Un grup de criminalitate cibernetică denumit de cercetători „Jingle Thief” a fost pus în evidență pentru campanii ample de fraudă cu carduri cadou, vizând în special companii din retail și servicii pentru consumatori. Denumirea reflectă tiparul atacurilor: intensificare în perioadele de sărbători, când volumul emiterii și valorile cardurilor cresc, oferind oportunități mai profitabile infractorilor. Cercetătorii Unit 42 de la Palo Alto Networks au documentat operațiuni care durează de cel puțin 2021 și care s-au intensificat în 2025.
Scopul final al atacurilor este simplu și eficient: obținerea capacității de a emite carduri cadou neautorizate din sistemele organizațiilor compromise și valorificarea acestora pe piețele gri. Cardurile cadou sunt atractive pentru infractori pentru că pot fi răscumpărate rapid, necesită adesea informații personale minime și sunt greu de urmărit, ceea ce complica anchetele pentru victime și autorități.
Tactici: phishing, mișcări laterale în cloud și acoperirea urmelor
Jingle Thief se bazează în principal pe compromiterea identităților și pe pătrunderea în mediile cloud găzduite de victime, în special ecosisteme Microsoft 365. Operațiunile încep frecvent cu phishing sau smishing pentru a fura credențiale. Odată obținute, atacatorii fac o primă recunoaștere rapidă și apoi încep o a doua fază extinsă: caută documente în SharePoint și OneDrive, procese interne legate de emiterea cardurilor, fișiere cu proceduri, configurații VPN și detalii despre mașini virtuale sau medii Citrix.
Apoi urmează mișcarea laterală în cloud: infractorii escaladează privilegii, creează reguli de redirecționare automată a emailurilor, trimit emailuri de phishing interne pentru a-și extinde accesul și înregistrează aplicații de autentificare frauduloase pentru a ocoli MFA. Unele campanii au menținut accesul luni de zile—chiar peste un an—permițându-le să emită carduri de valoare mare, păstrând modificările discrete pentru a reduce urmele din loguri.
Riscuri, impact și măsuri de protecție pentru organizații
Impactul este direct financiar: companiile emit carduri neautorizate, pierd bani, reputație și resurse pentru investigație și remediere. Unit 42 a observat cazuri în care atacatorii au spart zeci de conturi dintr-o singură organizație și au păstrat poziții persistente pentru a exploata constant fluxurile de lucru. Grupările suspectate de a fi implicate—Atlas Lion și Storm-0539—sunt evaluate ca fiind motivate financiar și foarte adaptabile.
Pentru a contracara amenințarea Jingle Thief, experții recomandă mai multe măsuri concrete: aplicați politici zero trust și privilegii minime pentru procesele de emitere a cardurilor; activați și verificați mecanisme robuste MFA care nu pot fi ușor înregistrate de atacatori (de exemplu, folosirea cheilor hardware FIDO2); monitorizați și alertați asupra creării de reguli de redirecționare automată în mailbox-uri și asupra înscrierii de dispozitive în Entra ID. De asemenea, organizațiile trebuie să auditeze regulat accesul la aplicațiile de emis carduri, să limiteze numărul de conturi care pot efectua astfel de operațiuni și să păstreze loguri detaliate și imuabile pentru investigații.
Pe lângă soluțiile tehnice, formarea angajaților rămâne esențială: simulări de phishing, proceduri clare pentru verificarea solicitărilor legate de plăți sau carduri și protocoale pentru raportarea oricărei activități suspecte. Implementarea unui SIEM eficient și a detectării anomaliilor comportamentale în cloud poate reduce timpul de detecție și bloca mișcările laterale înainte ca fraudele să fie executate la scară largă.
Concluzie: amenințare persistentă care cere răspuns coordonat
Jingle Thief ilustrează o tendință mai largă în criminalitatea cibernetică: atacatorii preferă abuzul de identitate și infrastructură cloud în locul malware-ului tradițional, pentru a reduce șansele de detectare. Abordarea lor modulară—recrutând sau preluând conturi, inundând secțiunile de comentarii cu semnale de încredere și rotind constant payload-urile—le conferă reziliență în fața măsurilor reactive.
Organizațiile care emit carduri cadou trebuie să trateze această problemă ca pe un risc strategic, nu doar operațional: alocarea de resurse pentru securitate cloud, consolidarea controalelor de acces și colaborarea cu furnizori de securitate și autorități pot limita impactul atacurilor. În absența unor astfel de măsuri, Jingle Thief și grupuri similare vor continua să profite de sezonul festiv și de fluxurile crescute de tranzacții — transformând „bucuria cadourilor” în profit criminal.