- A Microsoft observou um aumento de 30% na atividade de fraudes com cartões oferta pelo grupo Storm-0539 (Atlas Lion) entre março e maio de 2024 e de 60% entre setembro e dezembro de 2023.
A Microsoft acaba de atualizar o Cyber Signals, a sétima edição do seu relatório de cibersegurança, onde – através dos insights de 78 triliões de sinais de segurança diários – faz uma análise detalhada à crescente ameaça com recurso a cartões oferta falsos, sobretudo em épocas festivas, do grupo Storm-0539 (também conhecido como Atlas Lion).
Segundo a recente edição do Cyber Signals, a Microsoft observou um aumento de 30% das atividades ilícitas praticadas pelo grupo Storm-0539 entre março e maio de 2024, assim como uma subida de 60% entre setembro e dezembro de 2023, coincidindo com o período da Black Friday e do Natal, época em que se regista uma maior utilização de cartões oferta por parte dos consumidores.
Em atividade desde o final de 2021, este grupo de cibercrime surge da evolução dos cibercriminosos que no passado se especializavam em ataques de malware a dispositivos presentes em pontos de venda, como caixas registadoras, com o objetivo de comprometer os dados dos cartões de pagamento dos consumidores. Hoje, estes grupos estão a adaptar-se para visar serviços de cloud e de identidade, com o objetivo de atacar de forma constante os sistemas de pagamento e cartões associados a grandes retalhistas, marcas de luxo e cadeias de fast-food.
De acordo com a Microsoft Threat Intelligence, os cartões oferta são hoje alvos atrativos para práticas de fraude. Ao contrário dos cartões de crédito ou de débito, esta tipologia de cartão pré-pago não têm o nome do cliente nem uma conta bancária associada, o que pode diminuir o escrutínio da sua utilização potencialmente suspeita nalguns casos, apresentando desta forma aos cibercriminosos um formato diferente enquanto cartão de pagamento para explorar.
Através de um profundo conhecimento dos ambientes de cloud, o grupo Storm-0539 começa por visar os telemóveis pessoais e profissionais dos colaboradores através de mensagens de smishing. Após acederem à conta de um colaborador, movimentam-se lateralmente na rede à procura de processos de negócios relacionados com cartões oferta e recolhem informações sobre máquinas virtuais, ligações VPN e vários recursos de software e ambientes remotos. Posteriormente, criam novos cartões oferta utilizando contas comprometidas, resgatam o valor e, posteriormente, vendem os cartões oferta a outros agentes de ameaças no mercado negro.
Esta metodologia demonstra a complexidade e o alcance das operações do grupo Storm-0539. Com o objetivo de capacitar os negócios do setor do retalho a aumentar os níveis de segurança contra esta tipologia de atividade ilícita, a Microsoft reúne agora um conjunto de recomendação que devem ser seguidas:
Alteração Segura de Password – Quando o nível de risco do utilizador for elevado, é crucial exigir uma alteração de password. Esta recomendação deve incluir a exigência de autenticação multifator (MFA). Esta medida ajuda a mitigar riscos e a proteger contas comprometidas.
Formação – Os retalhistas devem formar os seus colaboradores para reconhecerem potenciais fraudes com cartões oferta e recusar pedidos suspeitos. Esta formação pode incluir a identificação de sinais de smishing e phishing.
Adoção de Plataformas Seguras – É recomendável adotar plataformas de cartões oferta seguras e implementar soluções de proteção contra fraudes. Sistemas desenvolvidos para autenticar pagamentos e integrar recursos de proteção podem minimizar as perdas decorrentes de fraudes.
MFA Resistente a Phishing – A transição para credenciais resistentes a phishing, como chaves de segurança FIDO2, é essencial. Estes tipos de credenciais são imunes a diversas formas de ataque, oferecendo uma camada adicional de segurança.
Proteção de Tokens e Princípio de Privilégio Mínimo – Políticas de proteção contra ataques de repetição de tokens são recomendadas. Além disso, aplicar princípios de acesso reduzido pode minimizar o impacto potencial de um ataque.
Verificação de Domínios – Implementar um processo de verificação para a compra de domínios pode ajudar a prevenir a criação de sites fraudulentos destinados a enganar as vítimas. Esta medida pode reduzir a prevalência de typosquatting e outras práticas maliciosas.
Monitorização Contínua e Auditoria – Para aumentar o nível de defesa, é fundamental entender as plataformas de cartões oferta como alvos críticos, que exige a monitorização e auditoria continua para identificar atividades suspeitas.
Mais recomendações podem ser conhecidas na versão completa do documento. Através do Cyber Signals, a Microsoft partilha tendências, táticas e estratégias que os atores das ameaças usam para obter acesso a hardware e software, bem como ajudar a informar sobre como podemos proteger, de forma coletiva, recursos e dados das nossas vidas no digital, para a construção de um mundo mais seguro.
Para mais informações sobre as soluções de segurança da Microsoft, clique aqui. Acompanhe também as notícias e atualizações sobre segurança cibernética em @MSFTSecurity.