行業新聞與部落格

微軟向零售商和餐館發出警告，警惕複雜的禮品卡欺詐行為，受害者每天的損失可能高達 10 萬美元。

在一份新的《網路訊號》報告中，這家科技巨頭強調，2024 年 3 月至 5 月期間威脅行為者 Storm-0539 的入侵活動增加了 30%。

該犯罪團伙在摩洛哥開展活動，主要針對與大型零售商、奢侈品牌和知名快餐店相關的禮品卡入口網站，破壞雲服務和身份服務。

微軟觀察到 Storm-0539 在美國假期（例如即將到來的 2024 年 5 月 30 日陣亡將士紀念日）前夕加強了活動。它觀察到該組織的入侵活動在 2024 年 3 月至 5 月期間增加了 30%。

微軟發現，2023 年 9 月至 12 月期間，與感恩節、黑色星期五和聖誕節相吻合，該組織的入侵活動也增加了 60%。

針對禮品卡製作者的偵察

微軟表示，Storm-0539 使用深度偵察和複雜的基於雲的技術來瞄準禮品卡建立者，類似於民族國家行為者的間諜活動。

該組織自 2021 年底以來一直活躍，專注於攻擊支付卡賬戶和系統。

最初，該病毒通常利用銷售點 (POS) 惡意軟體來竊取支付卡資料。然而，報告稱，由於各行業加強了 POS 防禦，該病毒逐漸演變為針對禮品卡入口網站。

為了進行初步偵察，Storm-0539 試圖透過向個人和工作手機發送簡訊來入侵目標組織員工的賬戶。它透過訪問員工目錄和日程表、聯絡人列表和電子信箱收件箱來實現這一點。

一旦帳戶被盜用，攻擊者就會在網路中橫向移動，試圖識別禮品卡業務流程並收集有關遠端環境的資訊，例如虛擬機器、VPN 連線、SharePoint 和 OneDrive 資源。

Storm-0539 隨後利用這些資訊透過被盜員工賬戶建立新的禮品卡。這樣他們就可以兌換與這些卡相關的價值，將禮品卡賣給黑市上的其他威脅者，或者使用錢騾將禮品卡兌現。

微軟表示，已經發現威脅行為者利用這種方式在某些公司每天竊取高達 10 萬美元的例子。

該組織能夠透過將自己的惡意設備註冊到受害者網路，以便隨後進行二次身份驗證提示，從而保持對受感染賬戶的持續訪問。這使其能夠繞過多因素身份驗證 (MFA) 保護。

利用雲來保持不被發現

報告強調了 Storm-0539 在發動此類攻擊時利用雲資源偽裝自己及其基礎設施的能力。

該組織向雲提供商偽裝成合法組織，以獲取臨時應用程式、儲存和其他初始免費資源以開展攻擊活動。

為了顯得合法，該組織透過網域名稱搶注（即註冊某個組織網域名稱的常見拼寫錯誤）建立了冒充美國慈善機構、動物收容所和其他非營利組織的網站。

微軟認為 Storm-0539 會對目標公司的聯合身份服務提供商進行廣泛偵察，以令人信服地模仿使用者登入體驗。這包括中間人 (AiTM) 頁面的出現和使用與合法服務非常匹配的註冊網域名稱。

該集團還採取了其他一些措施來最大限度地降低成本並提高運營效率。

據觀察，有人從非營利組織的公共網站下載美國國稅局 (IRS) 頒發的 f 501 (c)(3) 信件的合法副本，這些信件用於聯絡主要雲提供商，以獲得通常提供給非營利組織的贊助或折扣技術服務。

此外，據觀察，Storm-0539 會在雲服務平臺上建立免費試用或學生賬戶，通常提供 30 天的訪問許可權。這些賬戶用於啟動他們的目標操作。

微軟寫道：“Storm-0539 在入侵和建立基於雲的基礎設施方面的技能使他們可以避免網路犯罪經濟中常見的前期成本，例如支付主機和伺服器的費用。”

如何防範禮品卡欺詐

微軟為提供禮品卡的組織提出了一系列建議，以防範這些複雜的策略。這些建議包括：

• 持續監控日誌以識別可疑登入和其他依賴雲身份洩露的常見初始訪問載體
• 實施條件訪問策略，限制登入並標記有風險的登入
• 考慮使用條件訪問策略來補充 MFA，其中使用其他身份驅動訊號（例如 IP 地址位置）來評估身份驗證請求
• 重置與網路釣魚和 AiTM 活動相關的使用者的密碼，這將撤銷所有活動會話
• 更新身份、訪問許可權和分發列表以最大限度地減少攻擊面
• 透過將令牌繫結到合法使用者的裝置，使用策略來防止令牌重放攻擊
• 考慮切換到專門用於驗證付款的禮品卡平臺
• 過渡到防網路釣魚憑證，例如 FIDO2 安全金鑰
• 培訓員工識別潛在的禮品卡詐騙並拒絕可疑訂單