda personalen: Företagen bör utbilda anställda i hur man känner igen potentiella presentkortsbedrägerier så att man kan neka misstänkta beställningar.

Rida ut stormen: Skydda sig mot Storm-0539

Presentkort är attraktiva mål för bedragare eftersom presentkort, till skillnad från kredit- eller betalkort, inte har några kundnamn eller bankkonton kopplade till sig. Microsoft har noterat en ökning av Storm-0539-aktivitet med fokus på den här branschen under semestersäsonger. I samband med Memorial Day, Labor Day och Thanksgiving i USA, liksom Black Friday och vinterhelger runt om i världen, har man noterat en ökad aktivitet från gruppen.

Vanligtvis sätter organisationerna en gräns för hur stora kontantvärden som kan utfärdas till ett enskilt presentkort. Om den gränsen exempelvis är 100 000 USD kommer hotaktören att utfärda ett kort på 99 000 USD och sedan skicka presentkortskoden till sig själv och därmed tjäna pengar på det. Deras främsta motivation är att stjäla presentkort och tjäna pengar på att sälja dem online till ett rabatterat pris. Vi har sett några exempel där hotaktören har stulit upp till 100 000 USD per dag hos vissa företag.

Om man vill försvara sig mot sådana attacker och förhindra att den här en får obehörig åtkomst till presentkortsavdelningar, så bör de företag som utfärdar presentkort behandla sina presentkortsportaler som värdefulla högriskmål. De bör övervakas noggrant och kontinuerligt sökas igenom avseende eventuella onormala aktiviteter.

För alla organisationer som skapar eller utfärdar presentkort kan det vara till hjälp om man har implementerat kontroller och saldon som förhindrar snabb åtkomst till presentkortsportaler och andra värdefulla mål, även i sådana fall då ett konto har komprometterats. Övervaka loggar kontinuerligt så att misstänkta inloggningar och andra vanliga initiala åtkomstvektorer som förlitar sig på kompromettering av molnidentiteter kan identifieras och implementera principer för villkorsstyrd åtkomst som begränsar inloggningar och flaggar riskfyllda inloggningar.

Organisationer bör också överväga att komplettera MFA med principer för villkorsstyrd åtkomst där autentiseringsbegäranden utvärderas med hjälp av ytterligare identitetsdrivna signaler som IP-adressinformation, enhetsstatus eller annat.

En annan taktik som kan bidra till att stävja dessa attacker är en kundverifieringsprocess vid köp av domäner. Regler och leverantörspolicyer kanske inte alltid kan förhindra skadlig typosquatting runt om i världen, vilket innebär att dessa vilseledande webbplatser kan förbli populära källor för skalade cyberattacker. Verifieringsprocesser vid skapande av domäner kan bidra till att stävja att fler webbplatser skapas enbart i syfte att förleda brottsoffer.

Förutom att Storm-0539 använder sig av vilseledande domännamn, så har Microsoft även noterat att de använder legitima företagsinterna e-postlistor för att sprida nätfiskemeddelanden när de fått fotfäste i ett företag och kan manipulera dess distributionslistor och övrig affärspraxis.

Nätfiske genom en giltig distributionslista lägger inte bara till ytterligare ett lager av äkthet till det skadliga innehållet, utan det hjälper även till att finslipa inriktningen av innehållet till fler individer tack vare tillgång till referenser, relationer och annan information som Storm-0539 förlitar sig på för att vinna såväl uthållighet som räckvidd.

När användare klickar på länkar som finns i e-postmeddelanden med nätfiske eller textmeddelanden, så omdirigeras de till en AiTM-nätfiskesida där autentiseringsuppgifter och sekundär autentiseringstoken kan stjälas. Företagen uppmuntras att lära sina anställda hur SMS-fiske/nätfiskebedrägerier fungerar och hur man identifierar dem och rapporterar dem.

Det är viktigt att betona att till skillnad från de störiga hotaktörer som använder sig av utpressningstrojaner för att sedan kryptera och stjäla data, varefter de idkar utpressning för att få dig att betala, så glider Storm-0539 omkring i en molnmiljö där de bedriver rekognosceringsarbete och missbrukar moln- och identitetsinfrastrukturen för att uppnå sina slutmål.

Storm-0539-verksamheten ger ett övertygande intryck eftersom hotaktören använder sig av legitima komprometterade e-postmeddelanden och efterapar legitima plattformar som används av det angripna företaget. Vissa företag kan vinna tillbaka sina presentkortsförluster. Det kräver dock en grundlig utredning som kan fastställa vilka presentkort hotaktören har utfärdat.

Microsoft Threat Intelligence har skickat meddelanden till organisationer som berörs av Storm-0539. Delvis på grund av detta informationsutbyte och samarbete har vi kunnat observera en ökning av de större återförsäljarnas förmåga att effektivt ha kunnat avvärja Storm-0539-aktivitet under de senaste månaderna.

Infografik som visar Storm-0539s intrångslivscykel, vilken börjar med ”Nätfiske/SMS-fiske”, följt av ”Molnresursåtkomst”, ”Påverkan (dataexfiltrering och presentkotsstölder)” och ”Information för framtida attacker”. ”Identitet” syns i mitten av grafiken.
Storm-0539s intrångslivscykel.

Rekommendationer

  • Återställ lösenord för användare som drabbats av nätfiske och AiTM-aktivitet: Om du vill återkalla några aktiva sessioner måste du återställa lösenorden omedelbart. Återkalla alla ändringar av MFA-inställningarna som angriparen har gjort på de komprometterade kontona. Kräv återutmaning av MFA för MFA-uppdateringar som standard. Se även till att alla mobila enheter som de anställda använder för att få åtkomst till företagsnätverken är lika skyddade.
  • Aktivera automatisk rensning i Microsoft Defender för Office 365: Vid automatisk rensning identifieras de e-postmeddelanden som är en del av nätfiskekampanjen baserat på identiska delar av kända skadliga meddelanden, och automatiska åtgärder vidtas.
  • Uppdatera identiteter, åtkomstbehörigheter och distributionslistor så att attackytorna minimeras: Angripare som Storm-0539 antar att de kommer att hitta användare med överdrivna åtkomstbehörigheter, vilka de kan kompromettera med enorm påverkan som följd. Medarbetar- och teamroller kan ofta växla. Att upprätta en regelbunden granskning av privilegier, medlemskap i distributionslistor och andra attribut kan bidra till att begränsa följderna av ett initialt intrång och göra inkräktarnas arbete svårare.

Läs mer om Storm-0539 och de Microsoft Threat Intelligence-experter som är dedikerade till att spåra cyberbrott och de senaste hoten.

Metodik: Ögonblicksbild och täckningsdata representerar en ökning av våra kundmeddelanden och observationer av hotaktören Storm-0539. Dessa siffror återspeglar den ökning av personalinsatser och resurser som har ägnats åt att övervaka den här gruppen. Azure Active Directory tillhandahöll anonymiserade data om hotaktivitet, såsom skadliga e-postkonton, nätfiske via e-post och angriparnas rörelser i nätverken. Ytterligare insikter kommer från de 78 biljoner dagliga säkerhetssignaler som bearbetas av Microsoft varje dag, inklusive molnet, slutpunkter, den intelligenta nätverksgränsen och telemetri från Microsofts plattformar och tjänster, däribland Microsoft Defender.

Cyber Signals Nätfiske Hotaktörer

Relaterade artiklar

Möt experterna som spårar presentkortsbedrägerier av Storm-0539

Tack vare en bakgrund inom internationella relationer, federal brottsbekämpning, säkerhet och regering, kan Microsoft Threat Intelligence-analytikerna Alison Ali, Waymon Ho och Emiel Haeghebaert erbjuda unika expertkunskaper för att spåra upp Storm-0539, en hotaktör specialiserad på stöld av betalkort och presentkortsbedrägerier.
Läs mer

Livnär sig på förtroendeekonomin: bedrägeri med social manipulering

Utforska ett digitalt landskap under ständig utveckling där tillit både är hårdvaluta och sårbarhet. Upptäck de metoder för social manipulering som cyberkriminella använder mest, och gå igenom strategier som kan hjälpa dig att identifiera och utmanövrera hot via social manipulering som har för avsikt att lura människor.
Läs mer

Nya tillvägagångssätt ger upphov till ett ökat antal e-postintrång hos företag

Kompromettering av företags e-post (BEC) är ett växande hot nu när cyberbrottslingarna kan dölja attackernas källa så att de blir ännu mer skadliga. Läs mer om CaaS och hur du kan skydda din organisation.
Läs mer

Följ Microsoft Security