Cyber Signals: Nguy cơ gian lận thẻ quà tặng ngày càng tăng.

 |   Microsoft Vietnam Communications

Tác giả: Vasu Jakkal, Phó chủ tịch, phụ trách An ninh, Tuân thủ, Nhận dạng và Quản lý

Trước tình hình các mối đe dọa mạng ngày càng tinh vi, việc đi trước các nhóm hacker vẫn đang là một thách thức.

Microsoft Threat Intelligence đã quan sát thấy rằng thẻ quà tặng là mục tiêu hấp dẫn cho các hoạt động lừa đảo và các cuộc tấn công phi kỹ thuật. Khác với thẻ tín dụng hoặc thẻ ghi nợ, thẻ quà tặng không gắn với tên khách hàng hoặc tài khoản ngân hàng cụ thể, gây khó khăn cho việc theo dõi và xác định các giao dịch đáng ngờ. Đây cũng là mục tiêu mới để tội phạm mạng nghiên cứu và khai thác, ngoài thẻ tín dụng và thẻ ghi nợ truyền thống. Microsoft đã phát hiện sự gia tăng hoạt động của nhóm tội phạm mạng Storm-0539, còn được gọi là Atlas Lion, vào các dịp nghỉ lễ, như Lễ Chiến sĩ trận vong, Ngày Lao động, Lễ Tạ ơn, Thứ Sáu Đen, Lễ Giáng sinh. Dịp Lễ Chiến sĩ trận vong ở Mỹ năm nay cũng không phải là ngoại lệ, khi Microsoft quan sát thấy hoạt động của Storm-0539 gia tăng 30% từ tháng 3 đến tháng 5 năm 2024.

Bản cập nhật mới nhất của Cyber Signals tập trung vào phương thức lừa đảo qua thẻ quà tặng, làm rõ về Storm-0539, cũng như các kỹ thuật tinh vi và sự lì lợm của tội phạm mạng, đồng thời cung cấp hướng dẫn cho các nhà bán lẻ về cách tránh những rủi ro này.

Sự phát triển của Storm-0539 (Atlas Lion)

Hoạt động từ cuối năm 2021, nhóm tội phạm mạng này khởi nguồn là các nhóm hacker trước đây chuyên tấn công phần mềm độc hại vào các thiết bị bán hàng (POS) như máy tính tiền và ki-ốt để xâm phạm dữ liệu thẻ thanh toán. Ngày nay, các nhóm này thay đổi mục tiêu sang đám mây và dịch vụ nhận dạng để thực hiện các cuộc tấn công đều đặn vào hệ thống thanh toán và thẻ liên kết với các nhà bán lẻ lớn, các thương hiệu cao cấp và các nhà hàng đồ ăn nhanh nổi tiếng.

Các chiến lược tinh vi

Điều khiến Storm-0539 khác biệt là sự hiểu biết sâu sắc của họ về hệ thống đám mây mà họ khai thác để do thám quy trình phát hành thẻ quà tặng và quyền truy cập của nhân viên trong tổ chức. Họ xâm nhập các hệ thống đám mây để có được các đặc quyền truy cập và nhận dạng sâu rộng. Thủ đoạn này thường thấy ở các nhóm hacker thân chính phủ. Tuy nhiên, thay vì thu thập email hoặc tài liệu cho hoạt động gián điệp, Storm-0539 lại sử dụng quyền truy cập liên tục để chiếm đoạt tài khoản và tạo thẻ quà tặng cho các mục đích xấu, không nhắm riêng đến người tiêu dùng cuối. Sau khi có được quyền truy cập vào phiên đăng nhập và mã thông báo ban đầu, Storm-0539 đăng ký các thiết bị độc hại của chúng với mạng của nạn nhân để nhận yêu cầu xác thực tiếp theo, vượt qua các biện pháp bảo vệ MFA và duy trì đăng nhập trong hệ thống bằng các danh tính đã bị xâm phạm hoàn toàn.

Lớp vỏ ngụy trang hợp pháp

Để không bị phát hiện, Storm-0539 ngụy trang thành các tổ chức hợp pháp, lấy tài nguyên từ các nhà cung cấp đám mây dưới danh nghĩa là các tổ chức phi lợi nhuận. Họ tạo ra các trang web trông có vẻ đáng tin cậy, thường sử dụng các “tên miền giả mạo với những ký tự khác biệt nhỏ” so với các trang web chính thống để đánh lừa những nạn nhân, càng chứng tỏ sự tinh ranh và khéo léo của họ.

Phòng chống tội phạm mạng – Storm

Các tổ chức phát hành thẻ quà tặng nên nhận thức được rằng cổng thông tin thẻ quà tặng của mình là mục tiêu có giá trị cao đối với tội phạm mạng, và tập trung vào việc giám sát và kiểm tra liên tục các hoạt động bất thường. Việc thực hiện các chính sách truy cập có điều kiện và truyền thông cho nhân viên về các cuộc tấn công phi kỹ thuật các bước quan trọng để chống lại các tác nhân gây hại. Với sự tinh vi và hiểu biết sâu sắc của Storm-0539 về hệ thống đám mây, các tổ chức cần đầu tư vào các phương pháp bảo mật đám mây tốt nhất, triển khai các chính sách rủi ro đăng nhập, chuyển sang MFA chống lừa đảo và áp dụng nguyên tắc truy cập tối thiểu.

Bằng cách áp dụng các biện pháp này, các tổ chức có thể nâng cao khả năng phục hồi trước các cuộc tấn công của tội phạm mạng như Storm-0539, đồng thời duy trì các tùy chọn thẻ quà tặng, thẻ thanh toán và các loại thẻ khác đáng tin cậy để mang đến các tiện ích hấp dẫn và linh hoạt cho khách hàng.  Để tìm hiểu thêm về thông tin chi tiết về mối đe dọa mới nhất, hãy truy cập visit Microsoft Security Insider.

CTA: Để tìm hiểu thêm về các giải pháp Bảo mật của Microsoft, hãy truy cập trang web của chúng tôi. Đánh dấu Blog Bảo mật để cập nhật thông tin chuyên sâu của chúng tôi về các vấn đề bảo mật. Ngoài ra, hãy theo dõi chúng tôi trên LinkedIn (Microsoft Security) và X (@MSFTSecurity) để biết thêm các tin tức và thông tin cập nhật mới nhất về an ninh mạng.