O FBI emitiu um alerta para os varejistas dos EUA sobre um grupo de hackers maliciosos com motivação financeira que tem como alvo os funcionários com ataques de phishing na tentativa de criar cartões-presente fraudulentos.

Os funcionários dos escritórios corporativos de empresas varejistas dos EUA têm sido alvo de phishing por e-mail altamente sofisticados e ataques de phishing por SMS (“smishing”). Esses ataques tentam obter acesso às contas dos funcionários, sistemas de TI e serviços em nuvem usados pela empresa.

Uma vez que obtêm acesso, os cibercriminosos têm como alvo outros funcionários para se movimentarem lateralmente pela rede. Eles tentam roubar senhas e chaves SSH que permitiriam criar cartões-presente não autorizados.

Os cartões-presente são uma opção popular e conveniente para presentes, mas sua facilidade de uso os tornou um alvo principal para golpistas.

Apenas em 2023, os golpes com cartões-presente foram responsáveis por uma impressionante perda de US $ 217 milhões para os consumidores.

O “esvaziamento de cartões” é uma tática particularmente insidiosa, que permite que os golpistas coletem informações sobre cartões-presente que ainda não foram comprados. Mais tarde, após serem comprados por um consumidor desprevenido, os golpistas podem usar os detalhes do cartão presente roubado para fazer compras.

Mas o grupo cujas atividades o FBI está alertando, STORM-0539, não apenas rouba informações de cartões-presente. Eles também estão interessados em coletar dados de funcionários e detalhes de configuração de rede. Esses detalhes podem ser vendidos a outros cibercriminosos ou explorados em ataques mais amplos posteriormente.

O grupo de cibercrime STORM-0539 (também conhecido como Atlas Lion) está ativo desde pelo menos 2021. Eles se tornaram notórios pelo sofisticado kit de phishing que permite superar as defesas de autenticação de dois fatores (MFA).

Eles também são conhecidos por sua persistência. A gangue STORM-0539 usa uma variedade de técnicas para continuar os ataques mesmo depois que uma organização implementou defesas.

O alerta do FBI segue um alerta semelhante da Microsoft em dezembro sobre o aumento da atividade do STORM-0539 durante a temporada de festas.

No passado, os golpistas também removeram fisicamente cartões-presente das prateleiras das lojas, registraram as informações de ativação do cartão-presente e os substituíram por falsos. Em seguida, os criminosos devolvem os cartões comprometidos às prateleiras, aguardando que clientes desavisados os comprem antes de finalmente fazer compras fraudulentas usando os fundos das vítimas.

Como resultado, legisladores de alguns estados têm pressionado por uma legislação mais forte que garanta embalagens mais seguras para os cartões-presente.