Trace Id is missing

Giderek artan hediye kartı dolandırıcılığı riskinin içinden

İndir
Paylaş
İçinden hediye kartları ve kredi kartları fırlayan bir dizüstü bilgisayar

Siber Sinyaller Sayı 7: Aslanın ininde

Dijital işlemler ve çevrimiçi alışverişin günlük hayatın bir parçası olduğu çağımız, siber suç tehdidini de beraberinde getiriyor. Bunlardan biri olan ve hem kredi kartı şirketleri hem de perakendecilerden gelen hediye kartlarını kapsayan hediye ve ödeme kartı dolandırıcılığı ise oldukça yaygın ve gelişmekte olan bir tehdit. Suçlular, hediye kartı portallarını ele geçirmek ve izlenmesi neredeyse imkansız nakit paraya çevirmek için her geçen gün daha karmaşık yöntemler kullanıyorlar.

Siber Sinyaller’in bu sayısında Microsoft’un Storm-0539 adını verdiği, Atlas Lion olarak da bilinen bir siber suç tehdit aktörünün taktikleri, teknikleri ve prosedürlerini; bu aktörün hediye kartı hırsızlığı alanındaki etkinliklerini, yöntemlerinin karmaşıklığını ve bireyler, işletmeler ve siber güvenlik ortamındaki etkilerini ele alacağız.

Storm-0539, sürekli olarak değişen suç ortamına uyum sağlayarak yıllar boyunca güncelliğini korumayı başardı. Şifreli kanallar ve yer altı forumlarından oluşan labirent benzeri bir ağ sayesinde teknolojik boşluklardan yararlanıp operasyonlarını ölçeklendirmek için akıllı sosyal mühendislik kampanyaları uygulayan grup, yasadışı girişimler düzenliyor.

Siber suç tehdit aktörlerinin çoğu, hızlıca kar elde edebilmek için en kolay yolu seçer ve ölçeğe odaklanırken Storm-0539, hediye kartı sistemlerini ele geçirmek ve işlemleri tehlikeye atmak için sessiz ve üretken bir yol izler. Perakende, ödeme ve ilgili diğer sektörlerdeki değişikliklere ayak uydurmak için tekniklerini daima güncelleyen bu saldırgan, hediye kartı oluşturan şirketleri durmaksızın hedef almaktadır.

Biz ise savunma tarafındayız.

Geçmişe bakıldığında Storm-0539’un, önemli tatil sezonları öncesinde saldırı etkinliğini artırdığı görülebilir. 2024 yılının yaz tatili öncesine denk gelen Mart ve Mayıs ayları arasında Microsoft, Storm-0539’un saldırı etkinliğinde %30’luk bir artış gözlemledi. Sonbahar ve kış tatillerine denk gelen Eylül ve Aralık 2023 arasında ise saldırı etkinliğinde %60’lık bir artış gözlemledik.

  • Mart ve Mayıs 2024 arasında Storm-0539’un saldırı etkinliğinde yüzde 30 artış
  • Eylül ve Aralık 2023 arasında Storm-0539’un saldırı etkinliğinde yüzde 60 artış

Saldırganlar hediye ve ödeme kartı soygunlarını geliştiriyor

Fas üzerinden faaliyet gösteren Storm-0539, hediye kartı dolandırıcılığı gibi mali suçlarla anılıyor. Kullandıkları yöntemler arasında ise kimlik avı, SMS ile kimlik avı, kalıcı erişim elde etmek üzere kendi cihazlarını kurban ortamlarına kaydetme ve üçüncü taraf kuruluşları hedeflemek için erişimden yararlanma gibi taktikler mevcut. Cihazlarını kaydederek, ele geçirdikleri hesapla ilişkili çok faktörlü kimlik doğrulaması (MFA) istemlerinin, saldırganın cihazına iletilmesini sağlıyorlar. Cihazı kaydetmek, bir kimliği tamamen ele geçirmelerine ve bulut ortamında kalıcı olmalarına yardımcı oluyor. 

2021 yılının sonlarından itibaren etkin olan bu siber suç grubu, odak noktası ödeme kartı hesap ve sistemlerine saldırmak olan tehdit aktörlerinin evrimini temsil ediyor. Geçmişte saldırganlar, ödeme kartı verilerini genellikle satış noktasındaki (POS) kötü amaçlı yazılımlar ile ele geçiriyorlardı. Ancak sektörler POS savunmalarını güçlendirdikçe Storm-0539 da saldırı tekniklerini; büyük perakendeciler, lüks markalar ve iyi bilinen fast-food restoranları ile bağlantılı hediye kartı portallarını suç amacıyla hedef almak üzere bulut ve kimlik hizmetlerini ele geçirecek şekilde güncelledi.

Ödeme ve hediye kartı dolandırıcılığı tarihsel olarak karmaşık kötü amaçlı yazılımlar ve kimlik avı kampanyaları ile ilişkilendirilir. Fakat bu grup; bir kurumun hediye kartı oluşturma süreçlerini, hediye kartı portallarını ve hediye kartına erişimi olan çalışanlarını keşfetmek için sahip olduğu kapsamlı bulut bilgisinden yararlanıyor.

Saldırı zinciri genel olarak aşağıdaki eylemleri içerir:
  • Storm-0539; çalışan dizinlerini ve programlarını, kişi listelerini ve e-posta gelen kutularını kullanarak çalışanların kişisel telefonları ve iş telefonları üzerinden SMS ile kimlik avı yapmaya çalışır. 
  • Hedef alınan kurumdaki bir çalışanın hesabı ele geçirildikten sonra saldırganlar, ağda yatay hareket ederek hediye kartı iş sürecini anlamaya çalışır ve bu portföye bağlı olan risk altındaki diğer hesaplara yönelir. 
  • Ayrıca sanal makineler, VPN bağlantıları, SharePoint ve OneDrive kaynakları ve Salesforce, Citrix ve diğer uzak ortamlar hakkında da bilgi toplarlar. 
  • Grup, erişim elde ettikten sonra ele geçirilen çalışan hesaplarını kullanarak yeni hediye kartları oluşturur. 
  • Ardından bu kartlara yüklenen miktarı kullanır, hediye kartlarını kara borsada diğer tehdit aktörlerine satar ya da nakde çevirmek için para kuryelerinden yararlanırlar.
Şirketin yardım masası kimliğine bürünen Storm-0539'un hedef alınan bir çalışana gönderdiği SMS ile kimlik avı mesajlarının bulunduğu iki telefonu gösteren bir görüntü.
Hedef alınan bir çalışanın şirket yardım masası kimliğine bürünen Storm-0539'a ait SMS ile kimlik avı faaliyetleri.

Storm-0539’un, Microsoft’un devlet destekli tehdit aktörlerinde gözlemledikleri ile benzerlik gösteren, bulut ortamlarından yararlanma ve keşif becerisi; casusluk ve jeopolitik odaklı saldırganların popüler hale getirdiği tekniklerin artık motivasyonu finansal olan suçluları da etkilediğini gösteriyor.

Örneğin Storm-0539, sadece son kullanıcıya odaklanmak yerine hediye kartlarının oluşturulduğu yeri hedef almak için bulut tabanlı yazılım, kimlik sistemleri ve erişim ayrıcalıkları hakkındaki bilgilerinden yararlanır. Bu etkinlik, bulut kaynaklarında taktiksel anlamda devlet destekli gelişmiş aktörler kadar bilgili olan ve devlet tarafından desteklenmeyen Octo Tempest ve Storm-0539 gibi gruplar arasında gördüğümüz bir eğilim.

Storm-0539, kamufle olmak ve tespit edilmemek için kendini bulut sağlayıcılarına meşru bir kurum gibi göstererek saldırı etkinliği için geçici olarak uygulama, depolama ve diğer ücretsiz kaynaklara erişim elde eder.

Bu çabanın bir parçası olarak yazım hatası yöntemi ile Birleşik Devletler’de hayır kurumlarını, hayvan barınaklarını ya da diğer kar amacı gütmeyen kuruluşları taklit eden web siteleri oluştururlar. Bu yöntemde bireyler, bir kuruluşun etki alanı adının sık yapılan bir yazım hatasıyla yazılmış versiyonunu kendi adlarına kaydettirerek kullanıcıların bu sahte siteyi ziyaret etmesini ve kişisel bilgilerini ya da iş bilgilerini girmelerini sağlarlar.

Microsoft, Storm-0539’un, dolandırıcılık araç setini daha da genişletmek için kar amacı gütmeyen kuruluşların kamuya açık web siteleri üzerinden, Internal Revenue Service (IRS) tarafından hazırlanan 501(c)(3) mektuplarının kopyalarını indirdiğini gözlemledi. Grup, meşru bir 501(c)(3) mektubu kopyası ve mektubun adına yazıldığı kar amacı gütmeyen kuruluşu taklit eden bir etki alanına sahip olduktan sonra, kar amacı gütmeyen kuruluşlara sunulan sponsorluklardan ve indirimli teknoloji hizmetlerinden yararlanmak için büyük bulut sağlayıcıları ile iletişime geçiyor.

Storm-0539 faaliyetlerinin işleyişini gösteren bilgi görseli.
Storm-0539 ücretsiz deneme sürümlerinden, kullandıkça öde türü aboneliklerden ve kontrolü ele geçirilmiş kaynaklardan istifade ederek faaliyet gösteriyor. Storm-0539'un, birçok farklı bulut hizmeti sağlayıcısından kar amacı gütmeyen kuruluş sponsorluğu almak amacıyla birçok meşru STK'nın kimliğine büründüğünü gözlemledik.

Grup, bulut hizmeti platformlarında genellikle yeni müşterilere 30 günlük erişim sunan ücretsiz denemeler ve öğrenci hesapları da oluşturuyor. Bu hesapların içinde de hedefli operasyonlarını yürütecekleri sanal makineler oluşturuyorlar. Storm-0539’un bulut tabanlı saldırı altyapısı oluşturma ve ele geçirebilme becerisi, maliyeti en aza indirip verimliliği en üst düzeye çıkarmak isteyen grubun ana bilgisayar ve sunucular için ödeme yapmak gibi siber suç ekonomisinde yaygın olan maliyetlerden kurtulmasını sağlıyor.

Microsoft, Storm-0539’un, hedef aldığı şirketlerdeki şirket dışı kimlik hizmeti sağlayıcılarında, kullanıcı oturum açma deneyimini yalnızca ortadaki düşman (AiTM) sayfasının görünümünü kopyalayarak değil, meşru hizmetlerinkine çok benzeyen etki alanlarını da kullanarak inandırıcı bir şekilde taklit etmek için kapsamlı bir keşif gerçekleştirdiğini düşünüyor. Grubun, AiTM açılış sayfasını oluşturmak için yakın zamanda kaydedilmiş meşru WordPress alan adlarını tehlikeye attığı da biliniyor.

Öneriler

  • Belirteç koruması ve en düşük ayrıcalıklı erişim: Belirteci, meşru kullanıcı cihazına bağlayarak belirteç tekrarlama saldırılarına karşı koruma sağlayacak ilkeler belirleyin. Saldırıların potansiyel etkilerini en aza indirmek için tüm teknoloji yığınında en düşük ayrıcalıklı erişim ilkelerini uygulayın.
  • Güvenli bir hediye kartı platformu kullanın ve dolandırıcılıktan korunma çözümlerini uygulayın: Ödemeleri yetkilendirmek üzere tasarlanmış bir sisteme geçmeyi düşünebilirsiniz. Satıcılar, kayıpları en aza indirmek için sistemlerine dolandırıcılıktan korunma özelliklerini de entegre edebilirler.
  • Kimlik avı korumalı MFA: FIDO2 güvenlik anahtarları gibi, çeşitli saldırılara karşı dayanıklı olan kimlik avı korumalı oturum açma bilgilerine geçiş yapın.
  • Risk düzeyi yüksek kullanıcılarda güvenli bir parola değişimini zorunlu tutun: Riski azaltmak için kullanıcıların, parola geri yazma ile yeni bir parola oluşturmadan önce Microsoft Entra MFA ile giriş yapmaları zorunludur.
  • Çalışanlarınızı eğitin: Satıcılar, potansiyel hediye kartı dolandırıcılıklarını fark edip şüpheli talimatları reddetmek üzere çalışanları eğitmelidir.

Fırtınayı atlatmak: Storm-0539’a karşı savunma yapmak

Hediye kartları, dolandırıcılık için cazip hedeflerdir çünkü kredi ve banka kartlarının aksine, herhangi bir müşteri adına çıkarılmazlar. Microsoft da Storm-0539’un bu alandaki etkinliklerinin tatil dönemlerinde arttığını gözlemledi. Birleşik Devletler’de Anma Günü, İşçi Bayramı ve Şükran Günü’nde; dünya genelinde ise Efsane Cuma ve kış tatillerinde gurubunun etkinliğinin arttığı görüldü.

Kurumlar genellikle bir hediye kartına yüklenebilecek nakit değer konusunda bir sınır belirler. Örneğin bu sınır 100.000 USD ise tehdit aktörü 99.000 USD değerinde bir kart oluşturup bu hediye kartının kodunu da kendine göndererek nakde çevirir. Ana motivasyonları hediye kartlarını çalmak ve internet üzerinden indirimli bir fiyata satarak kar elde etmektir. Bazı örneklerde tehdit aktörünün bazı şirketlerden bir gün içinde 100.000 USD kadar para çaldığını gözlemledik.

Bu tür saldırılardan korunabilmek ve bu grubun hediye kartı departmanlarına yetkisiz erişim elde etmesine engel olabilmek için hediye kartı oluşturan şirketlerin hediye kartı portallarını yüksek değerli bir hedef olarak görmesi ve bu şekilde davranması gerekir. Bu portallar yakından izlenmeli ve herhangi bir anormal etkinliğin tespit edilebilmesi için sürekli denetlenmelidir.

Hediye kartı portalları ve diğer yüksek değerli hedeflere hızlı erişimin engellenmesi için kontrol ve dengeler uygulamak, bir hesap ele geçirilmiş olsa bile, hediye kartı oluşturan tüm kurumlar için faydalı olabilir. Şüpheli girişleri ve bulut kimliğinin ele geçirilmesi ile kullanılabilecek diğer ilk erişim vektörlerini tespit edebilmek için günlükleri sürekli olarak izleyin ve oturum açma sayısını sınırlayan ve riskli oturum açma işlemlerini işaretleyen koşullu erişim ilkeleri uygulayın.

Kurumların, MFA’ya ek olarak, kimlik doğrulaması taleplerini diğer şeylerin yanı sıra IP adresi konum bilgisi veya cihaz durumu gibi kimliğe bağlı ekstra işaretleri de kullanarak değerlendiren koşullu erişim ilkelerini de uygulaması önerilir.

Bu saldırıları engellemeye yardımcı olabilecek bir diğer taktik de etki alanı satın alma işlemleri sırasında müşteri doğrulaması uygulamaktır. Düzenlemeler ve satıcı ilkeleri, yazım hatasına dayanan sahtekarlıkları dünya genelinde engellemek için yeterli olmayabileceğinden bu aldatıcı siteler, siber saldırıları ölçeklendirme konusunda popülerliğini korumaya devam edebilir. Etki alanı oluşturma sırasında uygulanacak onaylama süreçleri, yalnızca kurbanları aldatma amacıyla oluşturulan sitelerin engellenmesine yardımcı olabilir.

Microsoft, Storm-0539’un, yanıltıcı etki alanı adlarının yanı sıra bir şirkete ilk erişimi elde ettikten sonra kimlik avı mesajlarını yaymak ve dağıtım listeleri ve diğer iş normlarını anlayabilmek için şirket içi meşru posta listelerini de kullandığını gözlemledi.

Geçerli bir dağıtım listesi aracılığıyla yapılan kimlik avı, kötü amaçlı içeriklerin orijinalliğini artırmakla kalmayıp Storm-0539’un erişim sağlamak ve kalıcı olabilmek için ihtiyaç duyduğu kimlik bilgileri, ilişkiler ve bilgilere sunduğu erişimle içeriğin daha fazla kişiyi hedefleyebilmesine de yardımcı olur.

Kullanıcılar, kimlik avı e-postaları ve mesajlarında yer alan bağlantılara tıkladıklarında kimlik bilgisi hırsızlığı ve ikincil kimlik doğrulama belirtecinin ele geçirilebilmesi için bir AiTM sayfasına yönlendirilirler. Perakendecilerin, çalışanlarına, mesaj ile kimlik avı ve kimlik avının nasıl yapıldığı ve bunların nasıl tespit ve rapor edileceği konusunda bilgi vermesi gerekir.

Verileri çaldıktan sonra sizi tehdit ederek ödeme almaya çalışan gürültücü fidye yazılımı tehdit aktörlerinin aksine Storm-0539’un nihai hedefine ulaşmak için bir bulut ortamında sessizce dolaşıp keşif yaptığının ve bulut ve kimlik altyapısını kötüye kullandığının altını çizmek gerekir.

Storm-0539’un operasyonları, aktörün ele geçirdiği meşru e-postaları kullanması ve hedeflediği şirketin kullandığı meşru platformları taklit etmesi nedeniyle inandırıcıdır. Bazı şirketler, yaşadıkları hediye kartı kayıplarını telafi edebilirler. Bunun için tehdit aktörünün hangi hediye kartlarını kullandığını tespit etmek üzere kapsamlı bir araştırma yapılması gerekir.

Microsoft Tehdit Analizi, Storm-0539’un saldırılarından etkilenen kurumlara bildirimler gönderdi. Ve kısmen bu bilgi paylaşımı ve işbirliği sayesinde, son aylarda büyük perakendecilerin Storm-0539 faaliyetlerini etkili bir şekilde önleme becerilerinde artış gözlemledik.

Storm-0539 sızma faaliyeti döngüsünü açıklayan bilgi görseli: "Standart/SMS ile kimlik avı" ile başlayıp "Bulut kaynaklarına erişim", "Etki (veri sızdırma ve hediye kartı hırsızlığı)" ile "Gelecek saldırılara yönelik bilgi" ile devam ediyor. Grafiğin merkezinde "kimlik" bulunuyor.
Storm-0539 sızma döngüsü.

Öneriler

  • Kimlik avı ve AiTM etkinliği ile ilişkili kullanıcıların parolalarını sıfırlayın: Etkin tüm oturumları iptal etmek için parolaları hemen sıfırlayın. Ele geçirilen hesaplarda saldırgan tarafından yapılan tüm MFA ayar değişikliklerini iptal edin. Varsayılan ayar olarak MFA güncellemeleri için MFA'nın yeniden talep edilmesini zorunlu tutun. Çalışanların kurumsal ağlara erişmek için kullandığı mobil cihazların da benzer şekilde korunduğundan emin olun.
  • Office 365 için Defender’da sıfır anında otomatik temizlemeyi (ZAP) etkinleştirin: ZAP, bilinen kötü mesajların ortak unsurlarını temel alarak kimlik avı saldırısının bir parçası olan e-postaları bulur ve bunlar üzerinde otomatik eylemler gerçekleştirir.
  • Saldırı yüzeyini en aza indirmek için kimlikleri, erişim ayrıcalıklarını ve dağıtım listelerini güncelleyin: Storm-0539 gibi saldırganlar, daha büyük bir etki yaratabilmek için ele geçirebilecekleri yüksek erişim ayrıcalığına sahip kullanıcılar bulabileceklerini varsayarlar. Çalışanlar ve ekiplerin rolleri sıklıkla değişebilir. Ayrıcalıkları, dağıtım listesi üyeliklerini ve diğer özellikleri düzenli olarak gözden geçirmek, ilk izinsiz girişin sonuçlarının sınırlandırılmasını sağlar ve saldırganların işini zorlaştırır.

Siber suçları ve en yeni tehditleri izleyenMicrosoft Tehdit Analizi uzmanları ve Storm-0539 hakkında daha fazla bilgi edinin.

Metodoloji: Anlık görüntü ve kapak istatistiği verileri, Storm-0539 tehdit aktörüne ilişkin müşteri bildirimlerimiz ve gözlemlerimizde bir artış olduğunu göstermektedir. Bu sayılar, bu grubu izlemek için harcanan personel ve kaynaklardaki artışın bir sonucudur. Azure Active Directory de kötü amaçlı e-posta hesapları, kimlik avı e-postaları ve ağlardaki saldırgan hareketleri gibi tehdit etkinliklerine ilişkin anonimleştirilmiş veriler sağlamıştır. Ek içgörüler; bulut, uç noktalar, akıllı uç ve Microsoft Defender’ın da aralarında bulunduğu Microsoft platformlarından ve hizmetlerinden gelen telemetri de dahil olmak üzere Microsoft tarafından her gün işlenen 78 trilyon günlük güvenlik sinyalinden elde edilmiştir.

Siber Sinyaller Kimlik avı Tehdit aktörleri

İlgili makaleler

Storm-0539 hediye kartı dolandırıcılığını izleyen uzmanlarla tanışın

Uluslararası ilişkiler, federal kolluk kuvvetleri, güvenlik ve hükumet alanlarındaki özgeçmişleriyle Microsoft Tehdit Analizi analistleri Alison Ali, Waymon Ho ve Emiel Haeghebaert, ödeme kartı hırsızlığı ve hediye kartı dolandırıcılığı konusunda uzmanlaşmış bir tehdit aktörü olan Storm-0539'u izlemelerine yardımcı olan bir dizi benzersiz beceriye sahip.
Daha fazla bilgi edinin

Güven ekonomisinden beslenmek: sosyal mühendislik dolandırıcılığı

Güvenin hem bir değer hem de güvenlik açığı olduğu gelişen dijital ortamı keşfedin. Siber saldırganların en çok kullandığı sosyal mühendislikle dolandırıcılık taktiklerini keşfedin ve insan doğasını manipüle etmek için tasarlanmış sosyal mühendislik tehditlerini belirlemenize ve alt etmenize yardımcı olabilecek stratejileri gözden geçirin.
Daha fazla bilgi edinin

Değişen taktikler, iş e-postaların ele geçirilmesindeki artışı körüklüyor

Artık siber suçlular, saldırılarının kaynağını gizleyerek daha da alçakça davranabildikleri için iş e-postalarının güvenliğinin ihlal edilmesi (BEC) giderek artıyor. CaaS hakkında ve kurumunuzu nasıl koruyabileceğiniz hakkında bilgi edinin.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin