Trace Id is missing

Nghiên cứu về nguy cơ gian lận thẻ quà tặng đang tăng cao

Tải xuống
Chia sẻ
Máy tính xách tay có thẻ quà tặng và thẻ tín dụng đang bay ra

Cyber Signals số 7: Vào hang sư tử

Trong thời đại các giao dịch kỹ thuật số và mua sắm trực tuyến đã trở thành một phần thiết yếu trong cuộc sống hàng ngày, mối đe dọa từ tội phạm mạng luôn rình rập. Trong số các mối đe dọa này, tình trạng gian lận thẻ quà tặng và thẻ thanh toán, trong đó có cả thẻ quà tặng từ các nhà bán lẻ hoặc công ty thẻ tín dụng, đang lan rộng và ngày càng phát triển. Tội phạm sử dụng các phương pháp ngày càng tinh vi để xâm phạm cổng thông tin thẻ quà tặng trước rồi chuyển thành nguồn tiền mặt gần như không thể truy dấu.

Ấn bản Cyber Signals lần này đi sâu vào các chiến thuật, kỹ thuật và quy trình của tác nhân đe dọa tội phạm mạng mà Microsoft gọi là Storm-0539, hay còn tên khác là Atlas Lion (Sư tử Atlas), cùng các hoạt động của tác nhân này trong lĩnh vực trộm thẻ quà tặng, mức độ phức tạp trong phương thức của tác nhân này cũng như tác động đối với các cá nhân, doanh nghiệp và bối cảnh an ninh mạng.

Storm-0539 vẫn duy trì được khả năng thích nghi trong suốt nhiều năm, thích ứng với bối cảnh tội phạm luôn thay đổi. Thông qua mạng lưới cực kỳ phức tạp gồm các kênh được mã hóa và diễn đàn ngầm, những tác nhân này dàn xếp các hoạt động mạo hiểm bất hợp pháp nhằm khai thác lỗ hổng công nghệ và triển khai các chiến dịch tấn công phi kỹ thuật tinh vi để mở rộng quy mô hoạt động của mình.

Mặc dù nhiều tác nhân đe dọa tội phạm mạng đi theo lộ trình dễ dàng nhất để thu về lợi nhuận nhanh chóng và tập trung vào quy mô, Storm-0539 vẫn cho thấy khả năng tập trung thầm lặng, hiệu quả trong quá trình xâm nhập vào các hệ thống và giao dịch thẻ quà tặng. Kẻ lừa đảo này không ngừng nhắm mục tiêu vào các nhà phát hành thẻ quà tặng bằng cách điều chỉnh kỹ thuật để theo kịp những thay đổi trong ngành bán lẻ, thanh toán và các ngành liên quan khác.

Tất cả chúng ta đều là những người bảo vệ.

Trước đây, Storm-0539 tăng cường hoạt động tấn công trước các kỳ nghỉ lễ lớn. Từ tháng 3 đến tháng 5 năm 2024, trước kỳ nghỉ hè, Microsoft nhận thấy hoạt động xâm nhập từ Storm-0539 tăng 30%. Từ tháng 9 đến tháng 12 năm 2023, trùng với kỳ nghỉ mùa thu và mùa đông, chúng tôi nhận thấy hoạt động tấn công tăng 60%.

  • 30% Mức gia tăng trong hoạt động xâm nhập của Storm-0539 từ tháng 3 – tháng 5 năm 2024
  • 60% Mức gia tăng trong hoạt động xâm nhập của Storm-0539 từ tháng 9 – tháng 12 năm 2024

Những kẻ tấn công cải tiến các phương thức trộm thẻ quà tặng và thẻ thanh toán

Storm-0539 hoạt động ở Ma-rốc và dính líu đến các tội phạm tài chính như gian lận thẻ quà tặng. Các kỹ thuật của chúng bao gồm lừa đảo qua mạng, lừa đảo qua tin nhắn, đăng ký thiết bị vào môi trường của nạn nhân để cướp quyền truy nhập lâu dài và tận dụng quyền truy nhập vào các tổ chức bên thứ ba mục tiêu. Chúng đăng ký thiết bị để lời nhắc xác thực đa yếu tố (MFA) liên quan đến tài khoản bị xâm nhập của nạn nhân sẽ được gửi tới thiết bị của kẻ tấn công. Sau khi đăng ký một thiết bị, chúng có thể xâm phạm hoàn toàn danh tính và tồn tại trong môi trường đám mây. 

Hoạt động từ cuối năm 2021, nhóm tội phạm mạng này đại diện cho sự phát triển của các tác nhân đe dọa tập trung vào hành vi tấn công các tài khoản và hệ thống thẻ thanh toán. Trước đây, những kẻ tấn công thường xâm phạm dữ liệu thẻ thanh toán bằng phần mềm độc hại tại điểm bán hàng (POS). Tuy nhiên, khi các ngành công nghiệp tăng cường phòng vệ POS, Storm-0539 đã điều chỉnh kỹ thuật tấn công nhằm xâm phạm các dịch vụ danh tính và đám mây để nhắm mục tiêu thực hiện hành vi phạm tội đối với các cổng thông tin thẻ quà tặng liên kết với nhà bán lẻ lớn, thương hiệu xa xỉ và nhà hàng kinh doanh thức ăn nhanh nổi tiếng.

Trước đây, hành vi gian lận thẻ thanh toán và thẻ quà tặng có liên quan đến các chiến dịch lừa đảo và phần mềm gây hại tinh vi. Tuy nhiên, nhóm này tận dụng kiến ​​thức sâu rộng về đám mây để tiến hành do thám quy trình phát hành thẻ quà tặng, cổng thông tin thẻ quà tặng và nhân viên có quyền truy nhập vào thẻ quà tặng của tổ chức.

Thông thường, chuỗi tấn công bao gồm các hành động sau:
  • Để sử dụng thư mục, lịch trình, danh sách liên hệ và hộp thư đến email của nhân viên, Storm-0539 nhắm mục tiêu vào điện thoại di động cá nhân và cơ quan của nhân viên bằng các tin nhắn văn bản có nội dung lừa đảo. 
  • Một khi tài khoản nhân viên tại tổ chức mục tiêu bị xâm nhập, những kẻ tấn công sẽ tiến hành mở rộng qua mạng, cố gắng xác định quy trình kinh doanh thẻ quà tặng, hướng tới các tài khoản bị xâm nhập được liên kết với danh mục dự án cụ thể này. 
  • Đồng thời, chúng cũng thu thập thông tin về máy ảo, kết nối VPN, tài nguyên SharePoint và OneDrive, cũng như Salesforce, Citrix và các môi trường từ xa khác. 
  • Sau khi cướp được quyền truy nhập, nhóm này sẽ tạo thẻ quà tặng mới bằng cách sử dụng tài khoản nhân viên bị xâm nhập. 
  • Sau đó, chúng đổi giá trị liên quan đến các thẻ đó, bán thẻ quà tặng cho các tác nhân đe dọa khác trên thị trường chợ đen hoặc sử dụng "con la tiền" để đổi tiền mặt từ thẻ quà tặng.
Hình ảnh hiển thị hai chiếc điện thoại có tin nhắn của Storm-0539 giả mạo là bộ phận trợ giúp tại công ty của nhân viên bị nhắm mục tiêu.
Storm-0539 gửi tin nhắn giả mạo là bộ phận trợ giúp tại công ty của nhân viên bị nhắm mục tiêu.

Khả năng do thám và tận dụng môi trường đám mây của Storm-0539 ngang với khả năng của các tác nhân đe dọa do quốc gia tài trợ mà Microsoft quan sát được. Từ đó ta có thể thấy mức độ ảnh hưởng hiện tại của kỹ thuật do kẻ lừa đảo tập trung vào hoạt động gián điệp và địa chính trị phổ biến đến bọn tội phạm có động cơ tài chính.

Ví dụ: Storm-0539 tận dụng kiến ​​thức về phần mềm hoạt động trên đám mây, hệ thống danh tính và đặc quyền truy nhập để nhắm mục tiêu đến nơi tạo thẻ quà tặng, thay vì chỉ tập trung vào người dùng cuối. Hoạt động này là xu hướng mà chúng tôi nhận thấy ở các nhóm phi quốc gia như Octo Tempest và Storm-0539, những nhóm tác nhân vô cùng thành thạo về chiến thuật trong tài nguyên đám mây ngang với các tác nhân tiên tiến do nhà nước tài trợ.

Để ngụy trang và không bị phát hiện, Storm-0539 khoác lên giao diện là tổ chức hợp pháp sử dụng các nhà cung cấp dịch vụ đám mây để vào được ứng dụng, bộ lưu trữ tạm thời và các tài nguyên miễn phí ban đầu khác cho hoạt động tấn công.

Chúng nỗ lực thực hiện hành vi bằng cách tạo ra các trang web mạo danh tổ chức từ thiện, trạm cứu hộ động vật và các tổ chức phi lợi nhuận khác ở Hoa Kỳ. Điển hình là chúng tận dụng lỗi đánh máy (một hành vi lừa đảo trong đó các cá nhân đăng ký phiên bản lỗi chính tả thường gặp của tên miền tổ chức) rồi dùng tên miền của chúng để lừa người dùng truy nhập các trang web lừa đảo và nhập dữ liệu cá nhân hoặc thông tin đăng nhập công việc.

Để mở rộng hơn nữa bộ công cụ gian lận của chúng, Microsoft quan sát thấy Storm-0539 còn tải xuống các bản sao hợp pháp của mẫu thư 501(c)(3) do Sở Thuế vụ (IRS) cấp từ trang web công khai của các tổ chức phi lợi nhuận. Bằng cách trang bị bản sao hợp pháp của mẫu thư 501(c)(3) và một tên miền phù hợp mạo danh tổ chức phi lợi nhuận được cấp mẫu thư, chúng tiếp cận các nhà cung cấp dịch vụ đám mây lớn để được tài trợ hoặc giảm giá các dịch vụ công nghệ thường dành cho tổ chức phi lợi nhuận.

Đồ họa thông tin mô tả cách Storm-0539 hoạt động.
Storm-0539 hoạt động dựa trên các bản dùng thử miễn phí, gói đăng ký trả tiền theo mức sử dụng và tài nguyên đám mây bị xâm phạm. Chúng tôi cũng quan sát thấy Storm-0539 mạo danh các tổ chức phi lợi nhuận hợp pháp để nhận nguồn tài trợ phi lợi nhuận từ một số nhà cung cấp đám mây.

Nhóm này cũng tạo ra các bản dùng thử miễn phí hoặc tài khoản học viên trên những nền tảng dịch vụ đám mây thường cung cấp cho khách hàng mới quyền truy nhập trong 30 ngày. Trong những tài khoản này, chúng tạo ra các máy ảo để tiến hành hoạt động mục tiêu của mình. Với kỹ năng xâm nhập và tạo hạ tầng tấn công trên nền điện toán đám mây, Storm-0539 tránh được các chi phí trả trước phổ biến trong nền kinh tế tội phạm mạng, chẳng hạn như trả tiền cho máy chủ và máy chủ lưu trữ, vì chúng muốn giảm thiểu chi phí và tăng tối đa hiệu quả.

Thông qua đánh giá, Microsoft nhận thấy Storm-0539 tiến hành do thám mở rộng đến các nhà cung cấp dịch vụ danh tính được liên kết tại các công ty mục tiêu để mô phỏng một cách thuyết phục trải nghiệm đăng nhập của người dùng, trong đó không chỉ có giao diện của trang lừa đảo trung gian (AiTM), mà còn sử dụng tên miền đã đăng ký vô cùng giống với các dịch vụ hợp pháp. Trong những trường hợp khác, Storm-0539 đã xâm phạm các tên miền WordPress hợp pháp mới được đăng ký gần đây để tạo trang đích AiTM.

Đề xuất

  • Bảo vệ bằng mã thông báo và quyền truy nhập có đặc quyền tối thiểu: Sử dụng chính sách để bảo vệ trước các cuộc tấn công phát lại mã thông báo bằng cách liên kết mã thông báo với thiết bị của người dùng hợp pháp. Áp dụng các nguyên tắc quyền truy nhập có đặc quyền tối thiểu trên toàn bộ công nghệ để giảm thiểu tác động tiềm ẩn của một cuộc tấn công.
  • Sử dụng nền tảng thẻ quà tặng an toàn và triển khai các giải pháp bảo vệ chống gian lận: Cân nhắc chuyển sang hệ thống có thiết kế phù hợp để xác thực thanh toán. Doanh nghiệp cũng có thể tích hợp các tính năng bảo vệ chống gian lận để giảm thiểu tổn thất.
  • MFA chống lừa đảo qua mạng: Chuyển sang thông tin xác thực chống lừa đảo qua mạng, miễn nhiễm với nhiều hình thức tấn công khác nhau, chẳng hạn như khóa bảo mật FIDO2.
  • Yêu cầu thay đổi mật khẩu an toàn khi người dùng có mức độ rủi ro cao: Người dùng cần bật Microsoft Entra MFA trước khi tạo mật khẩu mới có chức năng ghi lại mật khẩu để khắc phục rủi ro.
  • Đào tạo nhân viên: Doanh nghiệp nên đào tạo nhân viên cách nhận biết các vụ lừa đảo tiềm ẩn liên quan đến thẻ quà tặng và từ chối các đơn hàng đáng ngờ.

Chế ngự cơn bão: Bảo vệ chống storm-0539

Thẻ quà tặng là mục tiêu hấp dẫn cho hành vi gian lận vì không giống như thẻ tín dụng hoặc thẻ ghi nợ, thẻ quà tặng không liên quan đến tên khách hàng hoặc tài khoản ngân hàng. Microsoft nhận thấy Storm-0539 gia tăng hoạt động nhắm vào ngành công nghiệp này trong các mùa nghỉ lễ. Lễ Chiến sĩ trận vong, Ngày Quốc tế Lao động và Lễ Tạ ơn ở Hoa Kỳ, cũng như Thứ Sáu Đen và các ngày lễ mùa đông trên khắp thế giới có xu hướng gắn liền với hoạt động gia tăng của nhóm này.

Thông thường, các tổ chức sẽ đặt ra giới hạn giá trị tiền mặt có thể cấp cho mỗi thẻ quà tặng cá nhân. Ví dụ: Nếu giới hạn giá trị là 100.000 USD, tác nhân đe dọa sẽ phát hành một thẻ có giá trị 99.000 USD, sau đó tự gửi cho mình mã thẻ quà tặng và kiếm tiền từ đó. Động cơ chính của chúng là đánh cắp thẻ quà tặng và kiếm lời bằng cách bán các thẻ đó trên mạng với mức giá chiết khấu. Chúng tôi đã thấy một trường hợp tác nhân đe dọa đánh cắp tới 100.000 USD mỗi ngày tại một số công ty nhất định.

Để chống lại những cuộc tấn công như vậy và ngăn chặn nhóm này truy nhập trái phép vào các bộ phận quản lý thẻ quà tặng, công ty phát hành thẻ quà tặng cần bảo vệ cổng thông tin thẻ quà tặng như một mục tiêu có giá trị cao. Các công ty cần theo dõi chặt chẽ và liên tục kiểm tra những cổng thông tin này để phát hiện mọi hoạt động bất thường.

Đối với tổ chức tạo hoặc phát hành thẻ quà tặng, việc triển khai kiểm tra và cân đối để ngăn chặn hoạt động truy nhập nhanh vào cổng thẻ quà tặng và các mục tiêu có giá trị cao khác, ngay cả khi tài khoản đã bị xâm phạm, có thể sẽ hữu ích. Liên tục theo dõi nhật ký để xác định các lần đăng nhập đáng ngờ và các vec-tơ truy nhập ban đầu phổ biến khác dựa vào hoạt động xâm phạm danh tính trên đám mây và triển khai các chính sách truy nhập có điều kiện nhằm hạn chế hoạt động đăng nhập và đánh dấu các lần đăng nhập rủi ro cao.

Các tổ chức cũng nên cân nhắc bổ sung MFA bằng chính sách truy cập có điều kiện, trong đó yêu cầu xác thực được đánh giá bằng các tín hiệu bổ sung dựa trên danh tính như thông tin vị trí địa chỉ IP hoặc trạng thái thiết bị, cùng nhiều thông tin khác.

Một chiến thuật khác có thể giúp hạn chế các cuộc tấn công này là quy trình xác minh khách hàng khi mua tên miền. Các quy định và chính sách của nhà cung cấp có thể không ngăn chặn được mánh khóe lỗi đánh máy để lừa đảo trên toàn thế giới, nghĩa là các trang web lừa đảo này vẫn duy trì được độ phổ biến để mở rộng quy mô các cuộc tấn công mạng. Quy trình xác minh để tạo tên miền có thể giúp hạn chế nhiều trang web được tạo ra chỉ nhằm mục đích lừa đảo nạn nhân.

Ngoài việc sử dụng tên miền gây hiểu lầm, Microsoft còn phát hiện Storm-0539 sử dụng danh sách gửi thư nội bộ hợp pháp của công ty để phát tán tin nhắn lừa đảo sau khi thâm nhập được vào công ty và nắm được danh sách phân phối cũng như các quy tắc khác của doanh nghiệp.

Lừa đảo qua danh sách phân phối hợp lệ không chỉ tăng thêm tính xác thực cho nội dung độc hại mà còn giúp nhắm mục tiêu nội dung đến nhiều cá nhân khác có quyền truy nhập vào thông tin xác thực, mối quan hệ và thông tin mà Storm-0539 cần có để duy trì sự tồn tại và phạm vi tiếp cận.

Khi bấm vào các liên kết có trong tin nhắn hoặc email lừa đảo, người dùng sẽ được chuyển hướng đến trang lừa đảo qua mạng AiTM để trộm cắp thông tin xác thực và chiếm đoạt mã thông báo xác thực thứ cấp. Các nhà bán lẻ nên hướng dẫn nhân viên cách hành vi lừa đảo qua tin nhắn/lừa đảo qua mạng hoạt động, cách nhận dạng và cách báo cáo.

Điều quan trọng cần chú ý là khác với các tác nhân đe dọa mã độc tống tiền ồn ào với mánh khóe mã hóa và đánh cắp dữ liệu rồi quấy rối bạn để kiếm tiền, Storm-0539 di chuyển trong môi trường đám mây một cách lặng lẽ, thu thập thông tin do thám và lợi dụng cơ sở hạ tầng đám mây cũng như danh tính để đạt được mục tiêu cuối cùng.

Hoạt động của Storm-0539 có sức thuyết phục vì kẻ tấn công sử dụng các email hợp pháp bị xâm phạm và bắt chước các nền tảng hợp pháp mà công ty mục tiêu sử dụng. Đối với một số công ty, tổn thất từ thẻ quà tặng có thể khắc phục. Điều đó đòi hỏi phải tổ chức một cuộc điều tra kỹ lưỡng để xác định xem tác nhân đe dọa đã phát hành loại thẻ quà tặng nào.

Microsoft Threat Intelligence đã đưa ra thông báo tới các tổ chức chịu ảnh hưởng của Storm-0539. Một phần nhờ việc chia sẻ thông tin và hợp tác này, chúng tôi nhận thấy khả năng ngăn chặn hiệu quả hoạt động của Storm-0539 của các nhà bán lẻ lớn đã tăng lên trong những tháng gần đây.

Đồ họa thông tin hiển thị vòng đời xâm nhập của Storm-0539, bắt đầu bằng “Lừa đảo qua mạng/lừa đảo qua tin nhắn”, tiếp theo là “Truy cập tài nguyên trên đám mây”, “Tác động (trích rút dữ liệu và đánh cắp thẻ quà tặng)” và “Thông tin về các cuộc tấn công trong tương lai”. “Danh tính” luôn ở vị trí trung tâm trong đồ họa.
Vòng đời xâm nhập của Storm-0539.

Đề xuất

  • Đặt lại mật khẩu cho người dùng có liên quan đến hoạt động lừa đảo qua mạng và AiTM: Để thu hồi bất kỳ phiên nào đang hoạt động, hãy đặt lại mật khẩu ngay lập tức. Thu hồi mọi thay đổi cài đặt MFA do kẻ tấn công thực hiện trên các tài khoản bị xâm phạm. Yêu cầu xác thực lại MFA để cập nhật MFA theo mặc định. Ngoài ra, hãy đảm bảo các thiết bị di động mà nhân viên sử dụng để truy nhập mạng công ty cũng được bảo vệ tương tự.
  • Kích hoạt tính năng tự động dọn dẹp nhanh (ZAP) trong Microsoft Defender cho Office 365: Tính năng ZAP tìm và thực hiện hành động tự động đối với các email thuộc chiến dịch lừa đảo qua mạng dựa trên các yếu tố giống nhau của các tin nhắn độc hại đã biết.
  • Cập nhật danh tính, quyền truy nhập và danh sách phân phối để giảm thiểu khả năng bị tấn công: Những kẻ tấn công như Storm-0539 cho rằng chúng sẽ tìm thấy những người dùng có nhiều đặc quyền truy nhập mà chúng có thể xâm phạm để gây ra tác động lớn. Vai trò của nhân viên và nhóm có thể thay đổi thường xuyên. Việc thiết lập hoạt động đánh giá thường xuyên các đặc quyền, quyền thành viên đối với danh sách phân phối và các thuộc tính khác có thể giúp hạn chế hậu quả của cuộc xâm nhập ban đầu và ngăn chặn kẻ xâm nhập.

Tìm hiểu thêm về Storm-0539 và các chuyên gia Microsoft Threat Intelligence chuyên theo dõi tội phạm mạng và các mối đe dọa mới nhất.

Phương pháp: Dữ liệu thống kê hình chụp nhanh và ảnh bìa cho thấy sự gia tăng trong các thông báo và hoạt động quan sát của khách hàng về tác nhân đe dọa Storm-0539. Những số liệu này cho thấy sự gia tăng về nhân sự và nguồn lực dành cho hoạt động giám sát nhóm này. Azure Active Directory đã cung cấp dữ liệu ẩn danh về hoạt động của mối đe dọa như tài khoản email gây hại, email lừa đảo qua mạng và hoạt động di chuyển của kẻ tấn công trong mạng. Những thông tin chi tiết bổ sung đến từ 78 nghìn tỷ tín hiệu bảo mật được Microsoft xử lý mỗi ngày, bao gồm đám mây, điểm cuối, biên thông minh và dữ liệu đo từ xa từ các nền tảng và dịch vụ của Microsoft, bao gồm cả Microsoft Defender.

Cyber Signals Lừa đảo qua mạng Tác nhân đe dọa

Bài viết liên quan

Gặp gỡ các chuyên gia theo dõi mánh khóe gian lận thẻ quà tặng của nhóm Storm-0539

Với kiến ​​thức nền tảng về quan hệ quốc tế, thực thi pháp luật liên bang, bảo mật và chính phủ, ba phân tích viên của Microsoft Threat Intelligence là Alison Ali, Waymon Ho và Emiel Haeghebaert cung cấp loạt kỹ năng độc đáo để theo dõi nhóm Storm-0539 (tác nhân đe dọa chuyên đánh cắp thông tin thẻ thanh toán và gian lận thẻ quà tặng).
Tìm hiểu thêm

Lợi dụng nền kinh tế dựa trên lòng tin: gian lận lừa đảo phi kỹ thuật

Khám phá bối cảnh kỹ thuật số ngày càng phát triển, nơi mà sự tin cậy vừa là tài sản quý giá, lại vừa là điểm yếu. Khám phá các chiến thuật gian lận lừa đảo phi kỹ thuật mà những kẻ tấn công qua mạng sử dụng nhiều nhất, cũng như xem xét các chiến lược có thể giúp bạn xác định và đánh bại các mối đe dọa lừa đảo phi kỹ thuật được thiết kế để thao túng bản chất con người.
Tìm hiểu thêm

Chuyển đổi những chiến thuật thúc đẩy nguy cơ xâm phạm email doanh nghiệp

Ngày nay, hành vi xâm phạm email doanh nghiệp (BEC) đang gia tăng khi tội phạm mạng có thể che giấu nguồn gốc các cuộc tấn công để trở nên bất chính hơn. Tìm hiểu về CaaS và cách giúp bảo vệ tổ chức của bạn.
Tìm hiểu thêm

Theo dõi Microsoft Security