O FBI emitiu um alerta para os varejistas dos EUA sobre um grupo de hackers maliciosos com motivação financeira que têm como alvo os funcionários com ataques de phishing na tentativa de criar cartões-presente fraudulentos.

Funcionários dos escritórios corporativos de empresas varejistas dos EUA têm sido alvo de ataques sofisticados de phishing por e-mail e ataques de phishing por SMS (“smishing”). Esses ataques tentam obter acesso às contas dos funcionários, aos sistemas de TI e aos serviços em nuvem usados pela empresa.

Uma vez que conseguem acesso, os cibercriminosos têm como alvo outros funcionários para se movimentar lateralmente através da rede. Eles tentam roubar senhas e chaves SSH que, no final das contas, permitiriam criar cartões-presente não autorizados.

Cartões-presente são uma opção de presente popular e conveniente, mas sua facilidade de uso os tornou um alvo principal para golpistas.

Apenas em 2023, os golpes com cartões-presente foram responsáveis por uma perda impressionante de US $ 217 milhões para os consumidores.

O “esvaziamento de cartão” é uma tática particularmente insidiosa, que envolve os golpistas coletarem informações sobre cartões-presente que ainda não foram comprados. Mais tarde, após serem comprados por um consumidor inocente, os golpistas podem usar os detalhes roubados do cartão-presente para fazer compras.

Mas o grupo cujas atividades o FBI está alertando, STORM-0539, não se limita apenas a roubar informações de cartões-presente. Eles também estão interessados em coletar dados de funcionários e detalhes de configuração de rede. Esses detalhes podem ser posteriormente vendidos a outros cibercriminosos ou explorados em ataques mais amplos posteriormente.

O grupo de crime cibernético STORM-0539 (também conhecido como Atlas Lion) está ativo desde pelo menos 2021. Eles se tornaram conhecidos pelo sofisticado kit de phishing que os permite superar as defesas de autenticação em duas etapas (MFA).

Eles também são conhecidos por sua persistência. A gangue do STORM-0539 usa uma variedade de técnicas para continuar os ataques mesmo depois que uma organização implementou defesas.

O alerta do FBI segue um alerta semelhante da Microsoft em dezembro sobre o aumento da atividade do STORM-0539 durante a temporada de festas.

No passado, os golpistas também removeram fisicamente cartões-presente das prateleiras das lojas, gravaram as informações de ativação do cartão-presente e os substituíram por cópias. Em seguida, os criminosos devolvem os cartões comprometidos às prateleiras, aguardando clientes desavisados comprá-los antes de fazer compras fraudulentas usando os fundos das vítimas.

Como consequência, legisladores de alguns estados têm pressionado por uma legislação mais forte que exija embalagens mais seguras para os cartões-presente.