Grootschalige fraudecampagne gericht op retailbedrijven en klantenservices ontdekt
Microsoft 365-omgevingen van internationale retailbedrijven en klantenservices zijn doelwit van een groep cybercriminelen. Zij kennen zichzelf op grote schaal cadeaubonnen toe door accounts van medewerkers met toegang tot bonbeheer te compromitteren.
De campagne, door de onderzoekers Jingle Thief genoemd, toont aan dat financieel gemotiveerde groepen steeds vaker geavanceerde methoden gebruiken om langdurig onopgemerkt te blijven. In één geval bleven de hackers bijna tien maanden actief binnen één wereldwijd bedrijf, waarbij ze meer dan 60 gebruikersaccounts wisten te misbruiken.
Interne workflows gemanipuleerd
Met de naderende feestdagen verwachten de onderzoekers een toename van dergelijke aanvallen. De aanvallers gebruiken phishing en smishing om inloggegevens te stelen en opereren bijna volledig binnen cloudomgevingen zoals SharePoint, OneDrive en Entra ID. Eenmaal binnen manipuleren ze interne workflows om zichzelf grote hoeveelheden cadeaubonnen toe te kennen.
Om detectie te ontlopen passen de criminelen technieken toe zoals het instellen van inboxregels die verzonden e-mails automatisch verwijderen of doorsturen – een methode die volgens de onderzoekers nog niet eerder publiekelijk is beschreven. De onderzoekers melden dat de aanvallers vermoedelijk uit Marokko komen.
'Wees alert op afwijkende inlogactiviteiten'
Unit 42 waarschuwt dat deze vorm van fraude zich snel ontwikkelt. Door het misbruik van cloudomgevingen kunnen aanvallers decentraal toegang verkrijgen en lang onopgemerkt blijven. Het team adviseert organisaties om alert te zijn op afwijkende inlogactiviteiten, toegangsrechten regelmatig te controleren en sterke identiteitsbescherming, zoals multi-factor-authenticatie, breed toe te passen.
Lees het volledige onderzoek van Unit 42 hier.
Meer over Palo Alto Networks
Over Wouter Hoeffnagel
