Οι χάκερ χρησιμοποιούν ψαρέματα με κωδικό πρόσβασης και επαναφορά κωδικού πρόσβασης για να παραβιάσουν προπληρωμένες δωροκάρτες
Οι ερευνητές με την Sophos Security ανέφεραν πρόσφατα μια παραβίαση δικτύου που δεν επικεντρώθηκε στην ανάπτυξη ransomware ή την κλοπή πληροφοριών. Αντ 'αυτού, οι κακοί ηθοποιοί πίσω από αυτό χρησιμοποιούσαν την παράνομη πρόσβασή τους για να κλέψουν προπληρωμένες δωροκάρτες, από όλα τα πράγματα.
Οι κακοί ηθοποιοί βρήκαν το δρόμο τους σε έναν διακομιστή VPN μιας εταιρείας, πιθανότατα μέσω του ηλεκτρονικού ψαρέματος των διαπιστευτηρίων ενός μόνο χρήστη. Ο διακομιστής VPN που λειτουργεί από την εταιρεία δεν είχε καμία μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων και επίσης δεν εκτελούσε την τελευταία έκδοση του λογισμικού διακομιστή. Δεν είναι σαφές ποιος τόπος επίθεσης χρησιμοποιήθηκε καθώς είναι πιθανό τόσο το ηλεκτρονικό "ψάρεμα" όσο και η ευπάθεια στην πλατφόρμα διακομιστή
Μόλις οι κακοί ηθοποιοί μπόρεσαν να μπουν στο δίκτυο της εταιρείας, χρησιμοποίησαν το RDP και «πήδηξαν» σε διαφορετικά μηχανήματα. Οι χάκερς έλεγξαν προγράμματα περιήγησης για τυχόν λογαριασμούς από τους οποίους δεν αποσυνδέθηκαν οι χρήστες. Αυτό περιελάμβανε λογαριασμούς ηλεκτρονικού ταχυδρομείου με το Gmail ή το Outlook. Οι λογαριασμοί e-mail στους οποίους μπορούσαν να αποκτήσουν πρόσβαση χρησιμοποιήθηκαν για την επαναφορά κωδικών πρόσβασης για υπηρεσίες όπως το Google Pay, το PayPal και το Venmo.
Σε μια τύχη, φαίνεται ότι μόνο λίγοι χρήστες στο συμβιβασμένο δίκτυο είχαν αποθηκεύσει τα στοιχεία της πιστωτικής τους κάρτας για αυτόματη συμπλήρωση και αυτόματες αγορές. Με αυτόν τον τρόπο, οι κακοί ηθοποιοί πίσω από την επίθεση κατάφεραν να αγοράσουν μόνο μια χούφτα προπληρωμένες δωροκάρτες πριν εντοπιστεί η εισβολή και η επίθεση τερματίστηκε.
Εκτός από την απόπειρα αγοράς μεγάλης κλίμακας δωροκάρτας, με πολλές δωροκάρτες ακόμα να περιμένουν ταμείο όταν οι χάκερ πιάστηκαν και εγκατέλειψαν τη μικρή τους λειτουργία, υπήρχε ένας δευτερεύων στόχος για την επίθεση στον κυβερνοχώρο. Οι εισβολείς εγκατέστησαν ένα εργαλείο αναζήτησης αρχείων στο παραβιασμένο δίκτυο , διαμορφώνοντάς το έτσι ώστε να αναζητά προσωπικά δεδομένα και ευαίσθητες πληροφορίες εταιρείας.
Οι στόχοι των αναζητήσεων αρχείων περιελάμβαναν τραπεζικές καταστάσεις, λεπτομέρειες σχετικά με τους οδηγούς που εργάζονται για την εταιρεία και τα έγγραφα αίτησης πιστωτικής κάρτας.
Δεν υπάρχουν σκληρές ενδείξεις για το τι ακριβώς κατάφεραν να αποσπάσουν οι χάκερ από το δίκτυο πριν αποκοπούν.