行業新聞與博客

微軟向零售商和餐館發出警告，警惕複雜的禮品卡欺詐行為，受害者每天的損失可能高達 10 萬美元。

在一份新的《網絡信號》報告中，這家科技巨頭強調，2024 年 3 月至 5 月期間威脅行為者 Storm-0539 的入侵活動增加了 30%。

該犯罪團伙在摩洛哥開展活動，主要針對與大型零售商、奢侈品牌和知名快餐店相關的禮品卡門户網站，破壞雲服務和身份服務。

微軟觀察到 Storm-0539 在美國假期（例如即將到來的 2024 年 5 月 30 日陣亡將士紀念日）前夕加強了活動。它觀察到該組織的入侵活動在 2024 年 3 月至 5 月期間增加了 30%。

微軟發現，2023 年 9 月至 12 月期間，與感恩節、黑色星期五和聖誕節相吻合，該組織的入侵活動也增加了 60%。

針對禮品卡製作者的偵察

微軟表示，Storm-0539 使用深度偵察和複雜的基於雲的技術來瞄準禮品卡創建者，類似於民族國家行為者的間諜活動。

該組織自 2021 年底以來一直活躍，專注於攻擊支付卡賬户和系統。

最初，該病毒通常利用銷售點 (POS) 惡意軟件來竊取支付卡數據。然而，報告稱，由於各行業加強了 POS 防禦，該病毒逐漸演變為針對禮品卡門户網站。

為了進行初步偵察，Storm-0539 試圖通過向個人和工作手機發送短信來入侵目標組織員工的賬户。它通過訪問員工目錄和日程表、聯繫人列表和電郵收件箱來實現這一點。

一旦帳户被盜用，攻擊者就會在網絡中橫向移動，試圖識別禮品卡業務流程並收集有關遠程環境的信息，例如虛擬機、VPN 連接、SharePoint 和 OneDrive 資源。

Storm-0539 隨後利用這些信息通過被盜員工賬户創建新的禮品卡。這樣他們就可以兑換與這些卡相關的價值，將禮品卡賣給黑市上的其他威脅者，或者使用錢騾將禮品卡兑現。

微軟表示，已經發現威脅行為者利用這種方式在某些公司每天竊取高達 10 萬美元的例子。

該組織能夠通過將自己的惡意設備註冊到受害者網絡，以便隨後進行二次身份驗證提示，從而保持對受感染賬户的持續訪問。這使其能夠繞過多因素身份驗證 (MFA) 保護。

利用雲來保持不被發現

報告強調了 Storm-0539 在發動此類攻擊時利用雲資源偽裝自己及其基礎設施的能力。

該組織向雲提供商偽裝成合法組織，以獲取臨時應用程序、存儲和其他初始免費資源以開展攻擊活動。

為了顯得合法，該組織通過域名搶注（即註冊某個組織域名的常見拼寫錯誤）創建了冒充美國慈善機構、動物收容所和其他非營利組織的網站。

微軟認為 Storm-0539 會對目標公司的聯合身份服務提供商進行廣泛偵察，以令人信服地模仿用户登錄體驗。這包括中間人 (AiTM) 頁面的出現和使用與合法服務非常匹配的註冊域名。

該集團還採取了其他一些措施來最大限度地降低成本並提高運營效率。

據觀察，有人從非營利組織的公共網站下載美國國税局 (IRS) 頒發的 f 501 (c)(3) 信件的合法副本，這些信件用於聯繫主要雲提供商，以獲得通常提供給非營利組織的贊助或折扣技術服務。

此外，據觀察，Storm-0539 會在雲服務平台上創建免費試用或學生賬户，通常提供 30 天的訪問權限。這些賬户用於啓動他們的目標操作。

微軟寫道：“Storm-0539 在入侵和創建基於雲的基礎設施方面的技能使他們可以避免網絡犯罪經濟中常見的前期成本，例如支付主機和服務器的費用。”

如何防範禮品卡欺詐

微軟為提供禮品卡的組織提出了一系列建議，以防範這些複雜的策略。這些建議包括：

• 持續監控日誌以識別可疑登錄和其他依賴雲身份泄露的常見初始訪問載體
• 實施條件訪問策略，限制登錄並標記有風險的登錄
• 考慮使用條件訪問策略來補充 MFA，其中使用其他身份驅動信號（例如 IP 地址位置）來評估身份驗證請求
• 重置與網絡釣魚和 AiTM 活動相關的用户的密碼，這將撤銷所有活動會話
• 更新身份、訪問權限和分發列表以最大限度地減少攻擊面
• 通過將令牌綁定到合法用户的設備，使用策略來防止令牌重放攻擊
• 考慮切換到專門用於驗證付款的禮品卡平台
• 過渡到防網絡釣魚憑證，例如 FIDO2 安全密鑰
• 培訓員工識別潛在的禮品卡詐騙並拒絕可疑訂單