サイバーシグナル：ギフトカード詐欺のリスク増大の内幕

サイバー脅威は常に進化しており、悪意のある行為者の先手を打つことは常に課題となっています。

Microsoft Threat Intelligence は、ギフト カードが詐欺やソーシャル エンジニアリングの魅力的な標的であることを観察しました。 クレジット カードやデビット カードとは異なり、顧客名や銀行口座が関連付けられていないため、場合によっては潜在的に疑わしいカードの使用に対する監視が軽減され、サイバー犯罪者が調査して悪用できる別の種類の支払いカードの表面を提示する可能性があります。

Microsoft では、戦没将兵追悼記念日、レイバーデー、感謝祭、ブラック フライデー、クリスマスなどの米国の祝日前後に、アトラス ライオンとしても知られる脅威アクター グループ Storm-0539 の活動が活発化していることを確認しています。 2024 年の戦没将兵追悼記念日に先立ち、Microsoft は 2024 年 3 月から 5 月にかけて Storm-0539 による活動が 30% 増加したことを観察しました。

最新版の サイバーシグナル ギフト カード詐欺の世界を深く掘り下げ、Storm-0539 とその高度なサイバー犯罪手法と執拗さを明らかにするとともに、これらのリスクに先手を打つ方法について小売業者にガイダンスを提供します。

Storm-0539（アトラスライオン）の進化

2021 年後半から活動しているこのサイバー犯罪グループは、以前は小売店のレジやキオスクなどの販売時点情報管理 (POS) デバイスに対するマルウェア攻撃を専門としており、支払いカード データを侵害することに特化していた攻撃者の進化を表しており、現在ではターゲット クラウドに適応しています。およびアイデンティティ サービスは、大手小売店、高級ブランド、有名なファストフード レストランに関連する支払いおよびカード システムを着実に攻撃しています。

洗練された戦略

Storm-0539 が他と一線を画しているのは、クラウド環境に対する深い理解です。この理解を悪用して、組織のギフト カード発行プロセスや従業員のアクセスを偵察します。クラウド システムを侵害して広範囲にわたる ID とアクセス権限を取得するというアプローチは、国家が支援する脅威アクターによく見られる手法と高度な技術を反映しています。ただし、スパイ活動のためにメールや文書を収集するのではなく、Storm-0539 は永続的なアクセスを取得してそれを利用し、アカウントを乗っ取って悪意のある目的でギフト カードを作成し、消費者だけをターゲットにしているわけではありません。最初のセッションとトークンにアクセスした後、Storm-0539 は、その後の二次認証プロンプトのために自身の悪意のあるデバイスを被害者のネットワークに登録し、多要素認証保護を効果的に回避して、完全に侵害された ID を使用して環境に留まります。

正当性の覆い

Storm-0539 は検出されないようにするため、正規の組織を装い、非営利団体を装ってクラウド プロバイダーからリソースを取得します。 本物の Web サイトとは数文字異なる、誤解を招く「タイポスクワッティング」ドメイン名を使用した説得力のある Web サイトを作成して、疑いを持たない被害者を誘惑し、その狡猾さと機知に富んだことをさらに示します。

嵐から身を守る

ギフト カードを発行する組織は、ギフト カード ポータルをサイバー犯罪にとって価値の高い標的として扱い、継続的な監視と異常な活動の監査に重点を置く必要があります。 実装する 条件付きアクセス ポリシーを策定し、セキュリティ チームにソーシャル エンジニアリング戦術を教育することは、このような洗練されたアクターに対する防御を強化するための重要なステップです。 Storm-0539 の洗練さとクラウド環境に関する深い知識を考慮すると、クラウド セキュリティのベスト プラクティスに投資し、サインイン リスク ポリシーを実装し、フィッシング耐性のあるものに移行することもお勧めします。 多要素認証、最小権限アクセスの原則を適用します。

これらの対策を採用することで、組織は信頼できるギフト、支払い、その他のカード オプションを顧客にとって魅力的で柔軟なアメニティとして維持しながら、Storm-0539 のような集中的なサイバー犯罪に対する回復力を強化できます。 最新の脅威インテリジェンスの洞察について詳しくは、次のサイトをご覧ください。 マイクロソフト セキュリティ インサイダー。

Microsoft Securityソリューションの詳細については、 Webサイトブックマーク セキュリティブログ セキュリティ問題に関する専門家の情報を常に入手するため。 また、LinkedIn でフォローしてください (マイクロソフト セキュリティ) と X (@MSFTセキュリティ) サイバーセキュリティに関する最新ニュースと更新情報をご覧ください。