Während die Nachricht vom Zusammenbruch der Silicon Valley Bank (SVB) weiterhin die Schlagzeilen beherrscht, führen Cyberkriminelle Phishing-Kampagnen durch, in denen sie sich als SVB und andere Finanzinstitute ausgeben, darunter M-F-A und Bloomberg.
Indem sie schnell auf den 24-Stunden-Nachrichtenzyklus reagieren, zielen Cyberkriminelle darauf ab, die potenzielle Not ihrer Opfer über ihre finanzielle Situation hinweg zu nutzen, um sie anfälliger für diese Art von Angriffen zu machen.
Kurze Angriffszusammenfassung
Vektor und Typ: E-Mail-Phishing
Techniken: Markenidentität; Social Engineering
Payloads: Schädliche Hyperlinks zum Stehlen persönlicher Informationen mit eingebettetem Tracking, um dem Angreifer zusätzliche Erkenntnisse zu liefern, einschließlich der IP-Adressen, die auf die Phishing-Website zugegriffen haben; und Anhängen, um Finanzdaten zu stehlen, die für Überweisungsbetrug verwendet werden
Ziele: Organisationen in Nordamerika und Großbritannien
Plattform: Microsoft 365
Umgangenes sicheres E-Mail-Gateway: Ja
Die Phishing-E-Mails verwenden stark stilisierte HTML-Vorlagen sowie Klartext-E-Mails, die von gefälschten, identischen E-Mail-Domänen gesendet werden. Die Payloads umfassen Hyperlinks zu Phishing-Websites, die die persönlichen Daten der Opfer stehlen, und Anhänge, die zum Sammeln von Finanzdaten für Drahtbetrug verwendet werden.
SVB-Phishing-E-Mails: Imitations-und Drahtbetrugsangriffe
Die Angriffe, die wir gesehen haben, indem sie sich als SVB ausgeben, wurden durch Kopieren und Bearbeiten des Standard-SVB-HTML erstellt, das in ihren legitimen E-Mails verwendet wird. Dazu gehören eine hochauflösende Wiedergabe des SVB-Logos, die Verwendung von Markenfarben und die Einbeziehung der originalen SVB-Fußzeile mit ihrer rechtmäßigen Adresse in London, Großbritannien. Dies erhöht die Glaubwürdigkeit des Angriffs und erhöht die Wahrscheinlichkeit, dass das Opfer getäuscht wird.
Einige anfängliche Bedenken von SVB-Kunden konzentrierten sich auf die Schutzgrenze von 250.000 USD für jedes von der Federal Deposit Insurance Corporation angebotene Bargeldeinlagenkonto. Die Phishing-E-Mail unten zeigt, wie der Cyberkriminelle diese Informationen nutzt, indem er dem Opfer Zugang zu seinem Geld weit über das ursprüngliche Limit hinaus gewährt – bis zu 10 Millionen US-Dollar.
Neben der Manipulation der Opfer durch Bedenken hinsichtlich des Zugriffs auf ihr Geld, Der Cyberkriminelle nutzt auch eine Frist von „Freitag, 17. März 2023“, um den Druck auf die Opfer zu erhöhen. Dies ist eine häufige Social-Engineering-Taktik, die darauf abzielt, Menschen dazu zu zwingen, „schnell zu denken“, sodass sie weniger wahrscheinlich überprüfen, ob das, was sie tun, sicher ist.
Die „Von“-Adresse imitiert den britischen Zweig von SVB:’svbuk.com‘. Zum Zeitpunkt des Verfassens dieses Artikels glauben unsere Forscher, dass dies eher eine Lookalike-Domain ist als eine, die der legitimen SVB gehört, da sie die technische Authentifizierung nicht besteht.
Wenn ein Benutzer auf den Link in der E-Mail klickt, werden sie auf eine Phishing-Website weitergeleitet werden, die sich als SVB ausgibt.
Phishing-E-Mail, die sich unter Verwendung einer gestohlenen HTML-Vorlage mit einer Phishing-Link-Nutzlast als SVB ausgibt
Die Phishing-Link-Nutzlast leitet das Opfer zu einer Website-Domain weiter, die am 10′, die vorgibt, Informationen vom Empfänger zu sammeln, um festzustellen, ob ihr Konto für die erhöhte Auszahlung berechtigt ist.
An diesem Punkt wird der Angriff potenziell weniger überzeugend. Unsere Forscher stellten fest, dass die Lookalike-Website einige offensichtliche kosmetische Probleme aufweist und im Vergleich zur legitimen Website nicht günstig abschneidet. Durch die Verwendung einer Domain mit „svb“ und dem Bannerbild mit SVB oben auf der Seite geht der Cyberkriminelle jedoch davon aus, dass Angst und Verzweiflung das Opfer dazu bringen werden, die Felder zu füllen.
Darüber hinaus macht der Cyberkriminelle die Behauptung auf der Phishing-Website, dass sie zu „einer privaten Investmentgruppe mit Sitz in Stanford, Kalifornien“ gehört. Diese Behauptung könnte auf zweierlei Weise funktionieren: (1) um zu erklären, warum die Website nicht eng mit dem SVB-Branding übereinstimmt, und (2) um das Vertrauen zu stärken, dass das Geld trotz der SVB-Turbulenzen gezahlt wird.
Unsere Forscher erwarten diese Details könnten von Cyberkriminellen verwendet werden, um ihre Angriffe direkt auf SVB fortzusetzen (durch Ausfüllen des Formulars erstellen die Opfer eine SVB-Kundenliste für den Angreifer) oder die Informationen könnten im Dark Web zur Verwendung bei zukünftigen Angriffen verkauft werden.
Phishing-Website, die verwendet wird, um persönliche Informationen von SVB zu stehlen Kunde: Vergrößerte Ansicht von Text und Formular
Bloomberg-Phishing-E-Mails: Identitätsbetrug führt zu Überweisungsbetrug
Zusätzlich zu Angriffen, die sich als SVB ausgeben, hat Egress Defend auch diskrete Social-Engineering-Angriffe entdeckt, die informieren Opfer, dass die Organisation des Absenders Bankkonten ändert und finanzielle Details aktualisiert werden müssen.
Im Beispiel unten verwendet der Cyberkriminelle eine gefälschte, identische Domain, um sich als Bloomberg auszugeben (‘@blomberg-us.com). Die Phishing-E-Mail nutzt die SVB-News als plausiblen Vorwand für die Änderung der Bankverbindung. Der.pdf-Anhang unterstützt die Behauptung über den Dateinamen „Bloomberg aktualisierte Bankverbindung“.
Ähnlich wie die SVB-Nachahmungs-E-Mail verwendet dieser Angriff auch eine Frist („vor den für März erforderlichen Rechnungen“) das Opfer dazu bringen, schnell zu reagieren, um Konsequenzen zu vermeiden.
Der Anhang enthält alternative Bankdaten, die, wenn ein Unternehmen sie verwendet, zu Überweisungsbetrug führen.
Phishing-E-Mail, die sich als Bloomberg
Domains ausgibt, von denen wir diese E-Mails sehen
Wie bereits erwähnt, werden die E-Mails von gefälschten, identischen Domänen gesendet, die sich als legitime Organisationen ausgeben. Einige der Domains, die unsere Forscher gesehen haben, sind:
Links, die wir als Payload in diesen Phishing-E-Mails sehen
Hier sind einige der gefälschten, Lookalike bösartige Hyperlinks, die Teil der SVB-Imitationsangriffe sind:
Wie oben erwähnt, verwenden einige der Angriffe auf Anhängen basierende Payload für Drahtbetrug.
Ausgangsanalyse
strong>
Diese Angriffe zeigen, wie Cyberkriminelle den 24-Stunden-Nachrichtenzyklus zur Waffe machen. Wenn Organisationen oder Themen in den Nachrichten auftauchen, ist eine Welle von Phishing-Kampagnen als Reaktion darauf fast unvermeidlich. Die oben analysierte Phishing-Website wurde am 10. März 2023 erstellt, am selben Tag, an dem die SVB zusammenbrach, und demonstriert die Geschwindigkeit, mit der Cyberkriminelle Phishing-Kampagnen erstellen und ausführen, die Trendnachrichten nutzen.
In dieser Kampagne nutzen Cyberkriminelle die erhöhte Angst der Opfer um die finanzielle Sicherheit und den Zugang zu ihren Geldern, sowie die Nutzung größerer Störungen durch Änderungen an Bankdaten und Zahlungsprozessen.
Die Phishing-E-Mails enthalten Social-Engineering-Taktiken, um ihre Glaubwürdigkeit zu erhöhen und zu verringern den Verdacht der Opfer, wie z. B. die Verwendung der legitimen SVB-E-Mail-Vorlage und gefälschter Domänen. Darüber hinaus treibt das durch willkürliche Fristen erzeugte Gefühl der Dringlichkeit die Menschen dazu, instinktiv zu reagieren, sodass weniger Zeit für rationales Nachdenken oder das Überprüfen der Situation mit jemand anderem bleibt. Die Menschen werden sich bereits in einem erhöhten Angstzustand befinden, und diese Taktiken manipulieren sie weiter, um die Wahrscheinlichkeit zu erhöhen, dass sie einen Fehler machen und Opfer des Angriffs werden.
Die Informationen, die von der Phishing-Website in der SVB abgeschöpft wurden Imitationsangriffe könnten Cyberkriminellen eine kuratierte Liste von SVB-Kunden präsentieren, da wahrscheinlich nur betroffene Unternehmen und Einzelpersonen antworten würden. Diese Informationen könnten verwendet werden, um die Opfer und ihre Organisationen in anderen verwandten Angriffen neu anzusprechen oder in anderen SVB-Kampagnen verwendet zu werden, einschließlich durch andere Cyberkriminelle, die die Liste kaufen könnten, wenn sie im Dark Web zum Verkauf angeboten wird.
Schließlich könnten die Betrugsangriffe per Überweisung zu einem schnellen Zahltag für Cyberkriminelle führen, da mindestens März-Rechnungen auf ihre Konten gezahlt werden, da die Opfer versuchen, auf die sich ändernde Situation bei ihren Lieferanten zu reagieren.
Hinweis um sich vor diesen Phishing-Angriffen zu schützen
Wie bei jeder Trendmeldung müssen die Menschen darauf aufmerksam gemacht werden, dass der SVB-Zusammenbruch von Cyberkriminellen ausgenutzt wird, und ihnen sollte geraten werden, jede Aktualisierung mit Vorsicht zu behandeln, einschließlich der Überprüfung von Nachrichten auf andere Weise (z. B. Besuch der richtigen Website über eine Suchmaschine oder einen gespeicherten Browserlink, anstatt auf eine Phishing-E-Mail zu klicken).
Organisationen sollten auch die Multi-Faktor-Authentifizierung als Verteidigungsebene aktivieren beschützen sich vor Kontoübernahmeangriffen zu schützen.
Wir empfehlen Unternehmen außerdem, in fortschrittliche Phishing-Erkennungslösungen wie Egress Defend zu investieren, die intelligente Erkennungsfunktionen für fortschrittliche Phishing-Angriffe und in Echtzeit lehrbare Momente bieten, um das Sicherheitsbewusstsein zu verbessern und Schulungen, um Menschen dabei zu helfen, die tatsächlichen Bedrohungen zu erkennen, die auf sie abzielen.
Bildnachweis: rarrarorro/depositphotos.com
Jack Chapman ist VP of Threat Intelligence, Ausgang.