Hack de vale-presente – você paga, eles compram

Hack de vale-presente – você paga, eles compram. Hackers exploram contas de usuários para obter dinheiro através dos vale-presentes de final de ano. 

Se você leu o relatório recente de ameaças Sophos 2021 , sabe que a Sophos incluiu deliberadamente uma seção sobre todos os malwares que não são ransomware.

Claro, o ransomware compreensivelmente monopoliza as manchetes da mídia atualmente, mas a cibercriminalidade vai muito além dos ataques de ransomware.

Na verdade, de acordo com a Sophos, muitos incidentes de ransomware acontecem devido a outro malware que se infiltrou em sua rede primeiro e trouxe o ransomware posteriormente. Muitas invasões de rede não envolvem malware, porque os cibercriminosos têm muitas outras maneiras de tirar dinheiro de seus usuários, de sua empresa ou de ambos.

Aqui está um exemplo que a equipe Sophos Rapid Response encontrou recentemente – uma intrusão de rede oportunista que era muito menos sofisticada do que um ransomware típico ou ataque de roubo de dados, mas ainda assim perigosa e desconcertante.

Pior ainda para os funcionários da empresa, esses criminosos não estavam especificamente atrás da empresa como um todo, mas pareciam atacar a rede simplesmente porque representava uma maneira conveniente de hackear muitos indivíduos ao mesmo tempo.

Simplificando, os criminosos estavam atrás de quantas contas pudessem acessar para comprar o máximo de cartões-presente que pudessem o mais rápido possível.

Como você provavelmente sabe, os cartões-presente que você compra online geralmente são entregues por e-mail a um destinatário de sua escolha como um código secreto e um link de registro. Portanto, receber um código de cartão-presente é um parecido com obter o número, a data de validade e o código de segurança de um cartão de crédito pré-pago – falando de maneira geral, quem tiver o código pode gastá-lo.

Embora os cartões-presente devam ser usados ​​apenas pelo destinatário pretendido – eles não devem ser transferíveis – não há muito que impeça o destinatário de permitir que outra pessoa os use, se quiser, e isso significa que podem ser vendidos no cibercrime underweb.

E apesar de tudo isso, um vale-presente de US$ 200, vendido ilegalmente online por, digamos, metade do valor de face, não parece muito, mas criminosos com acesso a usuários de toda uma empresa – nesta história, a VPN da empresa suportava cerca de 200 pessoas – podem tentar adquirir não apenas um, mas potencialmente centenas de cartões-presente pré-pagos em pouco tempo.

Os criminosos, neste caso, não se importaram se as vítimas deixadas de lado eram os funcionários individuais, a própria empresa ou ambos.

 

Rumbled e repelido

A boa notícia aqui é que os criminosos só chegaram a gastar $ 800 do dinheiro de outras pessoas antes que a equipe de Resposta Rápida pudesse expulsá-los da rede e, até onde sabemos, as compras fraudulentas foram detectadas e revertidas a tempo para que não saísse do bolso de ninguém.

Como você verá, a principal razão pela qual os vigaristas foram resmungados e repelidos cedo foi porque um administrador de sistema da empresa afetada agiu assim que percebeu que algo estava errado.

Se você assistiu ao vídeo Naked Security Live da semana passada, intitulado “Beat the Threat“ produzido pela Naked Security da Sophos, você saberá que no final do vídeo, disseram:

Qualquer dica que você conseguir que sugira que um bandido pode estar em sua rede é uma dica que vale a pena dar uma olhada. [… Só] porque você está olhando para algo que […] você não consegue justificar, mas que você viu antes e estava OK da última vez – não presuma que está OK desta vez. […] Isso é um pouco como ouvir o alarme de incêndio disparando na cozinha e pensar: ‘Sabe de uma coisa, da última vez foi o vapor da chaleira que o acionou por engano, então vou presumir que é isso que está acontecendo [ novamente].’ Desta vez, pode ser algo no fogão que já está pegando fogo.

Apesar da equipe de Resposta Rápida da Sophos ter sido capaz de reagir rapidamente e lidar com o ataque, a parte vital foi que a vítima desencadeou uma resposta adequada rapidamente em primeiro lugar.

 

Como isso aconteceu

Esses vigaristas não tiveram tempo para se limpar – ou talvez não pretendessem fazê-lo de qualquer maneira – mas, pelo que se pode dizer, o ataque se desenrolou de forma simples e rápida.

Não se pode ter certeza de como os vigaristas entraram, mas o que a equipe da Sophos sabe é: 

  • O servidor VPN da vítima não tinha sido corrigido por vários meses. Isso por si só pode ter sido suficiente para permitir que os criminosos invadissem – existia um exploit para a versão antiga que poderia, em teoria, permitir que os criminosos se infiltrassem na rede.
  • O servidor VPN não foi configurado para exigir 2FA. Isso significa que um phishing de senha bem-sucedido de um único usuário pode ter sido o suficiente para dar a ele sua cabeça de ponte. (Apesar da vulnerabilidade não corrigida, suspeitamos que foi assim que os invasores invadiram neste momento.)
  • Uma vez “dentro” da VPN, os criminosos foram capazes de usar o RDP internamente para saltar de um computador para outro. Isso significava que eles podiam abrir navegadores da web nos computadores dos usuários e ver de quais contas online eles não haviam se desconectado, incluindo suas contas de e-mail pessoais (por exemplo, Gmail e Outlook.com). Certifique-se de proteger o RDP com a mesma firmeza de dentro da rede como de fora.
  • Os criminosos usavam contas de e-mail individuais para fazer uma série de redefinições de senha. Em computadores onde os criminosos podiam acessar contas de e-mail devido a credenciais em cache, mas não conseguiam entrar em outras contas interessantes porque o usuário estava desconectado delas, eles redefiniam a senha por meio da conta de e-mail. As contas que os criminosos perseguiram incluíam Best Buy, Facebook, Google Pay, PayPal, Venmo e Walmart.

Felizmente, parece que apenas alguns dos usuários atacados dessa forma salvaram os detalhes do cartão de crédito para reutilização automática ao fazer compras, o que provavelmente é o motivo pelo qual os criminosos só conseguiram algumas centenas de dólares em compras com cartão-presente antes de serem detectados.

Aparentemente, vários usuários que precisaram redefinir suas senhas alteradas para voltar às suas contas notaram que havia cartões-presente enfileirados para compra em seus carrinhos de compras online, mas que os criminosos não conseguiram finalizar essas compras.

(Não se pode dizer se os vigaristas deixaram as compras malsucedidas para trás porque foram pegos antes de poderem limpar, porque esperavam que fossem esquecidos e comprados por engano pelo titular da conta legítima mais tarde, ou porque estavam focados na velocidade e não me importava com o que acontecia depois.)

Mas tem mais

Tal como acontece com muitos ataques, este não tinha apenas um propósito, embora conseguir “dinheiro para venda” pareça ter sido o principal motivador aqui, os criminosos também baixaram e instalaram uma popular ferramenta gratuita de busca de arquivos para ajudá-los a procurar arquivos interessantes na rede.

Essa ferramenta deixou um arquivo de registro que revela que os criminosos estavam ativamente procurando dados pessoais e confidenciais relativos à empresa e aos seus funcionários.

Não se sabe quanto os criminosos conseguiram adquirir dos arquivos que procuravam, se é que coseguiram alguma coisa, mas sabe-se no que eles estavam interessados, o que incluía:

  • Extratos bancários relativos a pessoas físicas e jurídicas.
  • Acordos comerciais para aceitar pagamentos com cartão de crédito.
  • Aplicativos de cartão de crédito .
  • Detalhes da lista de motoristas da empresa.

Até onde a equipe da Sohphos sabe, a busca de arquivos parece ter sido um interesse secundário para esses criminosos, que eram determinados e persistentes em suas tentativas de fazer compras fraudulentas contra o maior número possível de usuários da rede. No entanto, interesse secundário ou não, os vigaristas não estavam atrás apenas de cartões-presente.

Afinal, os dados pessoais e corporativos que deveriam ser privados também têm valor no submundo do crime cibernético – não apenas para revenda a outros criminosos, mas como um veículo para ajudar em atividades criminosas futuras.

A reação rápida compensa

Felizmente, esses bandidos parecem ter se detectados e parados no início do ataque. Presumivelmente frustrados porque não conseguiram acessar quantas contas de e-mail de usuários desejavam, eles redefiniram as senhas em várias contas relacionadas à empresa para estender seu acesso.

Isso teve o efeito colateral de bloquear usuários, incluindo um dos administradores de sistemas, fora as contas de vários sistemas da empresa. O administrador do sistema não apenas corrigiu o problema imediato para corrigir o quê , mas também acionou uma resposta para descobrir o porquê .

Essa reação muito rapidamente fez com que os bandidos fossem expulsos da rede, ou seja, qualquer denúncia é uma boa denúncia!

O que fazer?

A velocidade e determinação desses criminosos, especulativamente entrando em contas de e-mail após contas de e-mail, é um excelente lembrete de por que a defesa em profundidade é importante.

Todas essas dicas teriam ajudado aqui:

  • Patch cedo, patch frequentemente. A VPN vulnerável mencionada neste artigo provavelmente não era a forma como os criminosos obtiveram acesso neste caso, mas era um caminho de entrada possível de qualquer maneira. Por que ficar atrás dos bandidos quando você poderia estar na frente em vez disso?
  • Use 2FA sempre que puder. Um segundo fator de autenticação para os servidores VPN externos e RDP internos pode ter sido suficiente para manter esses criminosos afastados.
  • Saia de contas quando não as estiver usando. Sim, é um incômodo fazer login novamente nas contas sempre que você precisa usá-las, mas, combinado com o 2FA, torna muito mais difícil para os criminosos tirar vantagem de você se conseguirem acesso ao seu navegador.
  • Repense quais sites você permite para manter os dados do cartão de pagamento online para a próxima vez. As empresas que mantêm os detalhes do cartão de pagamento apenas para compras específicas, como o pagamento de contas de serviços públicos, apresentam um risco muito menor do que os serviços online através dos quais seu cartão pode ser usado para pagar quase qualquer coisa, especialmente para itens que são “entregues” imediatamente por e-mail .
  • Não bloqueie malware sozinho com seu produto de proteção contra ameaças. Bloqueie aplicativos potencialmente indesejados (PUAs) e ferramentas de hacking também. Os cibercriminosos estão cada vez mais se voltando para software legítimo de segurança cibernética e gerenciamento de rede que você já tem em seu sistema, em vez de usar malware – uma técnica chamada “living off the land” (viver da terra) – na esperança de parecerem eles próprios administradores de sistemas. Pegue-os se puder.
  • Tenha um lugar para os usuários relatarem problemas de segurança. Se você não tiver acesso à sua própria conta inesperadamente, certifique-se de que sua reação não seja simplesmente “Preciso voltar a ficar online”, mas também “Preciso encontrar a causa subjacente”. Um endereço de e-mail ou número de telefone da empresa facilmente lembrado para relatórios de segurança cibernética pode ajudá-lo a transformar toda a sua empresa nos olhos e ouvidos da equipe de segurança de TI.
  • Mantenha seus usuários alertas sobre as tendências mais recentes em phishing. Considere um produto de treinamento anti-phish, como o Sophos Phish Threat . Ainda não se pode ter certeza, mas parece que uma única senha de phishing pode ter sido a forma como os vigaristas começaram esses ataques.
  • Não seja desviado por ameaças específicas, como ransomware. Ferramentas específicas de ransomware são úteis como parte de uma abordagem de defesa em profundidade, mas não teriam impedido esse ataque por conta própria. No entanto, uma abordagem holística que teria bloqueado esses vigaristas provavelmente também teria interrompido a maioria dos ataques de ransomware.

Fonte: Naked Security 


Saiba mais sobre os produtos Sophos com a MindSec pelo email contato@mindsec.com.br 

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Hack de vale-presente – você paga, eles compram – Neotel Segurança Digital
  2. Hack de vale-presente – você paga, eles compram - Blog da Neotel Segurança Digital

Deixe sua opinião!