ハッカーはパスワードフィッシングとパスワードリセットを使用してプリペイドギフトカードを乗っ取る
ソフォスセキュリティの研究者は最近、ランサムウェアの展開や情報の盗用に焦点を当てていないネットワーク侵害を報告しました。代わりに、その背後にいる悪意のある人物は、違法なアクセスを利用して、何よりもプリペイドギフトカードを盗んでいました。
悪意のある人物は、おそらく1人のユーザーの資格情報をフィッシングすることによって、企業のVPNサーバーに侵入しました。会社が運営するVPNサーバーには、多要素認証が設定されておらず、最新バージョンのサーバーソフトウェアも実行されていませんでした。フィッシングとサーバープラットフォームの脆弱性の両方が発生する可能性があるため、どの攻撃場所が使用されたかは明らかではありません。
悪意のある人物が会社のネットワークにアクセスできるようになると、RDPを使用して、さまざまなマシン間で「ジャンプ」しました。ハッカーは、ユーザーがログアウトしなかったアカウントがないかブラウザをチェックしました。これには、GmailまたはOutlookの電子メールアカウントが含まれます。アクセスできる電子メールアカウントは、Google Pay、PayPal、Venmoなどのサービスのパスワードをリセットするために使用されました。
運が良ければ、侵害されたネットワーク上の少数のユーザーだけが、自動入力と自動購入のためにクレジットカード情報を保存したようです。このように、攻撃の背後にいる悪意のある人物は、侵入が発見されて攻撃が遮断される前に、ほんの一握りのプリペイドギフトカードを購入することができました。
大規模なギフトカードの購入を試みることに加えて、ハッカーが捕らえられて小さな操作を放棄したときに多くのギフトカードがまだチェックアウトを待っている状態で、サイバー攻撃の二次的な目標がありました。攻撃者は、 侵害されたネットワークにファイル検索ツールをインストールし、個人データと企業の機密情報を検索するように構成しました。
ファイル検索の対象には、銀行の明細書、会社で働くドライバーの詳細、クレジットカードの申請書類が含まれていました。
ハッカーが遮断される前にネットワークから何を引き出したのかについての確固たる証拠はありません。