行业新闻与博客

微软向零售商和餐馆发出警告，警惕复杂的礼品卡欺诈行为，受害者每天的损失可能高达 10 万美元。

在一份新的《网络信号》报告中，这家科技巨头强调，2024 年 3 月至 5 月期间威胁行为者 Storm-0539 的入侵活动增加了 30%。

该犯罪团伙在摩洛哥开展活动，主要针对与大型零售商、奢侈品牌和知名快餐店相关的礼品卡门户网站，破坏云服务和身份服务。

微软观察到 Storm-0539 在美国假期（例如即将到来的 2024 年 5 月 30 日阵亡将士纪念日）前夕加强了活动。它观察到该组织的入侵活动在 2024 年 3 月至 5 月期间增加了 30%。

微软发现，2023 年 9 月至 12 月期间，与感恩节、黑色星期五和圣诞节相吻合，该组织的入侵活动也增加了 60%。

针对礼品卡制作者的侦察

微软表示，Storm-0539 使用深度侦察和复杂的基于云的技术来瞄准礼品卡创建者，类似于民族国家行为者的间谍活动。

该组织自 2021 年底以来一直活跃，专注于攻击支付卡账户和系统。

最初，该病毒通常利用销售点 (POS) 恶意软件来窃取支付卡数据。然而，报告称，由于各行业加强了 POS 防御，该病毒逐渐演变为针对礼品卡门户网站。

为了进行初步侦察，Storm-0539 试图通过向个人和工作手机发送短信来入侵目标组织员工的账户。它通过访问员工目录和日程表、联系人列表和电子邮件收件箱来实现这一点。

一旦帐户被盗用，攻击者就会在网络中横向移动，试图识别礼品卡业务流程并收集有关远程环境的信息，例如虚拟机、VPN 连接、SharePoint 和 OneDrive 资源。

Storm-0539 随后利用这些信息通过被盗员工账户创建新的礼品卡。这样他们就可以兑换与这些卡相关的价值，将礼品卡卖给黑市上的其他威胁者，或者使用钱骡将礼品卡兑现。

微软表示，已经发现威胁行为者利用这种方式在某些公司每天窃取高达 10 万美元的例子。

该组织能够通过将自己的恶意设备注册到受害者网络，以便随后进行二次身份验证提示，从而保持对受感染账户的持续访问。这使其能够绕过多因素身份验证 (MFA) 保护。

利用云来保持不被发现

报告强调了 Storm-0539 在发动此类攻击时利用云资源伪装自己及其基础设施的能力。

该组织向云提供商伪装成合法组织，以获取临时应用程序、存储和其他初始免费资源以开展攻击活动。

为了显得合法，该组织通过域名抢注（即注册某个组织域名的常见拼写错误）创建了冒充美国慈善机构、动物收容所和其他非营利组织的网站。

微软认为 Storm-0539 会对目标公司的联合身份服务提供商进行广泛侦察，以令人信服地模仿用户登录体验。这包括中间人 (AiTM) 页面的出现和使用与合法服务非常匹配的注册域名。

该集团还采取了其他一些措施来最大限度地降低成本并提高运营效率。

据观察，有人从非营利组织的公共网站下载美国国税局 (IRS) 颁发的 f 501 (c)(3) 信件的合法副本，这些信件用于联系主要云提供商，以获得通常提供给非营利组织的赞助或折扣技术服务。

此外，据观察，Storm-0539 会在云服务平台上创建免费试用或学生账户，通常提供 30 天的访问权限。这些账户用于启动他们的目标操作。

微软写道：“Storm-0539 在入侵和创建基于云的基础设施方面的技能使他们可以避免网络犯罪经济中常见的前期成本，例如支付主机和服务器的费用。”

如何防范礼品卡欺诈

微软为提供礼品卡的组织提出了一系列建议，以防范这些复杂的策略。这些建议包括：

• 持续监控日志以识别可疑登录和其他依赖云身份泄露的常见初始访问载体
• 实施条件访问策略，限制登录并标记有风险的登录
• 考虑使用条件访问策略来补充 MFA，其中使用其他身份驱动信号（例如 IP 地址位置）来评估身份验证请求
• 重置与网络钓鱼和 AiTM 活动相关的用户的密码，这将撤销所有活动会话
• 更新身份、访问权限和分发列表以最大限度地减少攻击面
• 通过将令牌绑定到合法用户的设备，使用策略来防止令牌重放攻击
• 考虑切换到专门用于验证付款的礼品卡平台
• 过渡到防网络钓鱼凭证，例如 FIDO2 安全密钥
• 培训员工识别潜在的礼品卡诈骗并拒绝可疑订单