A medida que las noticias sobre el colapso de Silicon Valley Bank (SVB) siguen dominando los titulares, los ciberdelincuentes realizan campañas de phishing haciéndose pasar por SVB y otras instituciones financieras, incluidas M-F-A y Bloomberg.
Al responder rápidamente al ciclo de noticias de 24 horas, los ciberdelincuentes intentan aprovechar la angustia potencial de sus víctimas por su situación financiera para hacerlas más susceptibles a este tipo de ataque.
Resumen de ataque rápido
Vector y tipo: Email phishing
Técnicas: Suplantación de marca; ingeniería social
Cargas útiles: hipervínculos maliciosos para robar información personal, con seguimiento incorporado para proporcionar al atacante información adicional, incluidas las direcciones IP que accedieron al sitio web de phishing; y archivos adjuntos para robar detalles financieros utilizados para el fraude electrónico
Objetivos: Organizaciones en América del Norte y el Reino Unido
Plataforma: Microsoft 365
Puerta de enlace de correo electrónico segura ignorada: Sí
Los correos electrónicos de phishing utilizan plantillas html muy estilizadas, así como correos electrónicos de texto sin formato, enviados desde dominios de correo electrónico falsos y similares.. Las cargas útiles incluyen hipervínculos a sitios web de phishing que roban los datos personales de las víctimas y los archivos adjuntos utilizados para recopilar detalles financieros para el fraude electrónico.
Correos electrónicos de phishing de SVB: suplantación de identidad y ataques de fraude electrónico
Los ataques que hemos visto haciéndose pasar por SVB se crearon copiando y editando el html estándar de SVB que se usa en sus correos electrónicos legítimos. Esto incluye una representación de alta resolución del logotipo de SVB, el uso de los colores de la marca y la inclusión del pie de página original de SVB con su dirección legítima en Londres, Reino Unido. Esto aumenta la credibilidad del ataque, lo que hace más probable que la víctima sea engañada.
Algunas de las preocupaciones iniciales de los clientes de SVB se centraron en el límite de protección de $250 000 para cada cuenta de depósito en efectivo que ofrece la Corporación Federal de Seguros de Depósitos. El correo electrónico de phishing a continuación muestra al ciberdelincuente aprovechando esta información al ofrecer a la víctima acceso a su dinero mucho más allá del límite original, hasta $10 millones.
Además de manipular a las víctimas utilizando las preocupaciones sobre el acceso a sus fondos, el ciberdelincuente también utiliza como fecha límite el’viernes 17 de marzo de 2023’para aumentar la presión sobre las víctimas. Una táctica frecuente de ingeniería social, está diseñada para obligar a las personas a’pensar rápido’, lo que hace que sea menos probable que comprueben que lo que están haciendo es seguro.
La dirección’De’se hace pasar por la rama británica de SVB:’svbuk.com‘. En el momento de escribir este artículo, nuestros investigadores creen que se trata de un dominio similar, en lugar de uno propiedad del SVB legítimo, ya que falla la autenticación técnica.
Cuando un usuario hace clic en el enlace del correo electrónico, son llevados a un sitio web de phishing que se hace pasar por SVB.
Correo electrónico de phishing que se hace pasar por SVB usando una plantilla html robada con una carga de enlace de phishing
La carga de enlace de phishing enruta a la víctima a un dominio de sitio web creado el 10 de marzo de 2023 (el mismo día del colapso de SVB) llamado’cash4svb’, que pretende recopilar información del destinatario para ver si su cuenta es elegible para el aumento del pago.
En este punto, el ataque se vuelve potencialmente menos convincente. Nuestros investigadores notaron que el sitio web similar tiene algunos problemas estéticos obvios y no se compara favorablemente con el sitio web legítimo. Sin embargo, al usar un dominio que contiene’svb’y la imagen del banner que incluye SVB en la parte superior de la página, el ciberdelincuente anticipa que la ansiedad y la desesperación llevarán a la víctima a completar los campos.
Además, el ciberdelincuente hace la afirmación en el sitio web de phishing de que pertenece a’un grupo de inversión privado con sede en Stanford, California’. Esta afirmación podría funcionar de dos maneras: (1) explicando por qué el sitio web no se alinea estrechamente con la marca SVB y (2) aumentando la confianza en que se pagará el dinero a pesar de la agitación de SVB.
Nuestros investigadores esperan estos detalles podría ser utilizada por el ciberdelincuente para continuar sus ataques directamente en SVB (al completar el formulario, las víctimas están creando una lista de clientes de SVB para el atacante) o la información podría venderse en la web oscura para usarla en futuros ataques.
Sitio web de phishing utilizado para robar información personal de SVB cliente: Vista ampliada de texto y formulario
Correos electrónicos de phishing de Bloomberg: suplantación de identidad que conduce al fraude electrónico
Además de los ataques que suplantan a SVB, Egress Defend también ha detectado ataques discretos de ingeniería social que informan víctimas que la organización del remitente está cambiando las cuentas bancarias y que los detalles financieros deben actualizarse.
En el siguiente ejemplo, el ciberdelincuente utiliza un dominio similar falsificado para hacerse pasar por Bloomberg (‘@blomberg-us.com). El correo electrónico de phishing utiliza las noticias de SVB como una excusa plausible de por qué es necesario cambiar los datos bancarios. El archivo adjunto.pdf respalda el reclamo a través del nombre de archivo’Bloomberg Updated Bank Details’.
Al igual que el correo electrónico de suplantación de identidad de SVB, este ataque también usa una fecha límite (“antes de las facturas requeridas para marzo”) para diseñar socialmente a la víctima para que reaccione rápidamente para evitar ramificaciones.
El archivo adjunto contiene datos bancarios alternativos, que si una empresa los utiliza, resultará en un fraude electrónico.
Correo electrónico de phishing que se hace pasar por Bloomberg
Dominios desde los que vemos que se envían estos correos electrónicos
Como se indicó, los correos electrónicos se envían desde dominios falsos y similares que se hacen pasar por organizaciones legítimas. Algunos de los dominios que nuestros investigadores han visto son:
Enlaces que vemos como la carga útil en estos correos electrónicos de phishing
Estos son algunos de los dominios falsificados, Hipervínculos maliciosos similares que forman parte de los ataques de suplantación de identidad de SVB:
Como se mencionó anteriormente, algunos de los ataques utilizan la carga útil basada en archivos adjuntos para el fraude electrónico.
Análisis de salida
Estos ataques demuestran cómo los ciberdelincuentes arma el ciclo de noticias de 24 horas. Cuando las organizaciones o los temas son tendencia en las noticias, ahora es casi inevitable ver una ola de campañas de phishing en respuesta. El sitio web de phishing analizado anteriormente se creó el 10 de marzo de 2023, el mismo día del colapso de SVB, lo que demuestra la velocidad con la que los ciberdelincuentes crean y ejecutan campañas de phishing que aprovechan las noticias de moda.
En esta campaña, los ciberdelincuentes aprovechan la mayor ansiedad de las víctimas sobre la seguridad financiera y el acceso a sus fondos, así como aprovechar la interrupción más amplia con los cambios en los detalles bancarios y los procesos de pago.
Los correos electrónicos de phishing contienen tácticas de ingeniería social para aumentar su credibilidad y reducir las sospechas de las víctimas, como el uso de la plantilla de correo electrónico SVB legítima y los dominios falsificados. Además, el sentido de urgencia creado a través de plazos arbitrarios empuja a las personas a reaccionar instintivamente, con menos tiempo para el pensamiento racional o para verificar la situación con otra persona. Las personas ya estarán en un estado elevado de ansiedad, y estas tácticas las manipulan aún más para aumentar la probabilidad de que cometan un error y sean víctimas del ataque.
La información recopilada por el sitio web de phishing en SVB Los ataques de suplantación de identidad podrían presentar a los ciberdelincuentes una lista seleccionada de clientes de SVB, ya que es probable que solo respondan las empresas y las personas afectadas. Esta información podría usarse para volver a apuntar a las víctimas y sus organizaciones en otros ataques relacionados o en otras campañas de SVB, incluso por parte de otros ciberdelincuentes que podrían comprar la lista si se pone a la venta en la dark web.
Finalmente, los ataques de fraude electrónico podrían resultar en un día de pago rápido para los ciberdelincuentes, con al menos las facturas de marzo que se pagan en sus cuentas mientras las víctimas intentan responder a la situación cambiante con sus proveedores.
Consejo para mantenerse a salvo de estos ataques de phishing
Al igual que con cualquier noticia de moda, las personas deben ser conscientes de que los ciberdelincuentes están utilizando el colapso de SVB y se les debe recomendar que traten cualquier actualización con precaución. incluida la verificación de mensajes a través de otros medios (por ejemplo, visitar el sitio web correcto a través de un motor de búsqueda o un enlace de navegador guardado, en lugar de hacer clic en un correo electrónico de phishing).
Las organizaciones también deben habilitar la autenticación multifactor como una capa de defensa proteger protegerse de los ataques de apropiación de cuentas.
También recomendamos que las organizaciones inviertan en soluciones avanzadas de detección de phishing, como Egress Defend, que ofrecen capacidades de detección inteligente para ataques de phishing avanzados y momentos de aprendizaje en tiempo real para mejorar la conciencia de seguridad y capacitación para ayudar a las personas a identificar las amenazas reales que las atacan.
Crédito de la imagen: rarrarorro/depositphotos.com
Jack Chapman es vicepresidente de Threat Intelligence, Salida.