Hakerzy wykorzystują wyłudzanie haseł i resetowanie haseł, aby przejąć przedpłacone karty podarunkowe
Naukowcy z Sophos Security niedawno zgłosili naruszenie sieci, które nie dotyczyło wdrażania oprogramowania ransomware ani kradzieży informacji. Zamiast tego, źli aktorzy, którzy za tym stoją, wykorzystywali swój nielegalny dostęp do kradzieży przedpłaconych kart podarunkowych.
Źli aktorzy przedostali się na firmowy serwer VPN, najprawdopodobniej wyłudzając dane uwierzytelniające tylko jednego użytkownika. Serwer VPN obsługiwany przez firmę nie miał skonfigurowanej żadnej formy uwierzytelniania wieloskładnikowego, a także nie działał na nim najnowsza wersja oprogramowania serwera. Nie jest jasne, które miejsce ataku zostało wykorzystane, ponieważ prawdopodobne jest zarówno wyłudzenie informacji, jak i luka w zabezpieczeniach platformy serwerowej.
Gdy źli aktorzy mogli dostać się do sieci firmowej, używali RDP i „przeskakiwali” między różnymi maszynami. Hakerzy sprawdzili przeglądarki pod kątem kont, z których użytkownicy się nie wylogowali. Obejmuje to konta e-mail w Gmailu lub Outlooku. Konta e-mail, do których mogli uzyskać dostęp, służyły do resetowania haseł do usług takich jak Google Pay, PayPal i Venmo.
Na szczęście wydaje się, że tylko kilku użytkowników w zaatakowanej sieci zapisało informacje o swoich kartach kredytowych do automatycznego uzupełniania i automatycznych zakupów. W ten sposób źli aktorzy stojący za atakiem zdołali kupić tylko kilka przedpłaconych kart podarunkowych, zanim włamanie zostało zauważone, a atak został przerwany.
Oprócz próby zakupu kart podarunkowych na dużą skalę, przy czym wiele kart podarunkowych wciąż czeka na kasę, gdy hakerzy zostali złapani i porzucili swoją małą operację, cyberatak miał drugorzędny cel. Atakujący zainstalowali narzędzie do wyszukiwania plików w zaatakowanej sieci , konfigurując je do wyszukiwania danych osobowych i poufnych informacji firmowych.
Celem przeszukiwania plików były wyciągi bankowe, dane kierowców pracujących dla firmy oraz dokumenty wniosków o wydanie karty kredytowej.
Nie ma twardych dowodów, co dokładnie udało się hakerom wyciągnąć z sieci, zanim zostali odcięci.