Jingle Thief: фишинг и smishing против системы подарочных карт

Финансово мотивированная группа, действующая под названием Jingle Thief, систематически атакует организации розничной торговли и потребительских услуг по всему миру, фокусируясь на схемах мошенничества с подарочными картами в период праздников. По оценкам с умеренной степенью уверенности, деятельность группы началась в 2021 году; она использует продвинутые социально-инженерные и «внутренние» тактики, но не связана с государственными структурами.

Краткий обзор методов атаки

Первичный доступ чаще всего достигается через изготовленные целевые сообщения:

• фишинговые e‑mail и smishing-SMS, перенаправляющие жертву на поддельные порталы входа в Microsoft 365;
• подмена легитимных организаций (например, NGO) для повышения доверия;
• после компрометации — тщательная разведка корпоративной среды с поиском рабочих процессов выдачи подарочных карт в SharePoint и OneDrive;
• вместо классического вредоносного ПО злоумышленники предпочитают расширять доступ внутри организаций через внутренний фишинг с уже скомпрометированных аккаунтов;
• использование функций самообслуживания в Microsoft Entra ID для обеспечения постоянного доступа, что позволяет обходить обычные процедуры сброса пароля;
• скрытая рассылка и тактика «перемещения» отправленных фишинговых писем в удалённые элементы, чтобы снизить вероятность обнаружения.

«Кампания демонстрирует передовую тактику и четкую оперативную направленность, хотя и не спонсируется государством».

Поведенческий профиль и география

Действия Jingle Thief в значительной степени отслеживаются по IP-адресам, геолокированным в Марокко. Примечательно, что группа часто не использует инструменты анонимизации, распространённые среди киберпреступников. Это «дерзкое» поведение облегчает наблюдение за их активностью, однако не снижает эффективности атак — скорее, делает их прозрачными для расследований при должном мониторинге.

Почему это работает: слабости в системах подарочных карт

Успех кампании обусловлен сочетанием технических и организационных уязвимостей:

• слабый контроль доступа и недостаточный мониторинг рабочих процессов выдачи подарочных карт;
• наличие в открытом доступе внутренних инструкций, шаблонов и автоматизированных сценариев в SharePoint/OneDrive;
• возможность легально оформлять выдачу карт с использованием скомпрометированных учётных записей;
• низкая степень внимания к аномальным внутренним коммуникациям (например, письмам, отправленным от имени коллег).

В результате злоумышленники могут массово эмитировать подарочные карты высокой стоимости для дальнейшей перепродажи или отмывания денежных средств при минимальном риске обнаружения.

Риски для бизнеса

• прямые финансовые потери из‑за несанкционированной эмиссии карт;
• репутационные риски и возможные регуляторные последствия;
• дополнительные расходы на расследование и восстановление контроля над системами;
• повышенная уязвимость в праздничные периоды, когда объёмы операций и давление на службы поддержки растут.

Практические рекомендации для защиты

Организациям, работающим с подарочными картами и платежными операциями, следует оперативно внедрить совокупность технических и процедурных мер:

• Усилить многофакторную аутентификацию (MFA) — предпочтение аппаратным или FIDO‑ключам; выключить слабые каналы MFA, которые можно перехватить через SMS.
• Ограничить и контролировать функции самообслуживания в Microsoft Entra ID — применять строгие политики проверки при изменении методов восстановления доступа и уведомлять администраторов о любых изменениях.
• Внедрить принцип наименьших привилегий и RBAC для процессов выдачи подарочных карт; требовать многоступенчатого утверждения для высокого номинала карт.
• Мониторинг и логирование: настроить детальный аудит действий в SharePoint/OneDrive, журналов входа в Microsoft 365, действий с почтовыми ящиками (включая перемещение писем в Deleted Items), а также настроить оповещения о массовой эмиссии карт или нетипичных запросах к рабочим процессам.
• Защита почты: включить DMARC/DKIM/SPF, ограничить возможность отправки внешних писем от внутренних адресов без проверки, мониторить и блокировать подозрительные правила пересылки почты и автоответы.
• Обучение персонала: регулярные тренинги по распознаванию целевых фишинговых и smishing‑атак, процедуры верификации запросов на выдачу карт и финансовых операций.
• Процедуры реагирования на инциденты: быстрое аннулирование сессий, принудительный сброс доступов, ревизия изменений в учетных записях и рабочих процессах; проверка корзины почты и отправленных сообщений у потенциально скомпрометированных пользователей.

Вывод

Кампания Jingle Thief — яркий пример того, как злоумышленники используют социальную инженерию и слабости внутренних процессов для совершения масштабных финансовых мошенничеств, минуя классические векторы типа malware‑атаки. Борьба с такими угрозами требует сочетания технических мер, прозрачных рабочих процессов и постоянного внимания к аномалиям во внутренней почтовой и файловой активности. Особенно важно принимать превентивные меры перед праздничными периодами — именно тогда уязвимости систем подарочных карт приносят максимальную выгоду злоумышленникам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.