Atak na kartę podarunkową

To co jest popularne w socjotechnice za oceanem? Pewnie za chwile będzie popularne w Polsce. W zeszłym roku organizacje amerykańskie straciły 1,3 miliarda dolarów na specyficzny rodzaj ataków – na kartę podarunkową.

Mechanizm jest prosty: Cel jest proszony o zakup kart upominkowych – najczęściej Google Play, portfela Steam, Amazon, Apple iTunes lub Walmart – a następnie o przesłanie kodów napastnikowi pocztą e-mail.
Forma „prośby” może być różna: od akcji charytatywnej po korespondencję korporacyjną namawiająca do składek. Zjawisko przybiera zatrważające rozmiary. Firma Agari zajmująca się bezpieczeństwem poczty e-mail w raporcie Agari Email Fraud and Identity Deception Trends analizuje konteksty ataków i twierdzi, że oszustwo związane z kartami upominkowymi stanowi obecnie dwie trzecie ataków w wiadomościach biznesowych.

Średnia kwota wymagana w tych atakach wynosi około 1500 USD, podczas gdy bardziej ambitni napastnicy mogą zażądać nawet 5000 USD. Napastnicy, żeby zwiększyć prawdopodobieństwo ataku koncentrują się na mniejszych organizacjach, takich jak prowincjonalne szkoły miejskie i okręgi szkolne, organizacje charytatywne, szpitale, kościoły i uniwersytety.

Oszustwo związane z kartami upominkowymi zapewnia atakującym pewne korzyści. Mogą powtórzyć oszustwo przeciwko setkom, a nawet tysiącom ofiar, co może zmienić płatności w wysokości kilku tysięcy dolarów na raz w znacznie większą sumę. Oszustwa związane z kartami upominkowymi zapewniają również przestępcom więcej celów, ponieważ nie ograniczają się one do działów finansowych.

Ataki zapewniają także cyberprzestępcom anonimowość, ponieważ prawie niemożliwe jest wyśledzenie nielegalnie zdobytych kart podarunkowych. Atakujący mogą albo sprzedać kody, które uzyskali za darmo, z zyskiem, a wpływy są prane poprzez wymianę na kryptowalut. Alternatywnie kody można po prostu wykorzystać do robienia zakupów.

„Ataki kartami podarunkowymi”, choć odnoszą sukcesy i są coraz popularniejsze, są zwykle prostymi kampaniami phishingowymi, które teoretycznie można łatwo przeciwdziałać.

Specjaliści z Agaria ostrzegają: „Przedsiębiorstwa powinny również podnosić świadomość, że większość dzisiejszych cyberataków niekoniecznie jest technicznie wyrafinowanych, więc obrona e-maili i szkolenia uświadamiające w zakresie bezpieczeństwa powinny koncentrować się na tego rodzaju nietechnicznych atakach z zakresu inżynierii społecznej”

Popularne

Nowa luka w Microsoft Teams – lepiej nie być zapraszanym…

Usługa Microsoft Teams stała się kluczowym narzędziem do komunikacji i współpracy w firmach na całym świecie. Z tego powodu wiele organizacji polega na zabezpieczeniach takich jak Microsoft Defender for Off...

4 min czytania 3 gru 2025 04:09

Ważna zmiana w OWASP Top 10

OWASP, czyli Open Worldwide Application Security Project, zaproponowało nowe wydanie swojej klasycznej listy Top 10 ryzyk aplikacyjnych. Wersja z 2025 roku wprowadza kluczowe rozszerzenia dotyczące b...

5 min czytania 1 gru 2025 08:00

Jak modele LLM automatyzują cyberprzestępczość

Każdy Czytelnik Kapitana Hacka wie, że złośliwe LLM-y ułatwiają mniej doświadczonym cyberprzestępcom przeprowadzanie ataków. Potwierdzają to badacze z Palo Alto Networks, którzy przeanalizowali dwa niedaw...

4 min czytania 2 gru 2025 08:00

Wizualizacja ścieżek ataku na Active Directory za pomocą narzędzia BloodHound

Krótko o narzędziu Bloodhound to narzędzie służące do wizualizacji i analizy powiązań w Active Directory. Dla atakującego jest niezastąpioną pomocą do znajdowania ścieżki ataku na najbardziej c...

4 min czytania 22 gru 2018 09:00

Jak błąd w 7-Zip (CVE-2025-11001) daje hakerom dostęp do systemu Windows. Jest exploit

Odkryto niezwykle niebezpieczną dla użytkowników systemów Windows podatność. Błąd o numerze CVE‑2025‑11001 jest już częściowo wykorzystywany, a dotyczy popularnego programu 7-Zip. Polega na niewłaściwe...

4 min czytania 21 lis 2025 08:11