Por Vasu Jakkal, vice-presidente corporativo de Segurança, Conformidade, Identidade e Gerenciamento
O Microsoft Threat Intelligence observou que os cartões de presente (também conhecidos como vale presente, ou gift cards) são alvos atraentes para práticas fraudulentas e de engenharia social. Ao contrário dos cartões de crédito ou débito, não há nome de cliente ou conta bancária associada a esses cartões, o que pode diminuir o escrutínio de seu uso potencialmente suspeito em alguns casos e apresentar aos cibercriminosos uma nova fonte de pagamento para estudar e explorar.
A Microsoft viu um aumento na atividade do grupo cibercriminoso Storm-0539, também conhecido como Atlas Lion, em datas próximas a feriados nos Estados Unidos, como o Memorial Day, o Dia do Trabalhador, o Dia de Ação de Graças, a Black Friday e o Natal. Antes do Memorial Day 2024, que será comemorado na próxima segunda (27), a Microsoft já observou um aumento de 30% na atividade do Storm-0539 entre março e maio de 2024.
A última edição do Cyber Signals (em inglês) mergulha fundo no mundo da fraude de cartões de presente, lançando luz sobre o Storm-0539 e suas sofisticadas técnicas de cibercrime e persistência, enquanto fornece orientação aos varejistas sobre como ficar à frente desses riscos.
A evolução do Storm-0539 (Atlas Lion)
Ativo desde o final de 2021, esse grupo de cibercrime representa uma evolução de agentes maliciosos que num primeiro momento se especializaram em ataques de malware em dispositivos de ponto de venda (POS), como caixas registradoras de varejo e quiosques, para comprometer dados de cartões de pagamento. Hoje, esses cibercriminosos estão se adaptando a serviços de nuvem e identidade para atacar constantemente os sistemas de pagamento e cartões associados a grandes varejistas, marcas de luxo e restaurantes de fast food bem conhecidos.
Estratégias sofisticadas
O que diferencia o Storm-0539 é seu profundo conhecimento dos ambientes de nuvem, os explorando para fazer reconhecimento nos processos de emissão de cartões-presente das organizações e no acesso dos funcionários. Sua abordagem para comprometer sistemas em nuvem busca privilégios de identidade e acesso de longo alcance, espelhando o ofício e a sofisticação normalmente vistos em agentes de ameaças patrocinados por Estados. A diferença é que, em vez de coletar e-mails ou documentos para espionagem, o Storm-0539 ganha e usa acesso persistente para sequestrar contas e criar cartões-presente para fins maliciosos, não visando exclusivamente os consumidores. Depois de obter acesso a uma sessão inicial e token, o Storm-0539 registrará seus próprios dispositivos maliciosos nas redes das vítimas para solicitações de autenticação secundárias subsequentes, ignorando as proteções de autenticação multifator e persistindo em um ambiente utilizando uma identidade agora totalmente comprometida.
Um manto de legitimidade
Para permanecer indetectável, o Storm-0539 adota o disfarce de entidades legítimas, obtendo recursos de provedores de nuvem sob o pretexto de serem organizações sem fins lucrativos. Ele cria sites convincentes, muitas vezes com nomes de domínio que mimetizam os sites originais mas com “erro” de digitação para atrair vítimas desavisadas, demonstrando ainda mais astúcia e desenvoltura.
Defendendo-se contra o Storm
As organizações que emitem cartões de presente devem tratar seus portais de gift cards como alvos de alto valor para os cibercriminosos e se concentrar no monitoramento contínuo e na auditoria de atividades anômalas. A implementação de Políticas de Acesso Condicional e treinamento das equipes de segurança sobre táticas de engenharia social são passos cruciais para fortalecer as defesas contra atores tão habilidosos. Dada a sofisticação do Storm-0539 e o profundo conhecimento de ambientes em nuvem, é recomendável que você também invista em práticas recomendadas de segurança em nuvem, implemente políticas de risco de login, faça a transição para Autenticação multifator resistente a phishing e aplique o princípio de acesso com privilégios mínimos.
Ao adotar essas medidas, as organizações podem aumentar sua resiliência contra cibercriminosos focados como o Storm-0539, mantendo opções confiáveis de presentes, pagamentos e outros cartões como comodidades atraentes e flexíveis para os clientes. Para saber mais sobre os insights mais recentes sobre inteligência de ameaças, visite Microsoft Security Insider.
Para saber mais sobre as soluções de segurança da Microsoft, visite nosso website. Favorite o Blog de segurança para acompanhar nossa cobertura especializada em assuntos de segurança. Além disso, siga-nos no LinkedIn (Segurança da Microsoft) e X (@MSFTSecurity) para as últimas notícias e atualizações sobre cibersegurança.