This is the Trace Id: b88dd42c58ed37925246226e8d28405e

Lahjakorttipetosten kasvava riski

Lataa
Jaa
Kannettava tietokone, josta lentää ulos lahja- ja luottokortteja

Cyber Signals Issue 7: Leijonan kitaan

Aikana, jolloin digitaalisista maksuista ja verkko-ostoksista on tullut olennainen osa jokapäiväistä elämäämme, kyberrikollisuuden uhka kasvaa. Näistä uhkista lahja- ja maksukorttipetokset, joihin kuuluvat sekä luottokorttiyhtiöiden että vähittäiskauppiaiden lahjakortit, ovat laajalle levinneitä ja kehittyviä. Rikolliset käyttävät yhä kehittyneempiä menetelmiä vaarantaakseen lahjakorttiportaalit ja muuttaakseen ne lähes jäljittämättömäksi käteiseksi.

Tässä Cyber Signalsin jaksossa perehdytään Microsoftin Storm-0539:ksi (tunnetaan myös nimellä Atlas Lion) kutsuman kyberrikollisuuden uhkaavan toimijan taktiikoihin, tekniikoihin ja menettelytapoihin sekä sen toimintaan lahjakorttivarkauksien alalla, sen menetelmien monimutkaisuuteen ja vaikutuksiin yksityishenkilöille, yrityksille ja kyberturvallisuudelle.

Storm-0539 on pysynyt merkityksellisenä vuosien varrella ja sopeutunut jatkuvasti muuttuvaan rikollisuusympäristöön. Salattujen kanavien ja maanalaisten foorumien sokkeloisen verkoston kautta he järjestävät laittomia operaatioita hyödyntämällä teknologisia porsaanreikiä ja käyttämällä nokkelia käyttäjän manipulointi -kampanjoita toimintansa laajentamiseksi.

Vaikka monet kyberrikollisuuden uhkaavat toimijat valitsevat pienimmän vastuksen tien nopeiden voittojen saamiseksi ja keskittyvät mittakaavaan, Storm-0539 osoittaa, että se keskittyy hiljaisesti ja tuottavasti lahjakorttijärjestelmien ja maksutapahtumien vaarantamiseen. Tämä hyökkääjä hyökkää jatkuvasti lahjakorttien myöntäjiä vastaan mukauttamalla tekniikoita vähittäiskaupan, maksamisen ja muiden vastaavien alojen muutosten tahdissa.

Olemme kaikki puolustajia.

Historiallisesti Storm-0539 lisää hyökkäysaktiivisuuttaan ennen suuria juhlapyhiä. Maaliskuun ja toukokuun 2024 välisenä aikana, ennen kesälomakauden alkua, Microsoft havaitsi Storm-0539:n tunkeutumisaktiivisuuden kasvaneen 30 prosenttia. Syyskuun ja joulukuun 2023 välisenä aikana hyökkäysaktiivisuus lisääntyi 60 prosenttia, mikä osui samaan aikaan syys- ja talvilomien kanssa.

  • Storm-0539:n tunkeutumisaktiivisuus lisääntyi 30 prosenttia maaliskuun ja toukokuun 2024 välisenä aikana
  • Storm-0539:n tunkeutumisaktiivisuus lisääntyi 60 prosenttia syyskuun ja joulukuun 2024 välisenä aikana

Hyökkääjät hiovat lahja- ja maksukorttiryöstöjä

Storm-0539 toimii Marokosta käsin ja osallistuu talousrikoksiin, kuten lahjakorttipetoksiin. Heidän tekniikoihinsa kuuluvat tietojen kalastelu, tekstiviestihuijaus, omien laitteiden rekisteröinti uhriympäristöihin pysyvän pääsyn saamiseksi ja pääsyn hyödyntäminen kolmannen osapuolen organisaatioihin. He rekisteröivät laitteet niin, että vaarantuneeseen uhritiliin liittyvät monimenetelmäisen todentamisen (MFA) kehotukset siirtyvät hyökkääjän laitteelle. Kun laite rekisteröidään, se voi täysin vaarantaa identiteetin ja pysyä pilviympäristössä. 

Tämä vuoden 2021 lopusta lähtien toiminut kyberrikollisryhmä edustaa maksukorttitileihin ja -järjestelmiin hyökkäämiseen keskittyneiden uhkaavien toimijoiden kehitystä. Hyökkääjät ovat aiemmin yleisesti vaarantaneet maksukorttitietoja myyntipisteiden (POS) haittaohjelmilla. Kun yritykset kuitenkin vahvistivat POS-puolustuksiaan, Storm-0539 mukautti hyökkäystekniikoitaan vaarantaakseen pilvi- ja identiteettipalveluja kohdistamalla rikollisia hyökkäyksiä suuriin vähittäiskauppoihin, luksusbrändeihin ja tunnettuihin pikaruokaravintoloihin liittyviin lahjakorttiportaaleihin.

Maksu- ja lahjakorttipetokset ovat perinteisesti liittyneet kehittyneisiin haittaohjelmiin ja tietojenkalastelukampanjoihin. Tämä ryhmä hyödyntää kuitenkin pilvipalvelun syvällistä tuntemustaan tehdäkseen tiedusteluja organisaation lahjakorttien myöntämisprosesseista, lahjakorttiportaaleista ja työntekijöistä, joilla on pääsy lahjakortteihin.

Tyypillisesti hyökkäysketju sisältää seuraavat toimet:
  • Storm-0539 käyttää työntekijähakemistoja ja -aikatauluja, yhteystietoluetteloita ja sähköpostilaatikoita, ja se kohdistaa tekstiviestihuijauksia työntekijöiden henkilökohtaisiin puhelimiin ja työpuhelimiin. 
  • Kun kohdeorganisaation työntekijätilille on tunkeuduttu, hyökkääjät liikkuvat sivusuunnassa verkon läpi yrittäen tunnistaa lahjakorttien liiketoimintaprosessin ja suuntautuvat tähän tiettyyn portfolioon liittyviin vaarannettuihin tileihin. 
  • He keräävät myös tietoja näennäiskoneista, VPN-yhteyksistä, SharePoint- ja OneDrive-resursseista sekä Salesforce- ja Citrix-ympäristöistä sekä muista etäympäristöistä. 
  • Pääsyn saatuaan ryhmä luo uusia lahjakortteja käyttäen vaarannettuja työntekijätilejä. 
  • Sitten he lunastavat kortteihin liittyvän arvon, myyvät lahjakortit muille uhkaaville toimijoille mustassa pörssissä tai käyttävät rahamuuleja lahjakorttien lunastamiseen.
Kuva, jossa on kaksi puhelinta, joissa on Storm-0539:n huijaustekstiviestejä, joissa esiinnytään kohteena olevan työntekijän yrityksen tukipalveluna.
Storm-0539:n huijaustekstiviestejä, joissa esiinnytään kohteena olevan työntekijän yrityksen tukipalveluna.

Storm-0539:n tiedustelu ja kyky hyödyntää pilviympäristöjä ovat samankaltaisia kuin mitä Microsoft on havainnut valtioiden tukemien uhkaavien toimijoiden kohdalla, mikä osoittaa, miten vakoilun ja geopoliittisesti suuntautuneiden vastustajien suosimat tekniikat vaikuttavat nyt taloudellisesti motivoituneisiin rikollisiin.

Storm-0539 esimerkiksi hyödyntää tietämystään pilvipohjaisista ohjelmistoista, identiteettijärjestelmistä ja käyttöoikeuksista kohdentaakseen lahjakorttien luomispaikat sen sijaan, että keskittyisi pelkästään loppukäyttäjiin. Tämä toiminta on suuntaus, jonka näemme Octo Tempestin ja Storm-0539:n kaltaisten valtiosta riippumattomien ryhmien keskuudessa, jotka ovat taktisesti hyvin perehtyneitä pilviresursseihin pitkälle kehittyneiden valtioiden tukemien toimijoiden tavoin.

Naamioidakseen itsensä ja pysyäkseen huomaamattomana Storm-0539 esiintyy pilvipalveluntarjoajille laillisina organisaatioina saadakseen tilapäisiä sovelluksia, tallennustilaa ja muita aluksi ilmaisia resursseja hyökkäystoimintaansa varten.

Osana tätä pyrkimystä he luovat verkkosivustoja, jotka esiintyvät hyväntekeväisyysjärjestöinä, eläinsuojina ja muina voittoa tavoittelemattomina järjestöinä Yhdysvalloissa tyypillisesti typosquatting-menetelmällä, eli petollisella käytännöllä, jossa yksityishenkilöt rekisteröivät jonkun organisaation verkkotunnuksen yleisen kirjoitusvirheen omaksi verkkotunnuksekseen huijatakseen käyttäjiä vierailemaan vilpillisillä sivustoilla ja syöttämään sinne henkilökohtaisia tietojaan tai ammatillisia tunnistetietojaan.

Microsoft on havainnut Storm-0539:n lataavan voittoa tavoittelemattomien organisaatioiden julkisilta verkkosivuilta laillisia kopioita Internal Revenue Servicen (IRS) myöntämistä 501(c)(3)-kirjeistä laajentaakseen petostyökalujaan entisestään. He ottavat käyttöön kopion laillisesta 501(c)(3)-kirjeestä ja sopivan verkkotunnuksen, joka esittää voittoa tavoittelematonta organisaatiota, jolle kirje on myönnetty, ja lähestyvät suuria pilvipalveluntarjoajia saadakseen sponsoroituja tai alennettuja teknologiapalveluja, joita annetaan usein voittoa tavoittelemattomille organisaatioille.

Infografiikka Storm-0539:n toiminnasta.
Storm-0539 toimii maksuttomilla kokeiluversioilla, käytön mukaan laskutettavilla tilauksilla ja vaarannetuilla pilviresursseilla. Havaitsimme myös, että Storm-0539 esiintyi laillisina voittoa tavoittelemattomina organisaatioina saadakseen hyväntekeväisyyssponsorointia useilta pilvipalveluntarjoajilta.

Ryhmä luo myös ilmaisia kokeilu- tai opiskelijatilejä pilvipalvelualustoille, jotka tarjoavat uusille asiakkaille yleensä 30 päivän käyttöoikeuden. Näillä tileillä he luovat näennäiskoneita, joista he käynnistävät kohdennetut operaationsa. Storm-0539:n taito vaarantaa ja luoda pilvipohjainen hyökkäysinfrastruktuuri antaa heille mahdollisuuden välttää kyberrikollisuudessa yleisiä alkukustannuksia, kuten isännistä ja palvelimista maksamista, kun he pyrkivät minimoimaan kustannukset ja maksimoimaan tehokkuuden.

Microsoft arvioi, että Storm-0539 tekee laajaa tiedustelua kohdeyritysten yhdistettyjen identiteettipalvelujen tarjoajissa jäljitelläkseen vakuuttavasti käyttäjän kirjautumiskokemusta, mukaan lukien AITM (adversary-in-the-middle) -sivun näyttämisen lisäksi myös sellaisten rekisteröityjen verkkotunnusten käyttö, jotka vastaavat läheisesti laillisia palveluja. Muissa tapauksissa Storm-0539 on vaarantanut lailliset, äskettäin rekisteröidyt WordPress-verkkotunnukset AiTM-saapumissivun luomiseksi.

Suositukset

  • Tunnuksen suojaus ja vähimpien oikeuksien periaate: Käytä käytäntöjä suojautuaksesi tunnusten toistohyökkäyksiltä sitomalla tunnus laillisen käyttäjän laitteeseen. Käytä vähimpien käyttöoikeuksien periaatteita koko teknologiapinossa hyökkäyksen mahdollisten vaikutusten minimoimiseksi.
  • Ota käyttöön turvallinen lahjakorttijärjestelmä ja ota käyttöön petoksilta suojaavia ratkaisuja: Harkitse siirtymistä maksujen todentamiseen tarkoitettuun järjestelmään. Kauppiaat voivat myös integroida petostentorjuntaominaisuuksia tappioiden minimoimiseksi.
  • Tietojen kalastelun kestävä MFA: Siirry tietojenkalastelunkestäviin tunnistetietoihin, jotka ovat immuuneja erilaisille hyökkäyksille, kuten FIDO2-suojausavaimiin.
  • Edellytä turvallinen salasanan vaihto, kun käyttäjän riskitaso on korkea: Microsoft Entra MFA vaaditaan, ennen kuin käyttäjä voi luoda uuden salasanan takaisinkirjoituksella, jotta riski voidaan korjata.
  • Kouluta työntekijöitä: Kauppiaiden tulisi kouluttaa työntekijät tunnistamaan mahdolliset lahjakorttihuijaukset ja hylkäämään epäilyttävät tilaukset.

Myrskystä selviytyminen: Puolustautuminen storm-0539:ää vastaan

Lahjakortit ovat houkuttelevia petoksen kohteita, koska toisin kuin luotto- tai pankkikortteihin, niihin ei liity asiakkaiden nimiä tai pankkitilejä. Microsoft näkee, että tähän toimialaan keskittyneen Storm-0539:n toiminta vilkastuu juhlapyhien aikaan. Memorial Day, Labor Day ja kiitospäivä Yhdysvalloissa sekä Black Friday ja joululomat eri puolilla maailmaa liittyvät yleensä ryhmän aktiivisempaan toimintaan.

Yleensä organisaatiot asettavat rajoituksen yksittäiselle lahjakortille myönnettävälle käteisarvolle. Jos raja on esimerkiksi 100 000 USD, uhkaava toimija myöntää kortin 99 000 USD:n arvosta, lähettää lahjakortin koodin itselleen ja muuttaa sen rahaksi. Heidän ensisijainen motiivinsa on varastaa lahjakortteja ja hyötyä myymällä niitä verkossa alennettuun hintaan. Olemme nähneet esimerkkejä, joissa uhkaava toimija on varastanut jopa 100 000 USD päivässä tietyiltä yrityksiltä.

Suojautuakseen tällaisilta hyökkäyksiltä ja estääkseen tätä ryhmää pääsemästä luvattomasti lahjakorttiosastoille, lahjakortteja myöntävien yritysten olisi kohdeltava lahjakorttiportaalejaan arvokkaina kohteina. Niitä tulisi seurata tiiviisti ja valvottava jatkuvasti poikkeavan toiminnan varalta.

Kaikki lahjakortteja luovat tai myöntävät organisaatiot voivat ottaa käyttöön tarkistuksia ja saldoja, joilla estetään nopea pääsy lahjakorttiportaaleihin ja muihin arvokkaisiin kohteisiin, vaikka tili olisi vaarantunut. Seuraa jatkuvasti lokitietoja, jotta voit tunnistaa epäilyttävät kirjautumiset ja muut yleiset ensimmäisen käytön toimet, jotka perustuvat pilvi-identiteetin vaarantamiseen, ja ota käyttöön ehdollisia käyttöoikeuskäytäntöjä, jotka rajoittavat kirjautumisia ja merkitsevät riskialttiit kirjautumiset.

Organisaatioiden tulisi myös harkita MFA:n täydentämistä ehdollisilla käyttöoikeuskäytännöillä, joissa todennuspyyntöjä arvioidaan muiden identiteettilähtöisten signaalien, kuten IP-osoitteen sijaintitietojen tai laitteen tilan, perusteella.

Toinen taktiikka, joka voisi auttaa hillitsemään näitä hyökkäyksiä, on asiakkaan todentamisprosessi verkkotunnuksia ostettaessa. Säädökset ja myyjäkäytännöt eivät välttämättä estä pahantahtoista typosquattingia kaikkialla maailmassa, joten nämä harhaanjohtavat verkkosivustot voivat pysyä suosittuina kyberhyökkäysten skaalaamiseksi. Verkkotunnusten luomisessa käytettävät tarkistusprosessit voisivat auttaa hillitsemään useampia sivustoja, jotka on luotu pelkästään uhrien huijaamista varten.

Harhaanjohtavien verkkotunnusten lisäksi Microsoft on havainnut Storm-0539:n käyttävän laillisia yrityksen sisäisiä postituslistoja tietojenkalasteluviestien levittämiseen, kun he ovat saaneet jalansijaa yrityksessä ja ymmärtäneet sen jakelulistat ja muut liiketoiminnan normit.

Sen lisäksi, että voimassa olevan jakeluluettelon kautta tapahtuva tietojenkalastelu lisää haitallisen sisällön autenttisuutta, se auttaa myös tarkentamaan sisällön kohdentamista useammille henkilöille, joilla on pääsy tunnistetietoihin, suhteisiin ja tietoihin, joihin Storm-0539 luottaa pysyvyyden ja tavoitettavuuden lisäämiseksi.

Kun käyttäjät napsauttavat tietojenkalastelusähköpostiviestien tai -tekstiviestien sisältämiä linkkejä, heidät ohjataan AiTM-tietojenkalastelusivulle, jolta he voivat varastaa tunnistetiedot ja kaapata toissijaisen todennuskoodin. Vähittäiskauppiaita kannustetaan opettamaan henkilökunnalle, miten tekstiviestihuijaukset ja tietojenkalasteluhuijaukset toimivat, miten ne tunnistetaan ja miten niistä ilmoitetaan.

On tärkeää korostaa, että toisin kuin äänekkäät kiristysohjelmia käyttävät uhkaavat toimijat, jotka salaavat ja varastavat tietoja ja ahdistelevat sitten maksamaan, Storm-0539 luistelee pilviympäristössä hiljaa keräämällä tiedustelutietoja ja käyttämällä pilvi- ja identiteetti-infrastruktuuria väärin päämääränsä saavuttamiseksi.

Storm-0539-operaatiot ovat vakuuttavia, koska toimijat käyttävät laillisia vaarannettuja sähköposteja ja jäljittelevät kohdeyrityksen käyttämiä laillisia alustoja. Joidenkin yritysten lahjakorttien tappiot ovat korvattavissa. Tämä edellyttää perusteellista tutkimusta sen selvittämiseksi, mitkä lahjakortit uhkaava toimija on myöntänyt.

Microsoft Threat Intelligence on julkaissut ilmoituksia organisaatioille, joihin Storm-0539 on vaikuttanut. Osittain tämän tiedonvaihdon ja yhteistyön ansiosta olemme viime kuukausina havainneet, että suurten vähittäiskauppiaiden kyky torjua tehokkaasti Storm-0539-toimintaa on parantunut.

Infografiikka Storm-0539:n tunkeutumisen elinkaaresta, joka alkaa tietojenkalastelusta tai tekstiviestihuijauksesta, jonka jälkeen seuraa ”Pilviresurssien käyttö”, ”Vaikutus (tietojen luvaton siirto ja lahjakorttien varastaminen)” ja ”Tietoja tulevia hyökkäyksiä varten”. Identiteetti pysyy grafiikan keskiössä.
Storm-0539:n tunkeutumisen elinkaari.

Suositukset

  • Nollaa tietojenkalastelu- ja AiTM-toimintaan liittyvien käyttäjien salasanat: Jos haluat peruuttaa kaikki aktiiviset istunnot, nollaa salasanat välittömästi. Peruuta kaikki MFA-asetusten muutokset, jotka hyökkääjä on tehnyt vaarantuneille tileille. Vaadi oletusarvoisesti MFA:n uudelleenhaastaminen MFA-päivityksiä varten. Varmista myös, että mobiililaitteet, joilla työntekijät käyttävät yritysverkkoja, on suojattu samalla tavalla.
  • Ota käyttöön nopea automaattinen puhdistus (ZAP) Microsoft Defender for Office 365:ssä: ZAP löytää tietojenkalastelukampanjaan kuuluvia sähköpostiviestejä ja ryhtyy automaattisiin toimiin tunnettujen pahojen viestien identtisten elementtien perusteella.
  • Päivitä käyttäjätiedot, käyttöoikeudet ja jakelulistat hyökkäyspintojen minimoimiseksi: Storm-0539:n kaltaiset hyökkääjät olettavat, että he löytävät käyttäjiä, joilla on liialliset käyttöoikeudet, jotka he voivat vaarantaa ja saada aikaan suuren vaikutuksen. Työntekijöiden ja tiimien roolit voivat muuttua usein. Käyttöoikeuksien, jakelulistan jäsenyyksien ja muiden ominaisuuksien säännöllinen tarkistaminen voi auttaa rajoittamaan ensimmäisen tunkeutumisen seurauksia ja vaikeuttaa tunkeutujien työtä.

Lue lisää Storm-0539:stä ja Microsoft Threat Intelligence -asiantuntijoista, jotka ovat omistautuneet seuraamaan tietoverkkorikoksia ja uusimpia uhkia.

Metodologia: Tilannevedos ja kattavuustiedot osoittavat, että asiakkaidemme ilmoitukset ja havainnot uhkaavasta toimijasta Storm-0539:stä ovat lisääntyneet. Nämä luvut heijastavat tämän ryhmän seurantaan käytetyn henkilöstön ja resurssien lisääntymistä. Azure Active Directory tarjosi anonymisoitua tietoa uhkatoiminnasta, kuten haitallisista sähköpostitileistä, tietojenkalastelusähköposteista ja hyökkääjien liikkumisesta verkoissa. Lisätietoa saadaan Microsoftin päivittäin käsittelemistä 78 biljoonasta turvallisuussignaalista, mukaan lukien pilvestä, päätepisteistä, älykkäästä reunasta sekä Microsoftin alustojen ja palvelujen, kuten Microsoft Defenderin, telemetriasta.

Cyber Signals Tietojen kalastelu Uhkaavat toimijat

Aiheeseen liittyviä artikkeleita

Tutustu Storm-0539:n lahjakorttipetoksia jäljittäviin asiantuntijoihin

Microsoft Threat Intelligence -analyytikot Alison Ali, Waymon Ho ja Emiel Haeghebaert, joilla on taustaa kansainvälisistä suhteista, liittovaltion lainvalvonnasta, turvallisuudesta ja valtionhallinnosta, tarjoavat ainutlaatuista osaamista maksukorttivarkauksiin ja lahjakorttipetoksiin erikoistuneen Storm-0539:n jäljittämiseksi.
Lue lisää

Luottamusyhteiskunnan hyödyntäminen: käyttäjän manipulointipetos

Tutustu kehittyvään digitaaliseen ympäristöön, jossa luottamus on sekä valuutta että haavoittuvuus. Tutustu kyberhyökkääjien eniten käyttämiin käyttäjien manipulointitaktiikoihin sekä strategioihin, joiden avulla voit tunnistaa ja torjua käyttäjien manipulointiuhkia, joilla pyritään huijaamaan ihmisiä.
Lue lisää

Taktiikan muuttaminen kiihdyttää yrityssähköpostin vaarantumista

Yrityssähköpostin vaarantuminen (BEC) on nousussa, sillä kyberrikolliset voivat nyt peittää hyökkäysten lähteen ja toimia entistä uhkaavammin. Lue lisää CaaS-ilmiöstä (Cyber-Crime-as-a Service eli kyberrikoksia palveluina) sekä organisaatiosi suojaamisesta.
Lue lisää

Seuraa Microsoft Securitya