O FBI emitiu um alerta aos varejistas dos EUA sobre um grupo de hackers maliciosos motivados financeiramente que têm como alvo os funcionários com ataques de phishing na tentativa de criar cartões de presente fraudulentos.

Os funcionários dos escritórios corporativos de empresas varejistas dos EUA têm sido alvo de ataques altamente sofisticados de phishing por e-mail e phishing por SMS (“smishing”). Esses ataques tentam obter acesso às contas dos funcionários, sistemas de TI e serviços em nuvem usados pela empresa.

Uma vez que obtêm acesso, os cibercriminosos alvejam outros funcionários para se mover lateralmente pela rede. Eles tentam roubar senhas e chaves SSH que eventualmente lhes permitiriam criar cartões de presente não autorizados.

Os cartões de presente são uma opção popular e conveniente, mas sua facilidade de uso os tornou um alvo principal para golpistas.

Apenas em 2023, os golpes com cartões de presente foram responsáveis por uma impressionante perda de US $ 217 milhões para os consumidores.

O “esvaziamento de cartões” é uma tática particularmente insidiosa, que permite aos golpistas coletar informações sobre cartões de presente que ainda não foram comprados. Mais tarde, depois que esses são comprados por um consumidor desavisado, os golpistas podem usar os detalhes roubados do cartão de presente para fazer compras.

Mas o grupo cujas atividades o FBI está alertando, STORM-0539, não apenas rouba informações de cartões de presente. Eles também estão interessados em coletar dados de funcionários e detalhes de configuração da rede. Esses detalhes podem ser vendidos posteriormente para outros cibercriminosos ou explorados em ataques mais amplos posteriormente.

O grupo de cibercrime STORM-0539 (também conhecido como Atlas Lion) está ativo desde pelo menos 2021. Ele se tornou notório pelo sofisticado kit de phishing que permite derrotar as defesas de autenticação de múltiplos fatores (MFA).

Eles também são conhecidos por sua persistência. A gangue STORM-0539 usa uma variedade de técnicas para continuar os ataques mesmo depois que uma organização implementou defesas.

O alerta do FBI segue um alerta semelhante da Microsoft em dezembro sobre o aumento da atividade STORM-0539 durante a temporada de férias.

No passado, os golpistas também removeram fisicamente os cartões de presente das prateleiras das lojas, registraram as informações de ativação do cartão de presente e os substituíram por cartões falsos. Em seguida, os criminosos devolvem os cartões comprometidos às prateleiras, aguardando que clientes desavisados os comprem antes de fazer compras fraudulentas usando os fundos das vítimas.

Como resultado, legisladores em alguns estados têm promovido uma legislação mais rigorosa que exige embalagens mais seguras para os cartões de presente.