Хакеры используют фишинг паролей и сбросы паролей для взлома предоплаченных подарочных карт
Исследователи из Sophos Security недавно сообщили о взломе сети, не связанном с развертыванием программ-вымогателей или кражей информации. Вместо этого злоумышленники, стоящие за этим, использовали свой незаконный доступ, чтобы украсть предоплаченные подарочные карты.
Злоумышленники проникли на VPN-сервер компании, скорее всего, путем фишинга учетных данных только одного пользователя. На управляемом компанией VPN-сервере не было настроено какой-либо формы многофакторной аутентификации, а также на нем не была установлена последняя версия серверного программного обеспечения. Неясно, какое место атаки было использовано, поскольку вероятны и фишинг, и уязвимость в серверной платформе.
Как только злоумышленники смогли проникнуть в сеть компании, они использовали RDP и «перепрыгивали» между разными машинами. Хакеры проверяли браузеры на наличие учетных записей, из которых пользователи не выходили из системы. Это включало учетные записи электронной почты с Gmail или Outlook. Учетные записи электронной почты, к которым они могли получить доступ, использовались для сброса паролей для таких сервисов, как Google Pay, PayPal и Venmo.
По счастливой случайности оказалось, что только несколько пользователей взломанной сети сохранили информацию о своей кредитной карте для автоматического заполнения и автоматических покупок. Таким образом, злоумышленникам, стоящим за атакой, удалось купить лишь несколько предоплаченных подарочных карт, прежде чем вторжение было обнаружено и атака остановлена.
Помимо попытки крупномасштабной покупки подарочных карт, когда многие подарочные карты все еще ожидали оплаты, когда хакеры были пойманы и отказались от своей небольшой операции, кибератака была второстепенной целью. Злоумышленники установили инструмент поиска файлов в скомпрометированной сети , настроив его на поиск личных данных и конфиденциальной информации компании.
Целями поиска файлов были банковские выписки, сведения о водителях, работающих в компании, и документы для заявки на кредитную карту.
Нет веских доказательств того, что именно хакерам удалось вытащить из сети до того, как их отключили.