Trace Id is missing
Перейти до основного
Security Insider

Зростання ризику шахрайства з подарунковими картками

Завантажити
Поділитися
Ноутбук, з якого вилітають подарункові та кредитні картки

Cyber Signals, 7-й випуск. "У лігві лева"

У сучасному світі, коли цифрові транзакції та онлайн-покупки стали невід’ємною частиною нашого повсякденного життя, загроза кіберзлочинності дуже висока. Однією з таких загроз, яка широко розповсюджена й постійно розвивається, є шахрайство з подарунковими та платіжними картками, що зачіпає емітентів кредитних карток і роздрібних продавців. Злочинці використовують усе складніші методи порушення безпеки порталів подарункових карток, щоб потім конвертувати картки в майже невідстежувану готівку.

У цьому випуску Cyber ​​​​Signals розглядаються стратегії, прийоми та процедури джерела кіберзагроз, яке корпорація Майкрософт ідентифікує як Storm-0539 (також відоме як Atlas Lion), його дії з крадіжки подарункових карток, складні методи й вплив на окремих осіб, компанії та середовище кібербезпеки.

Група Storm-0539 залишалась активною протягом багатьох років, пристосовуючись до постійно мінливого кримінального середовища. Через лабіринтну мережу зашифрованих каналів і підпільних форумів група координує незаконні операції, використовуючи технологічні лазівки та продумані кампанії соціальної інженерії, щоб розширити свою діяльність.

Тоді як багато кіберзлочинців обирають шлях найменшого опору, щоб отримати швидкий прибуток, та зосереджуються на масштабах, Storm-0539 непомітно й продуктивно фокусується на порушенні безпеки систем подарункових карток і транзакцій. Цей зловмисник безжально атакує емітентів подарункових карток, адаптуючи свої методи до змін у роздрібній торгівлі, платежах та інших пов’язаних галузях.

Безпека є обов’язком кожного з нас.

У минулому група Storm-0539 збільшувала активність атак перед великими святами. У період із березня по травень 2024 року, перед початком сезону літніх відпусток, корпорація Майкрософт спостерігала зростання активності вторгнень Storm-0539 на 30%. Зростання активності атак на 60% спостерігалося з вересня по грудень 2023 року, що збіглося з осінніми та зимовими святами.

  • 30-відсоткове зростання активності вторгнень Storm-0539 у період із березня по травень 2024 року
  • 60-відсоткове зростання активності вторгнень Storm-0539 у період із вересня по грудень 2024 року

Зловмисники вдосконалюють крадіжки подарункових і платіжних карток

Група Storm-0539 веде діяльність за межами Марокко та бере участь у таких фінансових злочинах, як шахрайство з подарунковими картками. Група використовує такі методи, як фішинг, смсшинг, реєстрація власних пристроїв у середовищах жертв, щоб отримати постійний доступ і за допомогою нього атакувати сторонні організації. Вони реєструють пристрої таким чином, щоб запити багатофакторної автентифікації, пов’язані з ураженим обліковим записом жертви, надходили на пристрій зловмисника. Зареєструвавши пристрій, вони можуть повністю порушити безпеку ідентичності та залишитися в хмарному середовищі. 

Ця група кіберзлочинців, що діє з кінця 2021 року, є еволюцією джерел загроз, орієнтованих на атаки на рахунки й системи платіжних карток. У минулому зловмисники часто порушували безпеку даних платіжних карток за допомогою зловмисних програм, установлених у точках продажу (POS). У міру того, як галузі посилювали захист POS-систем, група Storm-0539 адаптувала свої методи атаки, щоб уразити хмарні служби та служби ідентичностей, націлюючись на портали подарункових карток великих роздрібних продавців, люксових брендів і відомих ресторанів швидкого харчування.

Шахрайство з платежами та подарунковими картками зазвичай пов’язане зі складними шкідливими програмами й фішинговими кампаніями. Однак ця група використовує свої глибокі знання про хмару, щоб проводити інформаційну розвідку, орієнтовану на процеси випуску подарункових карток організації, портали подарункових карток і працівників, які мають доступ до подарункових карток компанії.

Ланцюжок атак зазвичай складається з указаних нижче етапів.
  • Використовуючи каталоги, розклади, списки контактів і електронну пошту працівників, група Storm-0539 атакувала особисті та робочі мобільні телефони працівників за допомогою смсшингу. 
  • Проникнувши в обліковий запис працівника цільової організації, зловмисники переміщуються мережею й намагаються виявити бізнес-процес подарункових карток, зосереджуючись на уражених облікових записах, пов’язаних із цим конкретним портфелем. 
  • Вони також збирають інформацію про віртуальні машини, підключення через мережу VPN, ресурси SharePoint і OneDrive, а також Salesforce, Citrix та інші віддалені середовища. 
  • Отримавши доступ, група створює нові подарункові картки, використовуючи уражені облікові записи працівників. 
  • Потім зловмисники обмінюють вартість цих подарункових карток на гроші, продають подарункові картки на чорному ринку іншим джерелам загроз або використовують "грошові мули" для викупу подарункових карток.
Зображення, на якому показано два телефони з смсшинговими повідомленнями Storm-0539, у яких група видає себе службу підтримки компанії, де працює ціль.
Смсшингові повідомлення Storm-0539, у яких група видає себе службу підтримки компанії, де працює ціль.

Інформаційна розвідка групи Storm-0539 і її здатність використовувати хмарні середовища аналогічні тому, що корпорація Майкрософт спостерігає в спонсорованих державою зловмисників. Це показує, як методи, популярні в шпигунстві й серед геополітично орієнтованих зловмисників, тепер також впливають на злочинців із фінансовими мотивами.

Наприклад, Storm-0539 використовує свої знання про хмарне програмне забезпечення, системи керування ідентичностями та права доступу, щоб націлюватися на місце створення подарункових карток, а не лише на кінцевих користувачів. Таку активність ми спостерігаємо серед недержавних угруповань, таких як Octo Tempest і Storm-0539, які мають тактичні знання хмарних ресурсів, аналогічні знанням технічно підкованих і підтримуваних державою джерел загроз.

Щоб замаскуватися й залишитися непоміченими, Storm-0539 видає себе за легітимну організацію перед постачальниками хмарних послуг із ціллю отримати тимчасові програми, сховище та інші безкоштовні ресурси для своїх атак.

Для цього вони створюють веб-сайти, які видають себе за благодійні організації, притулки для тварин або інші некомерційні організації в Сполучених Штатах, зазвичай використовуючи тайпсквотинг. Це шахрайська схема, яка передбачає реєстрацію домену з помилковим написанням відомих доменів організацій, щоб обманним шляхом змусити користувачів відвідувати ці шахрайські сайти й вводити персональні дані або робочі облікові дані.

Корпорація Майкрософт виявила, що Storm-0539 завантажує законні копії листів 501(c)(3) Федеральної податкової служби (IRS) із загальнодоступних веб-сайтів некомерційних організацій, щоб розширити свій набір інструментів для шахрайства. Використовуючи копію законного листа 501(c)(3) і відповідний домен, що видає себе за некомерційну організацію, якій було видано листа, зловмисники звертаються до великих постачальників хмарних послуг за спонсорованими або пільговими технологічними послугами, що часто надаються некомерційним організаціям.

Інфографіка діяльності Storm-0539.
Група Storm-0539 працює через безкоштовні ознайомлювальні версії, передплати з оплатою за фактом використання та уражені хмарні ресурси. Ми також виявили, що Storm-0539 видає себе за справжні неприбуткові організації, щоб отримати благодійну спонсорську підтримку кількох постачальників хмарних послуг.

Група також створює облікові записи для безкоштовних ознайомлювальних версій або студентів на платформах хмарних служб, які надають новим клієнтам 30-денний доступ. За допомогою цих облікових записів вони створюють віртуальні машини, з яких запускають цільові операції. Уміння Storm-0539 порушувати безпеку й створювати хмарну інфраструктуру для атак дозволяє групі уникнути поширених початкових витрат, з якими зіштовхуються інші кіберзлочинці (як-от витрати на хости та сервери), оскільки вона прагне мінімізувати витрати й досягти максимальної ефективності.

Корпорація Майкрософт вважає, що Storm-0539 проводить ретельну інформаційну розвідку постачальників послуг федеративних ідентичностей у цільових компаніях, щоб переконливо імітувати процес входу користувача в систему. Це охоплює не лише відображення сторінки AiTM (зловмисник посередині), але й використання зареєстрованих доменів, які дуже схожі на домени законних служб. В інших випадках група Storm-0539 уражала нещодавно зареєстровані законні домени WordPress, щоб створити цільову сторінку AiTM.

Рекомендації

  • Маркерний захист і доступ із мінімальними правами. Використовуйте політики для захисту від атак відтворення маркерів, які зв’язують маркер із пристроєм законного користувача. Застосуйте принцип доступу з мінімальними правами до всього стеку технологій, щоб мінімізувати потенційний вплив атаки.
  • Використання безпечної платформи подарункових карток і впровадження рішень для захисту від шахрайства. Розгляньте можливість переходу на систему, яка підтримує автентифікацію платежів. Продавці можуть також інтегрувати функції захисту від шахрайства, щоб мінімізувати втрати.
  • Багатофакторна автентифікація із захистом від фішингу. Перейдіть на облікові дані, захищені від фішингу та різних атак (наприклад, ключі безпеки FIDO2).
  • Обов’язкова зміна пароля безпеки в разі виявлення високого рівня ризику для користувача. Перш ніж відповідний користувач зможе створити новий пароль із записом у каталог, потрібно пройти багатофакторну автентифікацію Microsoft Entra, щоб зменшити ризик.
  • Навчання працівників. Продавці мають навчати працівників розпізнавати потенційне шахрайство з подарунковими картками та відхиляти підозрілі замовлення.

Назустріч бурі: захист від атак Storm-0539

Подарункові картки є привабливою мішенню для шахраїв, оскільки, на відміну від кредитних або дебетових карток, вони не прив’язані до імені клієнта чи банківського рахунку. Корпорація Майкрософт зауважила, що група Storm-0539, орієнтована на цю галузь, активізується більше в період свят. День пам’яті, День праці й День подяки в США, а також Чорна п’ятниця та зимові свята в усьому світі зазвичай асоціюються з підвищеною активністю цієї групи.

Зазвичай організації встановлюють обмеження грошової вартості однієї подарункової картки Наприклад, якщо таке обмеження становить 100 000 доларів США, джерело загрози випустить картку сумою 99 000 доларів США, надішле собі код подарункової картки та конвертує її в гроші. Їхня основна мотивація – красти подарункові картки та продавати їх онлайн за зниженою ціною. Ми спостерігали деякі ситуації, коли джерело загрози викрадало до 100 000 доларів США на день у певних компаній.

Щоб запобігти таким атакам і несанкціонованому доступу цієї групи до відділів, які працюють із подарунковими картками, компаніям, що випускають подарункові картки, слід ставитися до своїх порталів подарункових карток як до цінних цілей. Їх потрібно уважно відстежувати та постійно перевіряти на наявність аномальної активності.

Організаціям, які створюють або випускають подарункові картки, варто впровадити засоби контролю, щоб запобігти швидкому доступу до порталів подарункових карток та інших цінних цілей, навіть якщо обліковий запис уражено. Постійно відстежуйте журнали, щоб виявити підозрілі спроби входу й інші поширені шляхи первинного доступу, що ґрунтуються на порушенні безпеки хмарних ідентичностей, а також упроваджуйте політики умовного доступу, які обмежують спроби входу та повідомляють про ризиковані спроби входу.

Організаціям також варто розглянути можливість доповнення багатофакторної автентифікації політиками умовного доступу, які оцінюють запити автентифікації на основі додаткових ідентифікаційних сигналів, таких як інформація про розташування IP-адреси або стан пристрою тощо.

Ще одна тактика, яка може допомогти обмежити ці атаки, –упровадження процесу перевірки клієнтів під час купівлі доменів. Правила та політики постачальників не можуть повністю запобігти зловмисному тайпсквотингу в усьому світі, а це означає, що ці шахрайські веб-сайти можуть залишатися популярними для масштабування кібератак. Процеси перевірки створення доменів можуть допомогти обмежити кількість сайтів, створених виключно для обману жертв.

Крім доменних імен, що вводять в оману, корпорація Майкрософт також зауважила, що група Storm-0539 використовує законні внутрішні списки розсилки компанії, щоб розповсюджувати фішингові повідомлення, щойно вона закріпиться всередині компанії та дізнається про її списки розсилки й інші бізнес-стандарти.

Фішинг за допомогою дійсного списку розсилки не лише додає ще один рівень справжності шкідливому вмісту, але й допомагає націлити вміст на більшу кількість людей, які мають доступ до облікових даних, зв’язків та інформації, на яку Storm-0539 покладається, щоб закріпитися й досягти цілі.

Коли користувачі натискають посилання у фішингових електронних листах або текстових повідомленнях, вони спрямовуються на фішингову сторінку AiTM, яка краде облікові дані й перехоплює вторинні маркери автентифікації. Роздрібним продавцям варто навчати своїх працівників, як працюють шахрайські схеми з використанням смсшингу чи фішингу, як їх розпізнавати та як повідомляти про них.

Важливо зазначити, що на відміну від "гучних" зловмисників-вимагачів, які шифрують і крадуть дані, а потім вимагають викуп, Storm-0539 проникає в хмарне середовище, щоб непомітно збирати розвідувальні дані та використовувати хмарну інфраструктуру й інфраструктуру ідентичностей для досягнення своїх кінцевих цілей.

Операції Storm-0539 переконливі, оскільки джерело загрози використовує дійсні уражені електронні скриньки та видає себе за законні платформи, якими користується цільова компанія. Для деяких компаній збитки за подарунковими картками можна відшкодувати. Для цього потрібно провести ретельне дослідження та визначити, які подарункові картки випускає джерело загрози.

Аналіз загроз Microsoft надіслав сповіщення організаціям, які постраждали від Storm-0539. Частково завдяки цьому обміну інформацією та співпраці останніми місяцями ми побачили, що великі роздрібні продавці стають дедалі більш здатними ефективно захищатися від атак Storm-0539.

Інфографіка, що демонструє підхід до проникнення Storm-0539, що починається з етапу "Фішинг/смсшинг", за яким слідує "Доступ до хмарного ресурсу", "Вплив (ексфільтрація даних і крадіжка подарункових карток)" та "Інформація для майбутніх атак". Елемент "Ідентичність" залишається в центрі графіки.
Життєвий цикл проникнення Storm-0539.

Рекомендації

  • Скидання пароля для користувачів, пов’язаних із фішингом й AiTM. Миттєво скидайте паролі, щоб скасувати всі активні сеанси. Скасуйте зміни параметрів багатофакторної автентифікації, внесені зловмисником в уражених облікових записах. Вимагайте за замовчуванням повторний запит багатофакторної автентифікації для її оновлення. Крім того, переконайтеся, що мобільні пристрої, які працівники використовують для доступу до корпоративних мереж, захищені аналогічно.
  • Увімкнення пізнього автофільтра в Microsoft Defender для Office 365. Пізній автофільтр автоматично виявляє електронні листи, які є частиною фішингової кампанії, і вживає відповідних заходів на основі ідентичних елементів відомих шкідливих повідомлень.
  • Оновлення ідентичностей, прав доступу та списків розсилки для звуження векторів атак. Такі зловмисники, як Storm-0539, припускають, що можуть знайти користувачів із надмірними правами доступу, яких вони можуть уразити, щоб досягти значного впливу. Ролі працівників і команди можуть часто змінюватися. Регулярна перевірка прав доступу, членства в списку розсилки та інших атрибутів може допомогти обмежити наслідки початкового вторгнення й ускладнити роботу зловмисників.

Дізнайтеся більше про Storm-0539 та експертів Аналізу загроз Microsoft, які відстежують кіберзлочини й найновіші загрози.

Методологія. Огляд і статистичні дані охоплення показують збільшення кількості повідомлень від наших клієнтів і випадків виявлення джерела загрози Storm-0539. Ці цифри відображають збільшення персоналу та ресурсів, що виділяються на відстеження цієї групи. Команда Azure Active Directory надала анонімізовані дані щодо загроз, наприклад зловмисні облікові записи електронної пошти, фішингові листи й переміщення зловмисників у мережах. Додаткові відомості отримано на основі 78 трильйонів сигналів безпеки, які корпорація Майкрософт обробляє щодня, зокрема охоплюючи хмару, кінцеві точки, розумні периферійні пристрої й дані телеметрії з платформ і служб Microsoft, таких як Microsoft Defender.

Cyber Signals Фішинг Джерела загроз

Пов’язані статті

Знайомство з експертами, які відстежують шахрайські дії Storm-0539 із подарунковими картками

Завдяки досвіду роботи у сферах міжнародних відносин, безпеки, а також у федеральних правоохоронних органах й урядових організаціях аналітики Аналізу загроз Microsoft Елісон Алі, Веймон Хо й Еміель Хеґеберт володіють унікальними навичками для відстеження групи Storm-0539 – джерела загроз, яке спеціалізується на крадіжках платіжних карток і шахрайстві з подарунковими картками.
Дізнатися більше

Наживання на довірі: шахрайство з використанням соціотехніки

Дізнайтеся про цифрове середовище, яке постійно розвивається й у якому довіра – це одночасно і валюта, і вразливість. Ознайомтесь із шахрайськими методами соціотехніки, які найчастіше використовують зловмисники, і розгляньте стратегії, які допомагають виявляти подібні загрози, призначені для маніпулювання людською природою, а також уникати їх.
Дізнатися більше

Зміна тактик призвела до різкого зростання вразливостей корпоративної електронної пошти

Порушення безпеки корпоративної електронної пошти набирає популярності серед зловмисників, оскільки вони можуть приховати джерело атак і зробити їх украй руйнівними. Дізнайтеся більше про модель "кіберзлочин як послуга" (CaaS) і те, як захистити свою організацію.
Дізнатися більше

Підпишіться на новини про Захисний комплекс Microsoft