“Động cơ chính của họ là đánh cắp thẻ quà tặng và kiếm lợi nhuận bằng cách bán chúng trực tuyến với giá chiết khấu”, Microsoft cho biết trong báo cáo Mối đe dọa mạng (Cyber Signals) mới nhất của mình. “Chúng tôi đã phát hiện một số trường hợp các tác nhân đe dọa đã đánh cắp tới 100.000 USD mỗi ngày tại một số công ty.”
Storm-0539, còn được gọi là Atlas Lion và hoạt động ít nhất là từ cuối năm 2021, đã được đưa tin từ giữa tháng 12 năm 2023, có liên quan đến các chiến dịch kỹ thuật xã hội nhằm đánh cắp thông tin. thông tin xác thực của nạn nhân và mã thông báo phiên thông qua các trang lừa đảo.
![100ka USD mỗi ngày bị đánh cắp do lừa đảo thẻ quà tặng trực tuyến- Ảnh 1. 100ka USD mỗi ngày bị đánh cắp do lừa đảo thẻ quà tặng trực tuyến- Ảnh 1.](https://diaocthoibao.com/wp-content/uploads/2024/05/100ka-moi-ngay-bi-danh-cap-thong-qua-gian-lan.jpg)
Sau đó, nhóm lạm dụng quyền truy cập ban đầu để đăng ký thiết bị của riêng họ nhằm vượt qua kiểm tra xác thực và giành quyền truy cập liên tục, cũng như leo thang quyền và xâm phạm quà tặng các dịch vụ liên quan đến thẻ bằng cách tạo thẻ quà tặng giả để sử dụng cho mục đích lừa đảo.
Các chuỗi tấn công được thiết kế tinh vi để giành quyền truy cập lén lút vào môi trường đám mây của nạn nhân, cho phép các tác nhân đe dọa tiến hành trinh sát trên diện rộng và lạm dụng cơ sở hạ tầng để đạt được mục tiêu của chúng. . Mục tiêu của chiến dịch bao gồm các nhà bán lẻ lớn, thương hiệu cao cấp và nhà hàng thức ăn nhanh nổi tiếng.
Mục tiêu cuối cùng của hoạt động là đổi giá trị liên quan đến những thẻ đó, bán thẻ quà tặng cho những kẻ đe dọa khác trên thị trường chợ đen hoặc sử dụng con la tiền để đổi thẻ quà tặng tặng.
Microsoft cho biết hoạt động xâm nhập Storm-0539 đã tăng 30% trong khoảng thời gian từ tháng 3 đến tháng 5 năm 2024.
Đầu tháng này, Cục Điều tra Liên bang Mỹ (FBI) đã đưa ra cảnh báo về các cuộc tấn công lừa đảo do nhóm này nhắm vào bộ phận thẻ quà tặng của các tập đoàn bán lẻ bằng công cụ lừa đảo. vi để bỏ qua xác thực đa yếu tố (MFA).
FBI cho biết: “Trong một trường hợp, một công ty đã phát hiện hoạt động gian lận thẻ quà tặng của Storm-0539 trong hệ thống của mình và thực hiện các thay đổi để ngăn chặn gian lận”.
“Storm-0539 tiếp tục cuộc tấn công và lấy lại quyền truy cập vào hệ thống của công ty. Những kẻ tấn công sau đó đã thay đổi phương pháp để xác định thẻ quà tặng chưa được đổi và thay đổi địa chỉ email liên quan thành địa chỉ do Storm-0539 kiểm soát để đổi thẻ quà tặng.”
Điều đáng chú ý là hoạt động của họ không chỉ đánh cắp thông tin đăng nhập của nhân viên bộ phận thẻ quà tặng mà còn đánh cắp mật khẩu và khóa SSH, những thông tin này có thể được bán để thu lợi tài chính. chính hoặc được sử dụng cho các cuộc tấn công tiếp theo.
Ngoài ra, Storm-0539 cũng sử dụng danh sách gửi thư hợp pháp nội bộ của công ty để phân phối các tin nhắn lừa đảo sau khi có được quyền truy cập ban đầu, tăng thêm tính xác thực cho các cuộc tấn công.
Các tổ chức phát hành thẻ quà tặng cần chủ động theo dõi và giám sát thông tin đăng nhập đáng ngờ vì chúng có thể/đang là mục tiêu trong các cuộc tấn công gian lận thẻ.
“Các tổ chức cũng nên xem xét bổ sung MFA bằng các chính sách truy cập có điều kiện trong đó các yêu cầu xác thực được đánh giá bằng cách sử dụng thông tin dựa trên danh tính bổ sung như thông tin vị trí, địa chỉ IP hoặc trạng thái thiết bị,…”.
Link nguồn: https://cafef.vn/100-nghin-do-la-moi-ngay-bi-danh-cap-thong-qua-gian-lan-the-qua-tang-truc-tuyen-188240529095430208.chn