Você está visualizando atualmente Pesquisadores da Microsoft Descobrem Antigo Golpe com Nova Aparência para a Era da Nuvem: Hackeando Portais de Varejistas para Chover Cartões Presente

Pesquisadores da Microsoft Descobrem Antigo Golpe com Nova Aparência para a Era da Nuvem: Hackeando Portais de Varejistas para Chover Cartões Presente

Um grupo de ameaças marroquino atualizou o golpe clássico de cartões-presente, visando não os clientes do varejo, mas os sistemas que registram os cartões, permitindo que eles “imprimam” dinheiro à vontade.

Os golpistas têm usado táticas de engenharia social para convencer pessoas comuns a comprarem cartões-presente para eles há anos. O modus operandi não mudou muito ao longo do tempo, porque não precisava; é tão eficaz e lucrativo hoje como sempre foi.

Talvez seja por isso que a última campanha do grupo de criminosos cibernéticos denominado Storm-0539, também conhecido como Atlas Lion, se destaque: eles pegaram algo que não estava quebrado e o tornaram melhor. Em vez de ter que trabalhar com vítimas individuais – sempre intensivo em trabalho, com potencialmente baixo retorno -, os atacantes comprometem os varejistas em si, especificamente os portais que utilizam para emitir cartões-presente.

Eis como funciona, de acordo com um novo relatório da Microsoft.

Em vez de clientes do varejo, o Storm-0539 visa os funcionários do varejo com mensagens de phishing. O objetivo de sua engenharia social é comprometer as contas de seus empregadores.

Usando a conta de um funcionário, os criminosos cibernéticos conseguem começar a ver e mover-se lateralmente dentro da rede de um varejista. Às vezes, eles usarão o primeiro funcionário para comprometer outros, com tentativas de phishing enviadas através de listas de e-mails internos que imitam as normas comerciais habituais da empresa. Do contrário, com acesso a contas de privilégio suficiente, eles roubam informações sobre vários serviços e contas que podem usar para, por fim, chegar à parte do sistema que lida com cartões-presente.

“A Storm-0539 coleta informações sobre uma ampla variedade de recursos nos ambientes visados para avançar em direção ao objetivo de roubar cartões-presente”, observa Emiel Haeghebaert, analista sênior do Microsoft Threat Intelligence Center. Isso pode incluir recursos relacionados ao OneDrive, Salesforce, Citrix, e mais, diz ele.

Por qualquer meio necessário para chegar lá, o Storm-0539 adentra os ambientes dos varejistas até obter acesso ao portal de cartões-presente. Usando uma conta de funcionário comprometida, eles criam o maior número possível de novos cartões-presente, no valor um pouco abaixo do limite de dólares arbitrário estabelecido pelo varejista, e o mais rápido possível. Em seguida, eles os resgatam, ou usam “mulas” para resgatá-los, ou os vendem para outros atores maliciosos na Dark Web.

A Microsoft relata que as habilidades de reconhecimento e nuvem do Storm-0539 estão no nível do que ela observa a partir de atores de nível de estado-nação.

Para se preparar para esse ator de ameaça e outros que inevitavelmente o seguirão, a Microsoft recomenda que as organizações adotem autenticação multifatorial resistente a phishing (MFA), medidas estritas de redefinição de senha, replay de token e outras proteções contra fraudes, princípios de privilégio mínimo, bem como eduquem os funcionários sobre os riscos desse golpe.

A diferença que a boa segurança faz aqui já foi comprovada. Graças a uma maior colaboração e compartilhamento de informações, a Microsoft relata que “observamos um aumento na capacidade de grandes varejistas de repelir efetivamente a atividade do Storm-0539 nos últimos meses.”