Wraz z nadejściem Black Friday i świątecznego szczytu zakupowego rośnie aktywność cyberprzestępców. To właśnie w tym newralgicznym okresie marokańska grupa prowadzi kampanię oszustw, w której karty podarunkowe stanowią główny element monetyzacji przejętych kont. Analitycy Unit 42 podkreślają, że grupa potrafi pozostawać w środowiskach firmowych nawet przez niemal rok – często całkowicie niezauważona[1].
Wraz ze startem sezonu przedświątecznych zakupów liczba transakcji online wyraźnie przyspiesza. Według ostatnich danych Adobe prognozowana wartość sprzedaży online w okresie listopada i grudnia ma wynieść ponad 250 miliardów dolarów, co oznacza wzrost o kolejne 5,3% rok do roku[2]. Jednocześnie cyberprzestępcy wykorzystują fakt, że użytkownicy podejmują szybkie decyzje zakupowe i rzadziej weryfikują źródła ofert. W zeszłym roku liczba ataków phishingowych związanych tematycznie z Black Friday wzrosła aż o 692% w porównaniu z początkiem listopada[3].
To właśnie w tym kontekście analitycy Unit 42 z Palo Alto Networks odkryli działania kampanii Jingle Thief, prowadzonej przez grupę marokańskich cyberprzestępców i ukierunkowanej na firmy wydające karty podarunkowe. Grupa koncentruje się na przedsiębiorstwach korzystających z usług chmurowych, w szczególności środowisk Microsoft 365. Po przejęciu pojedynczego konta pracownika wykorzystuje legalne funkcje poczty i komunikacji, by prowadzić wewnętrzny phishing oraz stopniowo rozszerzać swoje uprawnienia. W jednej z analizowanych operacji atakujący utrzymali dostęp do infrastruktury przez niemal 10 miesięcy, kompromitując ponad 60 kont pracowników.
Dlaczego akurat karty podarunkowe? Wzrost ich popularności – wartość rynku w Polsce ma przekroczyć 10 miliardów złotych w ciągu najbliższych 4 lat – sprawia, że stają się one naturalnym celem dla grup cyberprzestępczych[4]. Jak podkreślają analitycy Unit 42, dodatkowym atutem jest fakt, że można je szybko zrealizować i łatwo spieniężyć, często poprzez odsprzedaż z niewielkim rabatem na nieformalnych platformach. Ponadto do ich wykorzystania potrzeba jedynie minimalnej ilości danych, a transakcje są trudne do prześledzenia i praktycznie niemożliwe do cofnięcia.
Systemy obsługujące karty podarunkowe w wielu organizacjach mają szeroki zakres uprawnień i ograniczone mechanizmy kontroli. To tworzy warunki, w których cyberprzestępcy, tacy jak ci operujący w kampanii Jingle Thief, mogą, po uzyskaniu dostępu do firmowego środowiska, próbować wystawiać karty o wysokiej wartości w różnych programach. Oszuści wykorzystują fakt, że procesy związane z obsługą kart podarunkowych są często złożone i słabo monitorowane, co utrudnia szybkie wykrycie nadużyć – komentuje Grzegorz Latosiński, dyrektor sprzedaży Palo Alto Networks w Europie Środkowo-Wschodniej.
Eksperci przypominają, aby w okresie intensywnych promocji szczególnie uważać na wiadomości zachęcające do szybkiego zakupu kart podarunkowych, dopłat do przesyłek i „ekskluzywnych ofert ograniczonych czasowo”. Warto weryfikować wszystkie promocje wyłącznie w oficjalnych aplikacjach i na stronach sklepów, unikać klikania w linki z SMS-ów i e-maili oraz zwracać uwagę na nietypowe komunikaty rzekomo pochodzące od działów IT. Firmy powinny monitorować aktywność w swoich środowiskach chmurowych i stosować zasady ograniczonego dostępu, a pracownicy – pamiętać, że w okresie świątecznym cyberprzestępcy wykorzystują emocje, pośpiech i zakupowe zamieszanie, by zwiększyć skuteczność swoich ataków.
[1] https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/
[2] https://business.adobe.com/resources/sdk/adobe-holiday-shopping-forecast.html
[3] https://cybermagazine.com/articles/darktrace-reports-692-surge-in-black-friday-cyber-scams
[4] https://www.researchandmarkets.com/reports/4751546/poland-gift-card-and-incentive-card-market
