A quilômetros de distância da segurança: a fraude do passageiro frequente

Categoria: Cenário de ameaças | Indústria: Aviação | Motivação: Financeiro | Região: Múltiplo

‍

Sumário executivo

No cenário em constante evolução do crime cibernético, os agentes de ameaças desenvolvem continuamente métodos inovadores para maximizar seus ganhos ilícitos.

Este artigo investiga uma técnica sofisticada que ganhou força entre os cibercriminosos: a exploração de contas roubadas de passageiros frequentes como veículo para lavagem de dinheiro e extração de valor.

O ecossistema do crime cibernético apresenta um desafio único para agentes mal-intencionados, uma vez que eles comprometem sistemas com sucesso ou extraem fundos das vítimas. Converter esses ganhos ilícitos em moeda utilizável e, ao mesmo tempo, evitar a detecção é uma etapa crítica em suas operações.

‍

Este artigo fornece uma exploração aprofundada desse fenômeno, abrangendo várias áreas principais:‍

• As motivações subjacentes que levam os agentes de ameaças a atingir contas de passageiros frequentes e pontos de fidelidade.
• Um exame dos mercados e fóruns clandestinos onde essas contas comprometidas são compradas, vendidas e negociadas.
• Um detalhamento detalhado do processo que os cibercriminosos empregam para monetizar pontos de milhas roubados, incluindo a conversão de pontos em viagens que podem ser reservadas ou outras mercadorias de alto valor.
• Dois estudos de caso que ilustram exemplos reais dessa atividade fraudulenta, destacando a escala e a sofisticação dessas operações.
• Uma análise do impacto financeiro nas vítimas individuais e no setor aéreo como um todo.
• Uma tentativa detalhada de traçar o perfil dos agentes de ameaças envolvidos nessa forma específica de crime cibernético, incluindo suas características típicas, métodos operacionais e possíveis conexões com redes cibercriminosas maiores.
• Uma visão geral das medidas atuais de detecção e prevenção empregadas por companhias aéreas e instituições financeiras, juntamente com sua eficácia no combate a essa ameaça.

Ao fornecer esse exame abrangente, pretendemos esclarecer uma faceta menos conhecida do crime cibernético que se cruza com o setor de viagens, demonstrando a engenhosidade dos agentes de ameaças na exploração de sistemas aparentemente inócuos para obter ganhos financeiros.

‍

Entendendo as milhas

As milhas aéreas, também chamadas de milhas de passageiro frequente ou pontos de viagem, são como recompensas que as companhias aéreas oferecem aos seus clientes fiéis. Eles funcionam mais ou menos assim:

• ‍Ganhando: Você ganha essas milhas quando voa com uma companhia aérea, usa determinados cartões de crédito ou, às vezes, por meio de promoções especiais.‍
• Valor: Cada milha vale uma pequena quantia em dinheiro, mas elas se acumulam com o tempo.‍
• Uso: Você pode usar essas milhas para “comprar” coisas, principalmente relacionadas a viagens. Por exemplo: algum texto
  • Voos gratuitos ou com desconto
  • Atualizações para assentos melhores
  • Estadias em hotéis
  • Aluguel de carros
  • Às vezes, até gadgets ou vales-presente‍
  • Contas: As companhias aéreas monitoram suas milhas em uma conta pessoal, como uma conta bancária, mas para recompensas de viagem.

Os benefícios das milhas dependem da companhia aérea. Muitas companhias aéreas criaram um ecossistema muito elaborado em torno de seu programa de milhas para tornar mais difícil o uso de companhias aéreas específicas. Essas companhias aéreas são ainda mais procuradas em termos de demanda

‍

Menções na Dark Web

• Os agentes de ameaças estão evoluindo para contornar as defesas atuais. Eles usam fóruns da dark web e bate-papos de IRC para negociar produtos e serviços maliciosos voltados para o setor de aviação.
• Encontramos dois tipos de menções nesses fóruns. Apesar de suas aparentes diferenças, ambas levam a impactos potenciais semelhantes na companhia aérea:‍
  • Vender milhas como forma de cardar (Abordado em detalhes abaixo com um estudo de caso)‍
  • Venda de registros e contas para trocá-los por outros condimentos

‍

Menções à plataforma de mensagens

• O Telegram se tornou uma plataforma popular para cibercriminosos devido aos seus recursos de anonimato e moderação mínima.
• Em comparação com fóruns com processos de inscrição mais rígidos, o Telegram oferece acesso mais fácil, tornando-o um mercado privilegiado para o comércio de dados entre vários grupos criminosos.
• Isso é feito para converter a moeda existente que eles possuem em moeda FIAT. Os cartões-presente são explorados da mesma forma há muito tempo. Da mesma forma, comprar cartões de crédito é outra forma popular de negociar moeda

‍

A seguir estão algumas das maneiras pelas quais os agentes de ameaças abordam um comprador em potencial

1. Automação de bots do Telegram

A primeira e principal forma de vender contas são os bots, eles são usados para automatizar a forma como as compras são feitas e eliminar a barganha do comprador. Uma dessas contas foi: @MilesBrokerBot

‍

‍

2. Abordagem manual

A segunda maneira é abordar manualmente os clientes em potencial para vender contas de milhas. Abaixo está a conversa que nossa fonte confidencial teve com um agente de ameaças, que resultou na possível identificação da conta comprometida, bem como do agente da ameaça.

‍

‍

• Identificamos o endereço Bitcoin do agente da ameaça: 18PyW4xWC9NL4Lanska1yuxi3b75bbzBru
• A análise do blockchain revelou transações de uma carteira quente da Binance (bc1qm34lsc65zpw79lxes69zkqmk6ee3ewf0j77s3h) na carteira do agente ameaçador. Como a Binance mantém os dados do KYC, uma reclamação legal pode revelar a identidade do agente da ameaça.

‍

‍

Como isso acontece em grande escala?

Credenciais do cliente

As violações de credenciais são a espinha dorsal de todos os tipos de atividades ilegais e a taxa de popularidade está aumentando cada vez mais. As violações de credenciais incluem amplamente:

• ‍Senhas violadas por terceiros que são reutilizadas:

O impacto deles geralmente é menor; isso requer a reutilização da mesma senha em espaços diferentes com privilégios elevados, o que geralmente é combatido pelas políticas de senha nas organizações.

‍

• ‍Registros de infecção por malware Infostealer:

Eles são mais impactantes, pois o log do ladrão fornece ao invasor o URL completo, bem como o nome de usuário e a senha usados para fazer o login.

‍

Nos exemplos acima, em que um agente de ameaças vendia contas por quilômetros, esse tipo de comportamento pode ser evitado com a autenticação multifatorial em todos os terminais essenciais para a empresa e para os clientes.

Depois que um agente de ameaças obtém credenciais de fontes gratuitas e corretores de credenciais, ele usa ferramentas como Open Bullet que ajudam no preenchimento de credenciais. Os arquivos de configuração também são vendidos/fornecidos gratuitamente no telegram.

‍

‍

Recomendações

• Adicionando MFA aos endpoints de login do cliente
• Reduzir o tempo da sessão para dificultar a exploração de um ataque baseado em sessão
• Monitoramento contínuo de credenciais vazadas de clientes na Darkweb
• Compreender o ecossistema de cartões de milhas e fazer as alterações adequadas para impedir a transferência de milhas devido a uma tentativa suspeita de login.
• Adicionando uma detecção comportamental robusta em endpoints de login públicos.

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia^‍
• ^#Protocolo de semáforo - Wikipedia