小編 : 這兩天看到這篇報告覺得蠻貼近,系統與人的相互職責,系統做好事先的防禦,人補充好防禦的知識與警覺性,雖然是老生常談,但是每次想到就是心有戚戚焉,還是不耐其煩的想多提醒大家。
五月微軟發布這一期的 Cyber Signals「網路訊號」報告,分享駭客組織 Storm-0539(也稱為Atlas Lion)近期最新的動態,也揭露此組織將禮品卡的盜竊和詐欺技術進階至雲端資源,利用雲端服務供應商並且偽裝於其中,微軟同時也證實 Storm-0539 的目標對象是發放禮品卡商家,而非最終使用消費端。
為何微軟五月發布此警訊呢? 因為從報告中顯示此駭客組織多半是利用重大節日前夕,大幅提高他們的活動頻率,去年耶誕節期間 Storm-0539 的活動就增加了60%。
Storm-0539 駭客組織的手法
Storm-0539 來自於摩洛哥 Morocco,其專門涉及禮品卡詐欺等相關金融犯罪組織,自 2021 年這個組織持續活躍,且不斷變化提升犯罪手法。通常網路犯罪組織是以迅速獲利與擴大攻擊面為手段,然而 Storm-0539 卻走反方向,他們總是表現得鎮定且專注,以禮品卡發行商家、零售業者、支付卡等相關產業為威脅攻擊目標。
以往,支付卡或是禮品卡所發生的詐欺行為,經常與網路惡意程式的攻擊或是社交工程,網路釣魚 ( phishing ) 有關,攻擊者通常透過 POS 銷售系統 ( point-of-sale,POS ) 惡意程式來破壞支付卡資料,然而隨著企業強化 POS 的安全防禦後,Storm-0539 也轉向攻擊方式,改為從雲端和身分識別著手,並且以大型零售商、奢侈品牌和知名快餐店等,相關的禮品卡入口網站為其犯罪目標對象。
Storm-0539 組織透過其對於網路雲端的熟練、對禮品卡發卡流程了解,進而對禮品卡發行商家的員工,進行客製化電子郵件或是簡訊網路釣魚入侵,一旦他們滲透到員工帳戶且獲取內部系統的存取權限,也會透過虛擬機器、VPN、SharePoint 和 OneDrive 資源以及 Salesforce 等遠端網路環境收集資訊,橫向移動,當 Storm-0539 獲取憑證,進一步創建新的禮品卡,還會在暗網市場、商店中兌換成現金以獲取不法的金錢。
該如何防禦呢?
Cyber Signals「網路訊號」報告中提及,Microsoft 評估 Storm-0539 對攻擊目標對象,不僅採用中間人攻擊 ( adversary-in-the-middle,AiTM ) 手法外,還利用合法註冊域名,例如 Storm-0539 已經註冊 WordPress 網域來製作 AiTM 登陸頁面,微軟進一步表示,也發現到有些公司一天就已經被竊取高達美金10 萬元的案例。對此事件,報告中也提出對禮品卡發行商家入口網站的營運商的建議 :
- 持續監控異常情況
- Token 憑證保護措施
- 最小權限存取
- 採用安全的禮品卡平台並實施詐欺防護解決方案
- 防禦網路釣魚MFA,例如使用 FIDO2 安全金鑰
- 重新設定與網路釣魚和 AiTM 相關的使用者密碼
- 員工資訊安全防詐騙的教育工作要落實
大家如對於這份報告有興趣進一步閱讀,歡迎下載 https://reurl.cc/OMRyZX
Into the Lion’s Den Inside the Growing Risk of Gift Card Fraud
*首圖來源: 微軟報告
感謝您的閱讀,歡迎來信與小編交流 irispan@cybersecurenews.com.tw