Es hat sich eine ausufernde Betrugskampagne entwickelt, die auf große Unternehmen abzielt, die Geschenkkarten ausgeben, und Forscher sagen, dass die Angreifer weder ungeschickt noch klein sind. Stattdessen hat eine Gruppe, die von Marokko aus operiert, heimlich die Cloud-Systeme von Unternehmen infiltriert, Identitätstools ausgenutzt und hochwertige Geschenkkarten zum Weiterverkauf ausgegeben. Die Kampagne wurde vom Sicherheitsteam des Unit 42 , dem Forschungszweig für Cyberbedrohungen von Palo Alto Networks, als “Jingle Thief” bezeichnet.
Der Betrug beginnt mit relativ einfachen Mitteln. Phishing- und Smishing-Köder (SMS-basiertes Phishing) werden an Mitarbeiter globaler Einzelhandels- und Dienstleistungsunternehmen gesendet. Die Angreifer geben sich als vertraute, vertrauenswürdige Entitäten aus (z. B. gemeinnützige Organisationen, interne IT-Mitteilungen oder Ticketsystem-Updates), um die Opfer zur Herausgabe von Anmeldeinformationen zu verleiten. Sobald sie sich in der Cloud-Umgebung eines Unternehmens befinden, gehen sie mit Erkundung, Lateral Movement und Beharrlichkeit vor.
Bemerkenswert ist, wie wenig Malware verwendet wird. Die Angreifer verlassen sich überwiegend auf den Missbrauch von Cloud-Identitäten, anstatt bösartigen Code auf Endpunkten abzulegen. Sie registrieren nicht autorisierte Geräte, registrieren bösartige Authentifizierungs-Apps, legen Posteingangsregeln fest, die vertrauliche Genehmigungs-E-Mails an von Angreifern kontrollierte Konten weiterleiten, und greifen unbemerkt auf Dokumentenfreigaben zu, die Workflows und Ausstellungssysteme für Geschenkkarten verfolgen.
Bei einem Vorfall hielten die Bedrohungsakteure etwa zehn Monate lang den Zugriff auf eine einzige Unternehmensumgebung aufrecht und kompromittierten über sechzig Benutzerkonten.
Die Sequenz verläuft in der Regel in drei Phasen:
Erste Kompromittierung: Eine Phishing-E-Mail führt zur Extraktion von Anmeldedaten. Die URL mag legitim erscheinen, leitet den Benutzer jedoch tatsächlich auf eine feindliche Website weiter.
Cloud-Aufklärung und Lateral Movement: Nach der Anmeldung durchsuchen die Angreifer SharePoint, OneDrive, Exchange und andere Ressourcen und suchen nach Workflows für die Ausstellung von Geschenkkarten, Genehmigungsketten, Ticketexporten, VPN-Zugriffsleitfäden und internen Tabellenkalkulationen.
Ausführung von Betrug: Sobald die richtige Anwendung oder der richtige Workflow identifiziert ist, stellen die Angreifer Geschenkkarten aus, oft hochwertige Karten, mit den kompromittierten Anmeldedaten. Sie wandeln diese Karten dann in Bargeld um oder bewegen sie über Graumarktkanäle. All dies geschieht mit minimalen Protokollspuren und ohne Malware.
Einer der großen Vorteile für die Betrüger ist die Art und Weise, wie Geschenkkarten intern von vielen Unternehmen gehandhabt werden. Da diese Systeme oft außerhalb der zentralen Finanzkontrollen angesiedelt sind, werden sie seltener überwacht und protokolliert als Bankensysteme. Das gibt Angreifern sowohl Gelegenheit als auch Deckung.
Geschenkkarten sind ideale Ziele
Mehrere Faktoren machen Geschenkkarten zu einem besonders verlockenden Ziel für Cyberbetrug. Erstens benötigen sie nur minimale persönliche Daten, um sie einzulösen, und können in Bargeld umgewandelt oder anonym verwendet werden, was es schwierig macht, sie zurückzuverfolgen. Zweitens verfügen Ausgabesysteme oft über weitreichende interne Berechtigungen und eine schwächere Überwachung als Zahlungskartensysteme. Drittens entgeht Betrug über Geschenkkarten oft der unmittelbaren Aufmerksamkeit der Finanzrisikoteams, da die Beträge bis zu ihrer Eskalation als legitime Vorgänge erscheinen können.
Auch das saisonale Timing spielt eine Rolle. Die Kampagne “Jingle Thief” ist nach der erhöhten Aktivität während der Feiertage benannt, wenn die Ausgabe von Geschenkkarten hoch ist und das Personal weniger wachsam ist. Angreifer planen ihre Übergriffe so, dass die Verteidigung überlastet ist.
Die marokkanische Hackergruppe und ihre Taktiken
Die Forscher der Einheit 42 führen diese Kampagne mit mäßiger Sicherheit auf einen Bedrohungsakteur-Cluster zurück, der als CL-CRI-1032 verfolgt wird. Es wird angenommen, dass sich dieser Cluster mit Gruppen überschneidet, die als Atlas Lion und Storm-0539 bekannt sind, die beide in Marokko beheimatet und seit mindestens Ende 2021 aktiv sind.
Ungewöhnlich ist, wie sie sich ähnlich wie staatlich geförderte Gruppen verhalten: lange Verweilzeiten, intensive Aufklärung und Cloud-native Operationen. Aber sie sind nicht politisch, sondern finanziell motiviert. Sie vermeiden bewusst Malware und Endpoint-Angriffe, da diese das Rauschen und das Erkennungsrisiko erhöhen. Sie ziehen es vor, vollständig innerhalb der Identitätsschicht zu arbeiten.
Ein weiteres Beispiel für ihre Tarnung ist die Art und Weise, wie sie die Geräteregistrierung missbrauchen. Nachdem sie Anmeldeinformationen erhalten haben, registrieren sie ihre eigenen virtuellen Maschinen oder Geräte unter der Domäne der Zielorganisation und nutzen häufig die Cloud-Infrastruktur, um sich einzufügen. Sobald das bösartige Gerät Teil der Umgebung ist, verhält es sich wie ein legitimer Unternehmensendpunkt.
Was Unternehmen tun müssen, um sich zu verteidigen
Für Unternehmen im Einzelhandel, im Kundendienst oder in anderen Unternehmen, die Geschenkkarten ausgeben, hat sich das Risikomodell verändert. Identitäts- und Cloud-Workflows stehen jetzt an vorderster Front. Verteidiger sollten sich auf die Prävention von Schadsoftware und die Verwendung von Identitäten, die Geräteregistrierung, die Sichtbarkeit interner Workflows und die domänenweite Erkennung konzentrieren.
Was als relativ risikoarmer Betrugsbereich (Diebstahl von Geschenkkartencodes) begann, ist zu einem ausgeklügelten Cloud-basierten Verbrechen gereift. Die Jingle Thief-Kampagne zeigt, wie Angreifer jetzt Identitätssysteme, Cloud-Workloads und interne Workflows ausnutzen, um Vermögenswerte zu stehlen, die wie Bargeld monetarisiert werden. Unternehmen, die Geschenkkarten ausgeben, müssen diese Systeme jetzt als große finanzielle Risikobereiche betrachten.
Wenn Sie Teil eines Unternehmens sind, das sich mit der Ausstellung von Geschenkkarten befasst, ist die Botschaft klar: Der Feind befindet sich möglicherweise bereits in Ihrer Identitätsinfrastruktur und bildet geduldig Ihre Cloud- und Unternehmensabläufe ab. Was Sie für eine administrative Erleichterung hielten, kann jetzt ein Einfallstor für Betrug sein.