Mentre le notizie sul crollo della Silicon Valley Bank (SVB) continuano a dominare i titoli dei giornali, i criminali informatici stanno conducendo campagne di phishing impersonando SVB e altri istituti finanziari, tra cui M-F-A e Bloomberg.
Rispondendo rapidamente al ciclo di notizie di 24 ore, i criminali informatici mirano a sfruttare il potenziale disagio delle loro vittime per la loro situazione finanziaria per renderle più suscettibili a questo tipo di attacco.
Riepilogo attacco rapido
Vettore e tipo: Phishing tramite e-mail
Tecniche: Rappresentazione del marchio; ingegneria sociale
Payload: collegamenti ipertestuali dannosi per rubare informazioni personali, con tracciamento incorporato per fornire all’attaccante ulteriori approfondimenti, inclusi gli indirizzi IP che hanno avuto accesso al sito Web di phishing; e allegati per rubare dettagli finanziari utilizzati per frodi via cavo
Obiettivi: organizzazioni in Nord America e nel Regno Unito
Piattaforma: Microsoft 365
Gateway e-mail sicuro aggirato: Sì
Le e-mail di phishing utilizzano modelli html altamente stilizzati, nonché e-mail in testo normale, inviate da domini e-mail contraffatti e simili. I payload includono collegamenti ipertestuali a siti Web di phishing che rubano i dati personali delle vittime e gli allegati utilizzati per raccogliere dettagli finanziari per frode telematica.
Email di phishing SVB: furto d’identità e attacchi di frode telematica
Gli attacchi che abbiamo visto impersonare SVB sono stati creati copiando e modificando l’html SVB standard utilizzato nelle loro e-mail legittime. Ciò include un rendering ad alta risoluzione del logo SVB, l’uso dei colori del marchio e l’inclusione del piè di pagina SVB originale con il suo indirizzo legittimo di Londra, Regno Unito. Ciò aumenta la credibilità dell’attacco, rendendo più probabile che la vittima venga ingannata.
Alcune preoccupazioni iniziali per i clienti SVB si sono concentrate sul limite di protezione di $ 250.000 per ogni conto di deposito in contanti offerto dalla Federal Deposit Insurance Corporation. L’e-mail di phishing in basso mostra il criminale informatico che sfrutta queste informazioni offrendo alla vittima l’accesso al proprio denaro ben oltre il limite originale, fino a $ 10 milioni.
Oltre a manipolare le vittime sfruttando le preoccupazioni relative all’accesso ai propri fondi, il criminale informatico utilizza anche una scadenza di”venerdì 17 marzo 2023″per aumentare la pressione sulle vittime. Una frequente tattica di ingegneria sociale, progettata per costringere le persone a”pensare velocemente”, rendendole meno propense a verificare che ciò che stanno facendo sia sicuro.
L’indirizzo”Da”impersona il ramo britannico di SVB:’svbuk.com‘. Al momento in cui scriviamo, i nostri ricercatori ritengono che si tratti di un dominio simile, piuttosto che di proprietà del legittimo SVB, poiché non supera l’autenticazione tecnica.
Quando un utente fa clic sul collegamento nell’e-mail, vengono indirizzati a un sito Web di phishing che impersona SVB.
E-mail di phishing che impersona SVB utilizzando un modello html rubato con un payload del collegamento di phishing
Il payload del collegamento di phishing indirizza la vittima a un dominio del sito web creato il 10 marzo 2023 (lo stesso giorno del crollo di SVB) chiamato’cash4svb’, che afferma di raccogliere informazioni dal destinatario per vedere se il suo account è idoneo per l’aumento del pagamento.
A questo punto, l’attacco diventa potenzialmente meno convincente. I nostri ricercatori hanno notato che il sito Web simile presenta alcuni evidenti problemi estetici e non è paragonabile favorevolmente al sito Web legittimo. Tuttavia, utilizzando un dominio contenente”svb”e l’immagine del banner che include SVB nella parte superiore della pagina, il criminale informatico prevede che l’ansia e la disperazione spingeranno la vittima a popolare i campi.
Inoltre, il criminale informatico fa l’affermazione sul sito Web di phishing che appartiene a”un gruppo di investimento privato con sede a Stanford, in California”. Questa affermazione potrebbe funzionare in due modi: (1) spiegando perché il sito web non è strettamente allineato al marchio SVB e (2) aumentando la fiducia che il denaro verrà pagato nonostante le turbolenze di SVB.
I nostri ricercatori si aspettano questi dettagli potrebbero essere utilizzate dal criminale informatico per continuare i propri attacchi direttamente su SVB (completando il modulo, le vittime creano un elenco di clienti SVB per l’attaccante) oppure le informazioni potrebbero essere vendute sul dark web per essere utilizzate in attacchi futuri.
Sito web di phishing utilizzato per rubare informazioni personali da SVB cliente: 
Vista ingrandita di testo e modulo
E-mail di phishing Bloomberg: furto d’identità che porta a frode telematica
Oltre agli attacchi che impersonano SVB, Egress Defend ha anche rilevato discreti attacchi di social engineering che informano vittime che l’organizzazione del mittente sta modificando i conti bancari e i dettagli finanziari devono essere aggiornati.
Nell’esempio seguente, il criminale informatico utilizza un dominio simile e contraffatto per impersonare Bloomberg (‘@blomberg-us.com). L’e-mail di phishing utilizza le notizie SVB come scusa plausibile per spiegare perché è necessario modificare i dati bancari. L’allegato.pdf supporta la richiesta tramite il nome del file”Coordinate bancarie aggiornate Bloomberg”.
Simile all’e-mail di impersonificazione SVB, anche questo attacco utilizza una scadenza (“in anticipo rispetto alle fatture richieste per marzo”) per ingegnerizzare socialmente la vittima affinché reagisca rapidamente per evitare conseguenze.
L’allegato contiene coordinate bancarie alternative che, se utilizzate da un’azienda, risulteranno in una frode telematica.
E-mail di phishing che si spaccia per Bloomberg
Domini da cui riceviamo queste e-mail
Come notato, le e-mail vengono inviate da domini contraffatti e simili che impersonano organizzazioni legittime. Alcuni dei domini individuati dai nostri ricercatori sono:
Link che vediamo come carico utile in queste email di phishing
Ecco alcuni dei domini contraffatti, collegamenti ipertestuali maliziosi simili che fanno parte degli attacchi di impersonificazione SVB:
Come accennato in precedenza, alcuni degli attacchi utilizzano payload basato su allegati per frode via cavo.
Analisi dell’uscita
Questi attacchi dimostrano come i criminali informatici arma il ciclo di notizie di 24 ore. Quando le organizzazioni o gli argomenti fanno tendenza nelle notizie, ora è quasi inevitabile assistere a un’ondata di campagne di phishing in risposta. Il sito Web di phishing analizzato sopra è stato creato il 10 marzo 2023, lo stesso giorno del crollo di SVB, a dimostrazione della velocità con cui i criminali informatici creano ed eseguono campagne di phishing che sfruttano le notizie di tendenza.
In questa campagna, i criminali informatici fanno leva L’accresciuta ansia delle vittime per la sicurezza finanziaria e l’accesso ai loro fondi, oltre a trarre vantaggio da una più ampia interruzione con modifiche ai dati bancari e ai processi di pagamento.
Le e-mail di phishing contengono tattiche di ingegneria sociale per aumentare la loro credibilità e ridurne i sospetti delle vittime, come l’uso del modello di posta elettronica SVB legittimo e domini contraffatti. Inoltre, il senso di urgenza creato da scadenze arbitrarie spinge le persone a reagire istintivamente, con meno tempo per il pensiero razionale o per ricontrollare la situazione con qualcun altro. Le persone saranno già in uno stato di maggiore ansia e queste tattiche le manipolano ulteriormente per aumentare la probabilità che commettano un errore e cadano vittime dell’attacco.
Le informazioni raccolte dal sito Web di phishing nell’SVB gli attacchi di impersonificazione potrebbero presentare ai criminali informatici un elenco curato di clienti SVB, poiché è probabile che solo le aziende e gli individui interessati rispondano. Queste informazioni potrebbero essere utilizzate per reindirizzare le vittime e le loro organizzazioni in altri attacchi correlati o utilizzate in altre campagne SVB, anche da altri criminali informatici che potrebbero acquistare l’elenco se messo in vendita sul dark web.
Infine, gli attacchi di frode telematica potrebbero tradursi in un rapido giorno di paga per i criminali informatici, con almeno le fatture di marzo pagate sui loro conti mentre le vittime cercano di rispondere alla situazione in evoluzione con i loro fornitori.
Consigli. per stare al sicuro da questi attacchi di phishing
Come per qualsiasi notizia di tendenza, le persone devono essere informate che il crollo di SVB viene utilizzato dai criminali informatici e dovrebbero essere avvisati di trattare qualsiasi aggiornamento con cautela, inclusa la verifica dei messaggi tramite altri mezzi (ad esempio visitando il sito Web corretto tramite un motore di ricerca o un collegamento del browser salvato, anziché facendo clic su un’e-mail di phishing).
Le organizzazioni dovrebbero inoltre abilitare l’autenticazione a più fattori come livello di difesa proteggere stessi dagli attacchi di furto di account.
Raccomandiamo inoltre alle organizzazioni di investire in soluzioni avanzate di rilevamento del phishing, come Egress Defend, che offrono funzionalità di rilevamento intelligente per attacchi di phishing avanzati e momenti di insegnamento in tempo reale per migliorare la consapevolezza della sicurezza e formazione per aiutare le persone a identificare le minacce reali che le prendono di mira.
Credito immagine: rarrarorro/depositphotos.com
Jack Chapman è VP di Threat Intelligence, Uscita.