A hackerek a jelszó-adathalászatot és a jelszó-visszaállításokat használják az előre fizetett ajándékkártyák eltérítésére

A Sophos Security munkatársai a közelmúltban olyan hálózati megsértésről számoltak be, amely nem a ransomware telepítésére vagy az információk ellopására összpontosított. Ehelyett a mögötte álló rossz szereplők illegális hozzáférésüket az előre kifizetett ajándékkártyák ellopására használták fel.

A rossz szereplők egy vállalat VPN-szerverére találtak, valószínűleg csak egy felhasználó adathalászával. A vállalat által működtetett VPN-kiszolgálón semmiféle többtényezős hitelesítést nem állítottak be, és a kiszolgálószoftver legújabb verzióját sem futtatta. Nem világos, hogy a támadás melyik helyszínét alkalmazták, mivel valószínűleg mind az adathalászat, mind a kiszolgálóplatform biztonsági rése valószínű.

Miután a rossz szereplők feljuthattak a vállalati hálózatra, RDP-t használtak, és "átugrottak" a különböző gépeken. A hackerek megvizsgálták a böngészőket minden olyan fióknál, amelyről a felhasználók nem jelentkeztek ki. Ez magában foglalta a Gmail vagy az Outlook alkalmazással ellátott e-mail fiókokat. Azok az e-mail fiókok, amelyekhez hozzájuthattak, az olyan szolgáltatások jelszavainak visszaállítására szolgáltak, mint a Google Pay, a PayPal és a Venmo.

Szerencsésnek tűnik, hogy a veszélyeztetett hálózaton csak kevés felhasználó mentette el hitelkártya adatait automatikus kitöltéshez és automatikus vásárlásokhoz. Ily módon a támadás mögött álló rossz szereplőknek csak egy maroknyi előre fizetett ajándékkártyát sikerült megvásárolniuk, mire észlelték a behatolást és a támadást megszakították.

Amellett, hogy megkísérelte a nagyszabású ajándékkártya-vásárlást, sok ajándékkártya még várt a fizetésre, amikor a hackereket elkapták és felhagytak kis működésükkel, másodlagos cél volt a kiberroham. A támadók fájlkereső eszközt telepítettek a megsértett hálózatra , és úgy konfigurálták, hogy személyes adatokat és érzékeny vállalati információkat keressen.

A fájlkeresések céljai között voltak banki kivonatok, a vállalatnál dolgozó járművezetők adatai és a hitelkártya-kérelem dokumentumai.

Nincs egyértelmű bizonyíték arra, hogy a hackereknek pontosan mit sikerült kihúzniuk a hálózatból, mielőtt levágták őket.