Gli hacker utilizzano il phishing delle password e la reimpostazione delle password per dirottare le carte regalo prepagate
I ricercatori di Sophos Security hanno recentemente segnalato una violazione della rete che non si concentrava sulla distribuzione di ransomware o sul furto di informazioni. Invece, i cattivi attori dietro stavano usando il loro accesso illegale per rubare carte regalo prepagate, di tutte le cose.
I malintenzionati si sono fatti strada nel server VPN di un'azienda, molto probabilmente phishing delle credenziali di un solo utente. Il server VPN gestito dall'azienda non disponeva di alcuna forma di autenticazione a più fattori e inoltre non era in esecuzione l'ultima versione del software del server. Non è chiaro quale luogo dell'attacco sia stato utilizzato poiché è probabile che sia il phishing sia una vulnerabilità nella piattaforma server.
Una volta che i cattivi attori sono stati in grado di accedere alla rete aziendale, hanno utilizzato RDP e "saltato" su macchine diverse. Gli hacker hanno controllato i browser per eventuali account da cui gli utenti non si sono scollegati. Ciò includeva account di posta elettronica con Gmail o Outlook. Gli account di posta elettronica a cui potevano accedere sono stati utilizzati per reimpostare le password per servizi come Google Pay, PayPal e Venmo.
In un colpo di fortuna, sembra che solo pochi utenti sulla rete compromessa abbiano salvato i dati della propria carta di credito per il riempimento automatico e gli acquisti automatici. In questo modo, i cattivi attori dietro l'attacco sono riusciti a comprare solo una manciata di carte regalo prepagate prima che l'intrusione fosse individuata e l'attacco fosse interrotto.
Oltre a tentare l'acquisto di carte regalo su larga scala, con molte carte regalo ancora in attesa di essere pagate quando gli hacker sono stati catturati e hanno abbandonato la loro piccola operazione, c'era un obiettivo secondario nell'attacco informatico. Gli aggressori hanno installato uno strumento di ricerca di file sulla rete compromessa , configurandola per la ricerca di dati personali e informazioni aziendali sensibili.
Gli obiettivi delle ricerche di file includevano estratti conto bancari, dettagli sui conducenti che lavorano per l'azienda e documenti di richiesta di carta di credito.
Non ci sono prove concrete di cosa esattamente gli hacker siano riusciti a estrarre dalla rete prima di essere tagliati fuori.
