Alertan por robo de “tarjetas gift” de comercios accediendo a sus sistemas
Investigadores de Microsoft han alertado sobre un nuevo ciberataque de robo de tarjetas de regalo, en el que el grupo de ciberdelincuentes Storm-0539 consigue infiltrarse en las plataformas de comercios minoristas mediante técnicas de ‘phishing’, ‘smishing’ y robo de tokens, para crear tarjetas de regalo y robar productos.
Las tarjetas regalo de los comercios son objetivos habitualmente atractivos para las prácticas de fraude e ingeniería social de los ciberdelincuentes ya que, a diferencia de las tarjetas de crédito o débito, no tienen ningún nombre de cliente ni cuenta bancaria asociada, por lo que permite su uso potencialmente sospechoso sin ser identificado.
Cómo se produce el robo de las gift card
Los investigadores del equipo Microsoft Threat Intelligence han alertado sobre un aumento en la actividad del grupo de actores de amenazas Storm-0539, que “han llevado un paso más allá” el robo basado en tarjetas de regalo, a través de técnicas de ‘phishing’ y el robo de tokens.
Así lo ha detallado Microsoft en su última edición de Cyber Signals, el informe trimestral en el que la compañía analiza el panorama de amenazas, así como las tácticas y técnicas más utilizadas por los ciberdelincuentes. En este caso, destacando el caso del grupo de ciberdelincuentes también conocido como ‘Atlas Lion’, informó Europa Press.
Según ha explicado, en lugar de estafar o suplantar directamente a los usuarios para realizar pagos con tarjetas de regalo, los ciberdelincuentes utilizaron técnicas de ‘phishing’ ‘smishing’ -’phishing’ a través de SMS-, el registro de dispositivos y el robo de tokens.
De esta forma, conseguían acceder a los sistemas corporativos y a las cuentas de empleados de grandes minoristas, incluidas marcas de lujo y restaurantes de comida rápida, que emiten tarjetas regalo. Una vez dentro del sistema, los actores maliciosos generaban códigos de tarjetas de regalo de forma fraudulenta, que gastaban para sí mismos robando productos del comercio en cuestión.
Es decir, tal y como han matizado desde Microsoft, es como si “imprimiesen dinero” virtualmente para pagar en los comercios y, tras ello, canjear o vender los productos en el mercado negro.
Este tipo de fraudes relacionados con el grupo Storm-0539, aumentaron un 30 por ciento entre marzo y mayo de 2024, sobre todo, durante los días festivos de Estados Unidos, como el Día de Acción de Gracias, el Black Friday o Navidad.
Así, los investigadores han destacado el grado de sofisticación de este grupo de actores maliciosos, así como su capacidad para “aprovechar los entornos cloud”. Esto se debe a que, a diferencia de la mayoría de los ciberdelincuentes, que una vez completan la estafa pasan a ser objetivos, los conocidos como Atlas Lion permanecen infiltrados en los sistemas para seguir generando códigos de tarjetas de forma recurrente.
Storm-0539 adquiere estas capacidades de reconocimiento y camuflaje mediante una investigación exhaustiva sobre el proceso comercial de las tarjetas regalo, así como de los proveedores de servicios de identidad y los empleados de las organizaciones objetivo.
Otro de los modus operandi de este grupo de ciberdelincuentes es hacerse pasar por organizaciones sin ánimo de lucro, con lo que obtienen recursos en la nube gratuitos y dominios que se asemejan mucho a los servicios legítimos. Estas características les otorgan credibilidad y, por tanto, maximizan el impacto de sus ataques.
Con todo ello, Microsoft ha recomendado a las organizaciones que emiten tarjetas de regalo tratar sus portales de tarjetas como “objetivos de alto valor” para los ciberdelincuentes. En este sentido, ha sugerido disponer de una supervisión continua para dichos portales y llevar a cabo auditorías en caso de actividades anómalas.
Igualmente, también ha subrayado la importancia de implementar políticas de acceso condicional, así como educar a los equipos de seguridad de las empresas sobre tácticas de ingeniería social, de cara a evitar caer en estas estafas.
Qué es Storm-0539
Storm-0539, también conocido como “Scattered Spider” o “Octo Tempest,” es un grupo de ciberdelincuentes identificado por Microsoft, implicado en diversas formas de fraude digital y ciberataques. Este grupo se dedica principalmente al robo de credenciales, fraude con tarjetas de regalo y abuso de OAuth. Utilizan tácticas como la creación de páginas de inicio de sesión falsas para robar credenciales y escalar privilegios dentro de sistemas comprometidos, lo que les permite acceder y explotar recursos en la nube.
Una de las actividades clave del grupo incluye el “drenaje de tarjetas,” donde registran la información de tarjetas de regalo que aún no han sido compradas y usan esa información tan pronto como las tarjetas son adquiridas por consumidores desprevenidos, dejando las tarjetas inútiles para los compradores. Además, están involucrados en la venta de cuentas fraudulentas de Microsoft y herramientas para eludir CAPTCHA, facilitando una gama de cibercrímenes al proporcionar a otros atacantes recursos listos para actividades fraudulentas.
Microsoft ha tomado medidas contra Storm-0539 obteniendo órdenes judiciales para interrumpir su infraestructura y apoderarse de dominios utilizados para estas actividades fraudulentas. A pesar de estos esfuerzos, las operaciones del grupo destacan la amenaza persistente que representan las organizaciones cibercriminales sofisticadas que utilizan técnicas avanzadas para explotar tanto a individuos como a empresas (Security Boulevard) (The Record from Recorded Future).
https://www.lavoz.com.ar/tecnologia/alertan-por-robo-de-tarjetas-gift-de-comercios-accediendo-a-sus-sistemas/
Compartilo en Twitter
Compartilo en WhatsApp
Leer en https://www.lavoz.com.ar/tecnologia/alertan-por-robo-de-tarjetas-gift-de-comercios-accediendo-a-sus-sistemas/