微软数字犯罪部门上周捣毁了一家名为 Storm-1152 的多产网络犯罪即服务 (CaaS) 供应商，该供应商注册了超过 7.5 亿个欺诈性 Microsoft 帐户，用于在线向其他网络犯罪分子出售商品，获利数百万美元在此过程中的美元。

“Storm-1152 运行非法网站和社交媒体页面，销售欺诈性 Microsoft 帐户和工具，以绕过知名技术平台上的身份验证软件，”微软 DCU 总经理 Amy Hogan-Burney 在该群组的发帖中解释了。 “这些服务减少了犯罪分子在网上进行一系列犯罪和虐待行为所需的时间和精力。”

与虚假个人资料相关的欺诈帐户为网络犯罪分子提供了一个基本上匿名的启动平台，用于自动犯罪活动，例如网络钓鱼、垃圾邮件、勒索软件以及其他类型的欺诈和滥用行为。 Storm-1152 是虚假帐户创建堆中的佼佼者，为许多最著名的网络威胁参与者提供帐户服务。据微软称，其中包括 Scattered Spider（又名 Octo Tempest），这是今年秋季米高梅大酒店和凯撒娱乐勒索软件遭袭事件背后的网络犯罪组织。

Hogan-Burney 还写道，DCU 确定了该组织的主要头目，他们均居住在越南：Duong Dinh Tu、Linh Van Nguyễn（也称为 Nguyễn Van Linh）和 Tai Van Nguyen。

“我们的调查结果显示，这些人操作并编写了非法网站的代码，通过视频教程发布了如何使用其产品的详细分步说明，并提供聊天服务来帮助那些使用其欺诈服务的人，”她写了。

此后，微软已向美国执法部门提交了对所有三名犯罪分子的刑事移交。作为破坏的一部分，微软获得了纽约南区法院的批准命令，以扣押并关闭 Storm-1152 位于美国的基础设施，包括：

• Hotmailbox.me，一个销售欺诈性 Microsoft Outlook 帐户的网站。
• 1stCAPTCHA、AnyCAPTCHA 和 NoneCAPTCHA，这些网站销售适用于 Microsoft 和其他技术平台的身份验证绕过工具。
• 用于营销服务的社交媒体网站。

复杂的犯罪软件即服务圈

研究人员表示，Storm-1152 能够绕过验证码等安全检查，并生成与不存在的人关联的数百万个 Microsoft 帐户，这一事实凸显了该组织的复杂性。

该诈骗很可能是通过“利用自动化、脚本、DevOps 实践和人工智能来绕过验证码等安全措施”进行的。 Ontinue 安全运营副总裁 Craig Jones 表示，他将 CaaS 现象称为“网络犯罪生态系统的复杂方面……使得更广泛的恶意行为者可以使用先进的网络犯罪工具。”

Critical Start 网络威胁研究高级经理 Callie Guenther 指出，“使用自动验证码解决服务表明其复杂程度相当高，使得该组织能够绕过针对自动帐户创建的主要防御措施之一。”

她补充道，“为了实现这一目标，他们可能利用了微软帐户创建系统中的漏洞，例如使用微软安全系统未立即检测到的模式或漏洞。”

关闭帐户滥用行为

研究人员指出，为了避免在不知情的情况下成为网络犯罪的帮凶，平台可以采取多种措施，包括部署先进的检测算法，可以大规模识别和标记可疑活动，最好是使用人工智能。

为帐户创建实施强大的多重身份验证 (MFA)，尤其是那些具有升级权限的帐户，可以显着降低欺诈帐户的成功率一代。但 Ontinue 的 Jones 表示，在几个方面还需要做更多的工作。

他解释道：“Storm-1152 案例说明需要持续保持警惕、采取适应性安全措施、协作情报共享以及可能更严格的监管框架，以有效应对不断变化的网络威胁。”