À medida que as notícias sobre o colapso do Silicon Valley Bank (SVB) continuam dominando as manchetes, os cibercriminosos estão realizando campanhas de phishing se passando pelo SVB e outras instituições financeiras, incluindo M-F-A e Bloomberg.
Respondendo rapidamente ao ciclo de notícias de 24 horas, os cibercriminosos visam aproveitar a possível angústia de suas vítimas em relação à situação financeira para torná-las mais suscetíveis a esse tipo de ataque.
Resumo rápido do ataque
Vetor e tipo: Phishing de e-mail
Técnicas: Personificação de marca; engenharia social
Payloads: hiperlinks maliciosos para roubar informações pessoais, com rastreamento incorporado para fornecer ao invasor informações adicionais, incluindo quais endereços IP acessaram o site de phishing; e anexos para roubar detalhes financeiros usados para fraude eletrônica
Alvos: Organizações na América do Norte e no Reino Unido
Plataforma: Microsoft 365
Gateway de e-mail seguro ignorado: Sim
Os e-mails de phishing usam modelos HTML altamente estilizados, bem como e-mails de texto sem formatação, enviados de domínios de e-mail falsos e semelhantes. As cargas incluem hiperlinks para sites de phishing que roubam dados pessoais das vítimas e anexos usados para coletar detalhes financeiros para fraude eletrônica.
E-mails de phishing SVB: falsificação de identidade e ataques de fraude eletrônica
Os ataques que vimos representando o SVB foram criados copiando e editando o html padrão do SVB usado em seus e-mails legítimos. Isso inclui uma renderização em alta resolução do logotipo do SVB, uso das cores da marca e inclusão do rodapé original do SVB com seu endereço legítimo em Londres, Reino Unido. Isso aumenta a credibilidade do ataque, aumentando a probabilidade de a vítima ser enganada.
Algumas preocupações iniciais dos clientes do SVB concentravam-se no limite de proteção de US$ 250.000 para cada conta de depósito em dinheiro oferecida pela Federal Deposit Insurance Corporation. O e-mail de phishing abaixo mostra o cibercriminoso aproveitando essas informações, oferecendo à vítima acesso ao seu dinheiro significativamente além do limite original-até US$ 10 milhões.
Além de manipular as vítimas usando as preocupações sobre o acesso a seus fundos, o cibercriminoso também usa o prazo de’sexta-feira, 17 de março de 2023’para aumentar a pressão sobre as vítimas. Uma tática frequente de engenharia social, isso é projetado para forçar as pessoas a’pensar rápido’, tornando-as menos propensas a verificar se o que estão fazendo é seguro.
O endereço’De’personifica o braço britânico do SVB:’svbuk.com‘. No momento da redação deste artigo, nossos pesquisadores acreditam que se trata de um domínio semelhante, em vez de um de propriedade do SVB legítimo, pois falha na autenticação técnica.
Quando um usuário clica no link do e-mail, ele são levados a um site de phishing que se faz passar por SVB.
E-mail de phishing representando o SVB usando modelo html roubado com uma carga útil de link de phishing
A carga útil do link de phishing roteia a vítima para um domínio de site criado em 10 de março de 2023 (o mesmo dia do colapso do SVB) chamado’cash4svb’, que afirma coletar informações do destinatário para verificar se sua conta é elegível para o aumento de pagamento.
Nesse ponto, o ataque torna-se potencialmente menos convincente. Nossos pesquisadores observaram que o site parecido tem alguns problemas estéticos óbvios e não se compara favoravelmente ao site legítimo. No entanto, usando um domínio contendo’svb’e a imagem do banner incluindo SVB na parte superior da página, o cibercriminoso antecipa que a ansiedade e o desespero levarão a vítima a preencher os campos.
Além disso, o cibercriminoso faz a alegação no site de phishing de que pertence a’um grupo de investimento privado com sede em Stanford, Califórnia’. Essa afirmação pode funcionar de duas maneiras: (1) explicando por que o site não se alinha à marca SVB e (2) aumentando a confiança de que o dinheiro será pago apesar da turbulência do SVB.
Nossos pesquisadores esperam esses detalhes podem ser usadas pelo cibercriminoso para continuar seus ataques diretamente no SVB (ao preencher o formulário, as vítimas estão criando uma lista de clientes do SVB para o invasor) ou as informações podem ser vendidas na dark web para uso em ataques futuros.
Site de phishing usado para roubar informações pessoais do SVB cliente: 
Visualização ampliada de texto e formulário
E-mails de phishing da Bloomberg: falsificação de identidade levando a fraude eletrônica
Além dos ataques que personificam o SVB, o Egress Defend também detectou ataques discretos de engenharia social que informam as vítimas de que a organização do remetente está alterando contas bancárias e detalhes financeiros precisam ser atualizadas.
No exemplo abaixo, o cibercriminoso usa um domínio parecido com falsificação para se passar por Bloomberg (‘@blomberg-us.com). O e-mail de phishing usa as notícias do SVB como uma desculpa plausível para a alteração dos dados bancários. O anexo.pdf apóia a reivindicação por meio do nome do arquivo’Bloomberg Updated Bank details’.
Semelhante ao e-mail de representação do SVB, este ataque também usa um prazo (‘antes das faturas exigidas para março’) para engendrar socialmente a vítima para reagir rapidamente para evitar ramificações.
O anexo contém detalhes bancários alternativos, que se uma empresa usar, resultará em fraude eletrônica.
E-mail de phishing se passando por Bloomberg
Domínios dos quais estamos vendo esses e-mails enviados
Conforme observado, os e-mails estão sendo enviados de domínios falsificados e semelhantes que se fazem passar por organizações legítimas. Alguns dos domínios que nossos pesquisadores viram são:
Links que estamos vendo como carga útil nesses e-mails de phishing
Aqui estão alguns dos falsificados, hiperlinks maliciosos parecidos que fazem parte dos ataques de representação SVB:
Como mencionado acima, alguns dos ataques usam carga baseada em anexo para fraude eletrônica.
Análise de saída
Esses ataques demonstram como os cibercriminosos arma o ciclo de notícias de 24 horas. Quando organizações ou tópicos são tendência nas notícias, agora é quase inevitável ver uma onda de campanhas de phishing em resposta. O site de phishing analisado acima foi criado em 10 de março de 2023, mesmo dia do colapso do SVB, demonstrando a velocidade com que os cibercriminosos criam e executam campanhas de phishing que aproveitam as notícias de tendências.
Nesta campanha, os cibercriminosos aproveitam maior ansiedade das vítimas sobre a segurança financeira e o acesso aos seus fundos, bem como tirar proveito de interrupções mais amplas com alterações nos dados bancários e processos de pagamento.
Os e-mails de phishing contêm táticas de engenharia social para aumentar sua credibilidade e diminuir as suspeitas das vítimas, como o uso do modelo de e-mail legítimo do SVB e domínios falsificados. Além disso, o senso de urgência criado por prazos arbitrários leva as pessoas a reagir instintivamente, com menos tempo para pensamento racional ou verificação dupla da situação com outra pessoa. As pessoas já estarão em um estado elevado de ansiedade, e essas táticas as manipulam ainda mais para aumentar a probabilidade de cometerem um erro e serem vítimas do ataque.
As informações raspadas pelo site de phishing no SVB os ataques de representação podem apresentar aos cibercriminosos uma lista selecionada de clientes SVB, pois é provável que apenas empresas e indivíduos afetados respondam. Essas informações podem ser usadas para redirecionar as vítimas e suas organizações em outros ataques relacionados ou usadas em outras campanhas do SVB, inclusive por outros cibercriminosos que podem comprar a lista se ela for colocada à venda na dark web.
Por fim, os ataques de fraude eletrônica podem resultar em um dia de pagamento rápido para os cibercriminosos, com pelo menos as faturas de março sendo pagas em suas contas, pois as vítimas tentam responder à mudança da situação com seus fornecedores.
Conselho para ficar a salvo desses ataques de phishing
Como acontece com qualquer notícia de tendências, as pessoas precisam estar cientes de que o colapso do SVB está sendo usado por cibercriminosos e devem ser aconselhados a tratar qualquer atualização com cautela, incluindo a verificação de mensagens por outros meios (por exemplo, visitando o site correto por meio de um mecanismo de pesquisa ou link de navegador salvo, em vez de clicar em um e-mail de phishing).
As organizações também devem permitir a autenticação multifator como uma camada de defesa proteger de ataques de controle de contas.
Também recomendamos que as organizações invistam em soluções avançadas de detecção de phishing, como o Egress Defend, que oferece recursos de detecção inteligente para ataques de phishing avançados e momentos de aprendizado em tempo real para melhorar a conscientização sobre segurança e treinamento para ajudar as pessoas a identificar as ameaças reais que as atingem.
Crédito da imagem: rarrarorro/depositphotos.com
Jack Chapman é VP de Threat Intelligence, Egresso.