Az online vásárolt ajándékkártyákat általában e-mailben küldik ki a kiválasztott címzettnek egy titkos kóddal és egy regisztrációs linkkel együtt. Egy ajándékkártya-kód megszerzése tehát egy kicsit olyan, mintha egy előre kifizetett hitelkártya számához, lejárati dátumához és biztonsági kódjához férne hozzá valaki - azaz: akié a kód, az vásárolhatja le.

Ennek az ajándéknak azonban pontosan ez a hátulütője is, hiszen nem nagyon lehet megakadályozni, hogy az ajándékkártyát csak a címzett használja fel, illetve az ne engedje át valaki másnak a felhasználás jogát. Ez viszont azt is jelenti, hogy digitális bűnözőkhöz is kerülhet - figyelmeztet a Sophos.

Például egy 30 ezer forintos ajándékutalvány, melyet illegálisan eladnak a valós értékének a feléért online, nem is tűnik soknak, azonban vannak csalók, akiknek egy egész vállalatnyi felhasználói adathoz van hozzáférésük - ők, nem csak egy, hanem potenciálisan több száz előre fizetett ajándékkártya beszerzését kísérelhetik meg rövid idő alatt. A bűnözők ebben az esetben nem törődtek azzal, hogy kik voltak a kizsebelt áldozatok - az alkalmazottak, maga a vállalat, vagy mindkettő - hívja fel a figyelmet a kiberbiztonsági cég.

Hogyan történhet ez meg?

A Sophos nem régen egy olyan támadást vett észre, amelynél azt tudjuk, hogy az áldozat VPN szerverét nem javították (patchelték) hónapok óta, ami már önmagában elég lehetett ahhoz, hogy a csalók bejussanak - egy régi verzióban meglévő biztonsági hiba elméletileg lehetővé tehette a bűnözőknek, hogy bejussanak a hálózatba.

A VPN szerveren nem volt beállítva a kétfaktoros hitelesítés (2FA), ami azt jelenti, hogy egy sikeres adathalászati kísérlettel már egyetlen felhasználótól megszerzett jelszó elég volt nekik, hogy létrehozzák a "hídfőállásukat". A Sophos szakértői azt gyanítják, hogy a kijavítatlan sebezhetőség ellenére először így törtek be a hálózatra a támadók.

Miután a VPN-en "belül" voltak, a csalók elérték, hogy (RDP-t használva) a felhasználók számítógépein meg tudták nyitni a böngészőket és láthatták, hogy mely online fiókokból nem léptek ki. Ezek közé tartoztak a személyes e-mail címeik (Gmail, Outlook.com).

Ennek köszönhetően a támadók egyéni e-mail fiókokat használtak arra, hogy számos jelszó visszaállítást hajtsanak végre. Azokon a számítógépeken, ahol a csalók a gyorsítótárazott hitelesítő adatoknak köszönhetően hozzá tudtak férni az e-mail címekhez, viszont nem jutottak be az érdekesebb online fiókokba, mivel a felhasználók kiléptek azokból, jelszó visszaállítást hajtottak végre az e-mail fiókon keresztül. A támadók által preferált fiókok közé tartoztak például a Best Buy, Facebook, Google Pay, PayPal, Venmo és Walmart.