Wraz z nadejściem Black Friday i świątecznego szczytu zakupowego rośnie aktywność cyberprzestępców. To właśnie w tym newralgicznym okresie marokańska grupa prowadzi kampanię oszustw, w której karty podarunkowe stanowią główny element monetyzacji przejętych kont. Analitycy Unit 42 podkreślają, że grupa potrafi pozostawać w środowiskach firmowych nawet przez niemal rok – często całkowicie niezauważona

Wraz ze startem sezonu przedświątecznych zakupów liczba transakcji online wyraźnie przyspiesza. Według ostatnich danych Adobe prognozowana wartość sprzedaży online w okresie listopada i grudnia ma wynieść ponad 250 miliardów dolarów, co oznacza wzrost o kolejne 5,3% rok do roku . Jednocześnie cyberprzestępcy wykorzystują fakt, że użytkownicy podejmują szybkie decyzje zakupowe i rzadziej weryfikują źródła ofert. W zeszłym roku liczba ataków phishingowych związanych tematycznie z Black Friday wzrosła aż o 692% w porównaniu z początkiem listopada .

To właśnie w tym kontekście analitycy Unit 42 z Palo Alto Networks odkryli działania kampanii Jingle Thief, prowadzonej przez grupę marokańskich cyberprzestępców i ukierunkowanej na firmy wydające karty podarunkowe. Grupa koncentruje się na przedsiębiorstwach korzystających z usług chmurowych, w szczególności środowisk Microsoft 365. Po przejęciu pojedynczego konta pracownika wykorzystuje legalne funkcje poczty i komunikacji, by prowadzić wewnętrzny phishing oraz stopniowo rozszerzać swoje uprawnienia. W jednej z analizowanych operacji atakujący utrzymali dostęp do infrastruktury przez niemal 10 miesięcy, kompromitując ponad 60 kont pracowników.

Dlaczego akurat karty podarunkowe? Wzrost ich popularności – wartość rynku w Polsce ma przekroczyć 10 miliardów złotych w ciągu najbliższych 4 lat – sprawia, że stają się one naturalnym celem dla grup cyberprzestępczych . Jak podkreślają analitycy Unit 42, dodatkowym atutem jest fakt, że można je szybko zrealizować i łatwo spieniężyć, często poprzez odsprzedaż z niewielkim rabatem na nieformalnych platformach. Ponadto do ich wykorzystania potrzeba jedynie minimalnej ilości danych, a transakcje są trudne do prześledzenia i praktycznie niemożliwe do cofnięcia.

 

– Systemy obsługujące karty podarunkowe w wielu organizacjach mają szeroki zakres uprawnień i ograniczone mechanizmy kontroli. To tworzy warunki, w których cyberprzestępcy, tacy jak ci operujący w kampanii Jingle Thief, mogą, po uzyskaniu dostępu do firmowego środowiska, próbować wystawiać karty o wysokiej wartości w różnych programach. Oszuści wykorzystują fakt, że procesy związane z obsługą kart podarunkowych są często złożone i słabo monitorowane, co utrudnia szybkie wykrycie nadużyć – komentuje Grzegorz Latosiński, dyrektor sprzedaży Palo Alto Networks w Europie Środkowo-Wschodniej.

 

Eksperci przypominają, aby w okresie intensywnych promocji szczególnie uważać na wiadomości zachęcające do szybkiego zakupu kart podarunkowych, dopłat do przesyłek i „ekskluzywnych ofert ograniczonych czasowo”. Warto weryfikować wszystkie promocje wyłącznie w oficjalnych aplikacjach i na stronach sklepów, unikać klikania w linki z SMS-ów i e-maili oraz zwracać uwagę na nietypowe komunikaty rzekomo pochodzące od działów IT. Firmy powinny monitorować aktywność w swoich środowiskach chmurowych i stosować zasady ograniczonego dostępu, a pracownicy – pamiętać, że w okresie świątecznym cyberprzestępcy wykorzystują emocje, pośpiech i zakupowe zamieszanie, by zwiększyć skuteczność swoich ataków.