Você está visualizando atualmente Pesquisadores da Microsoft Descobrem um Golpe Antigo com uma Reforma para a Era da Nuvem: Hacking de Portais de Varejistas para Ganhar Cartões-presente.

Pesquisadores da Microsoft Descobrem um Golpe Antigo com uma Reforma para a Era da Nuvem: Hacking de Portais de Varejistas para Ganhar Cartões-presente.

Um grupo de ameaça marroquino aprimorou o clássico golpe de cartão-presente, visando não os clientes de varejo, mas os sistemas que registram os cartões, permitindo-lhes “imprimir” dinheiro à vontade.

Os golpistas têm usado táticas de engenharia social para convencer pessoas comuns a comprar cartões-presente para eles há anos. O modus operandi não mudou muito ao longo do tempo, pois não precisava; é tão eficaz e rentável hoje como sempre foi.

Talvez seja por isso que a mais recente campanha do chamado Storm-0539, também conhecido como Atlas Lion, grupo de crimes cibernéticos, se destaque: eles pegaram algo que não estava quebrado e o aprimoraram. Em vez de ter que trabalhar com vítimas individuais – sempre trabalhoso, com potencialmente baixo retorno -, os atacantes comprometem os próprios varejistas, especificamente os portais que eles usam para emitir cartões-presente.

Eis como funciona, segundo um novo relatório da Microsoft.

Em vez de clientes de varejo, o Storm-0539 mira em funcionários de varejo com mensagens de phishing. O objetivo de sua engenharia social é comprometer as contas de seus empregadores.

Usando a conta de um funcionário, os criminosos cibernéticos podem começar a ver e se movimentar lateralmente dentro da rede de um varejista. Às vezes, eles usarão o primeiro funcionário para comprometer outros, com tentativas de phishing enviadas por listas de distribuição internas que imitam as normas habituais de negócios da empresa. Caso contrário, com acesso a contas de privilégios suficientes, eles roubam informações sobre vários serviços e contas que podem então usar para, eventualmente, alcançar a parte do sistema que lida com os cartões-presente.

“O Storm-0539 reúne informações sobre uma ampla variedade de recursos em ambientes-alvo para avançar em direção ao seu objetivo de roubar cartões-presente”, observa Emiel Haeghebaert, analista sênior de caça no Microsoft Threat Intelligence Center. Isso pode incluir recursos relacionados ao OneDrive, Salesforce, Citrix e muito mais, diz ele.

Por meio de quaisquer meios necessários para chegar lá, o Storm-0539 trafega pelos ambientes dos varejistas até obter acesso ao portal de cartões-presente. Usando uma conta de funcionário comprometida, ele cria o maior número possível de novos cartões-presente, no limite de um valor em dólares arbitrário que o varejista definiu, e o mais rapidamente possível. Então os resgata, ou usa mulas para resgatá-los, ou os vende para outros atores maliciosos na Dark Web.

A cronometragem do relatório da Microsoft é deliberada. Previsivelmente, o Storm-0593 sempre aumenta em antecipação às temporadas de festas: verão, Dia do Trabalho, Ação de Graças, Black Friday, feriados de inverno e, neste fim de semana, Memorial Day. A atividade maliciosa do grupo de setembro a dezembro de 2023, por exemplo, foi 60% maior do que o habitual, e aumentou 30% nos últimos meses.

Para se preparar para esse ator de ameaça e outros que inevitavelmente o seguirão, a Microsoft recomenda que as organizações adotem autenticação multifatorial resistente a phishing (MFA), medidas estritas de redefinição de senha, reutilização de token e outras proteções contra fraudes, e princípios de privilégio mínimo, além de educar os funcionários sobre os riscos desse golpe.

A diferença que a boa segurança faz já foi comprovada. Graças à maior colaboração e compartilhamento de informações, a Microsoft relata: “Observamos um aumento na capacidade de grandes varejistas de repelir efetivamente a atividade do Storm-0539 nos últimos meses”.