Los riesgos cibernéticos pueden encontrarse en cualquier lado, incluso en unas inofensivas tarjetas de regalo. ¡Conozca el caso de Storm-0539!
La temporada de Navidad está a la vuelta de la esquina. Algunos ya saben qué regalar a sus seres queridos. No obstante, buscar un obsequio adecuado puede ser complicado. Por fortuna, las tarjetas de regalo existen para sacarnos de esa clase de líos.
¿No sabe qué es una tarjeta de regalo? Consiste en un documento con un valor monetario predeterminado. El destinatario puede canjear la tarjeta para adquirir cualquier producto con un valor igual o menor. Lo anterior incluye bienes digitales.
También le puede interesar: ¿Es cierto que las redes sociales están dañando el cerebro de los adolescentes?
Por desgracia, eso hace que las tarjetas de regalo sean objetivos atractivos para el fraude y demás riesgos cibernéticos. Microsoft ha estado haciendo un seguimiento.
A diferencia de las tarjetas de crédito o débito, las tarjetas de regalo no están asociadas con un nombre de cliente o una cuenta bancaria. Eso reduce las sospechas de su uso malicioso. Es justo por eso que Storm-0539 se ha especializado en este tipo de estafa.
¿Qué es Storm-0539 (Atlas Lion)?
Activo desde finales de 2021, Storm-0539 —también conocido como Atlas Lion— opera desde Marruecos. Está involucrado en toda clase de delitos financieros. Originalmente se especializaba en ataques de malware en dispositivos de punto de venta (POS), tales como cajas registradoras, para comprometer los datos de las tarjetas de pago.
Sin embargo, ese ya no es su enfoque.
Hoy en día, tiene como principal objetivo a los servicios de identidad y en la nube. Esta transición le ha permitido atacar de manera constante los sistemas de pago y tarjetas asociados con los grandes minoristas, marcas de lujo y franquicias de comida rápida.
El grupo opera en todo el mundo, pero es especialmente activo en los días festivos de Estados Unidos. Entre marzo y mayo de 2024, Microsoft observó un aumento del 30% en la actividad de Storm-0539. Proyecta que aumentará en un 60% para finales de 2024.
¿Cómo funcionan las estafas de con tarjetas de regalo de Storm-0539 (Atlas Lion)?
Lo que distingue a Storm-0539 de otros actores de amenazas es su conocimiento de los entornos en la nube, sistemas de identidad y privilegios de acceso. A través de esto, lleva a cabo un reconocimiento de los procesos de emisión de tarjetas de regalo.
Por medio de ataques de phishing, el grupo registra sus dispositivos en entornos de víctimas para ganar acceso persistente.
Esto es posible gracias al robo de datos personales, credenciales y tokens de autenticación mediante páginas adversary-in-the-middle (AiTM). Así, las notificaciones relacionadas con la autenticación multifactor (MFA) de la cuenta comprometida son recibidas por el dispositivo del atacante.
Lectura recomendada: La criptomoneda del FBI contra las ciberestafas
Veamos más de cerca cómo es la cadena de ataque de Storm-0539:
-
Emplea directorios, cronogramas, listas de contactos y bandejas de entrada de empleados para identificar víctimas y mandarles mensajes de smishing.
-
Una vez la cuenta de un empleado es infiltrada, los atacantes se mueven a través de la red. Su objetivo es identificar el proceso de la tarjeta de regalo.
-
Recopila información de máquinas virtuales (VM), conexiones VPN y recursos de SharePoint y OneDrive, al igual que Salesforce, Citrix y otros entornos remotos.
-
Tras ganar acceso, crea tarjetas de regalo con las cuentas comprometidas.
-
Redime el valor asociado con las tarjetas, las vende a otros actores de amenazas en los mercados negros o emplea mulas de dinero para reclamar las tarjetas.
Menor costo, mayor eficiencia
Las páginas AiTM de Storm-0539 sirven principalmente para identificar individuos con credenciales y demás información que servirá para continuar propagando sus ataques de phishing. Sin embargo, ese no es el único propósito de dichas landing pages.
Para pasar desapercibido, Storm-0539 se hace pasar por organizaciones benéficas y sin animo de lucro. Con dicho objetivo, el grupo se asegura de que sus páginas AiTM luzcan lo más convincentes posibles para atraer a usuarios desprevenidos. Aunque a menudo usa dominios de typosquatting, también ha empleado dominios registrados.
Microsoft ha evidenciado los extremos a los que ha llegado el grupo.
También le puede interesar: Monitoreo de nube: un aspecto complejo, pero esencial de la gestión de nube efectiva
Hay varias instancias de Storm-0539 descargando copias legítimas de cartas 501(c)(3) emitidas por el Servicio de Impuestos Internos (IRS) desde los sitios web públicos de las organizaciones sin ánimo de lucro por las que se hacen pasar. Esto los hace elegibles a los beneficios económicos que ofrecen los proveedores en la nube.
El grupo también ha creado pruebas gratuitas de 30 días para estudiantes en plataformas de servicios en la nube. Dentro de dichas cuentas crea VM. Por medio de estas últimas llevan a cabo sus operaciones. Lo anterior no solo proyecta una imagen de legitimidad, sino que permite que Storm-0539 evite los costos de hosts y servidores.
Esa no es la única instancia de su precaución. Como explica uno de los expertos de seguridad de Microsoft, Storm-0539emite las tarjetas de regalo justo debajo del límite de seguridad para permitir la autorización y pasar desapercibido. Si el límite es 100 dólares, el actor de amenazas emitirá una tarjeta con un valor de 90 dólares.
Recomendaciones para que las compañías prevengan los riesgos cibernéticos de las tarjetas de regalo
Como sugiere Microsoft, las compañías que emiten tarjetas de regalo deben tratar sus portales de tarjetas de regalo como objetivos de alto valor para el cibercrimen. Esto supone supervisar y auditar actividades anómalas de forma continua. El monitoreo de logs puede ayudar a identificar logins sospechosos y demás vectores de acceso inicial.
La implementación de políticas de acceso condicional y de riesgo de inicio de sesión, además de la capacitación de los equipos de seguridad sobre tácticas de ingeniería social, es vital. Debe ir de la mano con las mejores prácticas de seguridad en la nube.
Dichas prácticas incluyen el uso de MFA resistente a la suplantación de identidad. Las llaves de seguridad FIDO2 son una buena alternativa. También es importante aplicar el principio de mínimo privilegio (PoLP) a través de todo el tech stack. Lo anterior contribuye a minimizar el posible impacto de ataques como los de Storm-0539.
Lectura recomendada: El hacker que quiso desaparecer: cómo el FBI y Mandiant desmantelaron el engaño de un ‘fantasma digital’
Actores de amenaza como Storm-0539 suponen que encontrarán usuarios con privilegios de acceso excesivos. Esto puede solucionarse con roles intercambiables. Tareas como la revisión de privilegios y membresías de listas de distribución pueden reducir el impacto.
A través de estas medidas, las peticiones de autenticación pueden ser evaluadas empleando otras señales de identificación. Estas incluyen la información de la ubicación de la IP, el estado del dispositivo e incluso factores biométricos.
Otra estrategia que puede frenar esta clase de ciberataques con tarjetas de regalo es un proceso de verificación de clientes a la hora de adquirir dominios. Al fin y al cabo, las regulaciones y políticas de vendedores pueden no prevenir typosquatting malicioso.
Recomendaciones para que los usuarios prevengan los riesgos cibernéticos de las tarjetas de regalo
Por supuesto, las empresas no son las únicas que deben cuidarse de las tarjetas de regalo y demás riesgos cibernéticos. Al fin y al cabo, no hay nada más valioso para los actores de amenazas que sus datos personales. Así consiguen nuevas víctimas.
En el caso de los internautas, el Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia(MinTIC) plantea las siguientes recomendaciones:
-
Utilice antivirus: debe estar instalado en todos sus dispositivos.
-
Conéctese a redes Wi-Fi conocidas: las redes públicas no suelen ser seguras. Si no hay otra opción, mantenga el tiempo de conexión al mínimo. No ingrese a sitios web con datos personales sensibles ni olvide desconectarse al terminar.
-
No ingrese a sitios web no seguros: revise que la dirección web tenga el ícono de un candado en su lado superior izquierdo y las iniciales ‘https’. Estas indican que la conexión entre el navegador y el sitio web está cifrada.
-
Evite abrir enlaces sospechosos: desconfíe de los anuncios en Internet con ofertas demasiado buenas para ser verdad, sobre todo si se encuentra en un sitio web poco confiable o se trata del mensaje de un remitente desconocido.
-
No comparta datos personales: evite exponerse a una suplantación de identidad.
-
Gestione su privacidad en redes sociales: configure las opciones de privacidad, limite la información que publique y evite aceptar contactos desconocidos.
-
Utilice contraseñas fuertes: incluya combinaciones de letras mayúsculas y minúsculas, números y caracteres especiales en su contraseña. No olvide cambiarla con frecuencia y no use la misma para todos los servicios que utilice.
-
No descargue archivos sospechosos: los ciberdelincuentes suelen utilizar programas ocultos para instalar el software malicioso que daña o extrae datos sensibles. Evite descargar y abrir archivos de contactos desconocidos.
-
Configure la seguridad en su navegador: todos los navegadores ofrecen esta opción. Vaya a “Configuración” y buscar la opción de seguridad y privacidad.
El modus operandi de Storm-0539 es reminiscente al de actores de amenaza auspiciados por gobiernos. Esto evidencia que los cibercriminales motivados por el dinero están refinando sus técnicas. Y en la medida que las tarjetas de regalo como método de fraude prueben ser lucrativas para Storm-0539, otros grupos se sumarán.
En el panorama tecnológico, los ciberdelincuentes constantemente están mejorando sus métodos. Si no quieren terminar a merced de grupos como Storm-0539, resulta obligatorio mantenerse al día con las mejores prácticas de seguridad informática.
Y esto no solo aplica a las grandes empresas, sino a todos los usuarios de internet.
