前段時(shí)間�,硅谷銀行(SVB)倒閉并被美國聯(lián)邦政府接管的新聞已經(jīng)人盡皆知����。崩潰速度之快令人唏噓,各大組織無論規(guī)模如何�,預(yù)計(jì)都將持續(xù)受到影響。
前段時(shí)間�,硅谷銀行(SVB)倒閉并被美國聯(lián)邦政府接管的新聞已經(jīng)人盡皆知。崩潰速度之快令人唏噓�,各大組織無論規(guī)模如何,預(yù)計(jì)都將持續(xù)受到影響����。
不幸的是,當(dāng)大家看到的都是悲劇時(shí)����,威脅行為者看到的是機(jī)會(huì)。我們又一次見證了這一點(diǎn):為了攻破信任防線并誘騙毫無戒備的受害者����,絕大多數(shù)情況下威脅行為者會(huì)使用熱門事件作為誘餌。這些都是跟隨新聞周期或關(guān)注已知的知名事件(例如超級(jí)碗��、NCAA一級(jí)男子籃球錦標(biāo)賽、納稅日��、黑色星期五促銷���、新冠疫情����,等等)��,因?yàn)闊o論何時(shí)�,如果消息中提及了當(dāng)時(shí)的熱門話題,用戶就更有可能受到吸引�����。
SVB新聞周期引發(fā)了一個(gè)萬眾矚目的熱門話題��,可能被威脅行為者利用�;而且�,組織必須加強(qiáng)意識(shí)宣傳和加以技術(shù)控制,以幫助應(yīng)對(duì)威脅行為者最終使用這些策略發(fā)起攻擊����,這一點(diǎn)至關(guān)重要�??杀氖牵M管FDIC承諾保證SVB客戶的資金安全���,但惡意行為者卻試圖竊取他們的資金����!
先發(fā)制人的行動(dòng)
為了應(yīng)對(duì)未來利用SVB事件發(fā)起網(wǎng)絡(luò)釣魚攻擊�,從2023年3月10日起,Cloudforce One(Cloudflare的威脅運(yùn)營和研究團(tuán)隊(duì))大大加強(qiáng)了品牌監(jiān)測(cè)�,重點(diǎn)關(guān)注數(shù)字形式存在的SVB,并推出了幾個(gè)額外的檢測(cè)模塊來發(fā)現(xiàn)SVB主題的網(wǎng)絡(luò)釣魚活動(dòng)�����。使用我們的各種網(wǎng)絡(luò)釣魚防護(hù)服務(wù)的所有客戶均會(huì)自動(dòng)獲得這些新模塊的功能��。
下面說一個(gè)涉及SVB的示例�,這是該銀行被FDIC接管之后發(fā)生的真實(shí)事件。
KYC網(wǎng)絡(luò)釣魚——以DocuSign為主題的SVB活動(dòng)
威脅行為者經(jīng)常使用的一個(gè)策略是模仿持續(xù)開展的KYC(了解您的客戶)工作�。這是銀行為驗(yàn)證客戶的身份詳情而慣常執(zhí)行的調(diào)查,旨在保護(hù)金融機(jī)構(gòu)免受欺詐����、洗錢和金融犯罪等活動(dòng)的影響��。
2023年3月14日����,Cloudflare檢測(cè)到一起大型KYC網(wǎng)絡(luò)釣魚活動(dòng)�,他們使用DocuSign主題模板并利用SVB品牌。此活動(dòng)瞄準(zhǔn)Cloudflare和幾乎所有行業(yè)的垂直領(lǐng)域�����。在活動(dòng)的頭幾個(gè)小時(shí)內(nèi)�����,我們檢測(cè)到了79個(gè)目標(biāo)為多個(gè)組織中不同個(gè)人的示例�����。Cloudflare發(fā)布了此次活動(dòng)的一個(gè)具體示例����,以及所用策略和觀察結(jié)果����,幫助客戶了解并警惕該活動(dòng)����。
活動(dòng)詳情
下圖所示的網(wǎng)絡(luò)釣魚攻擊發(fā)生于2023年3月14日�����,目標(biāo)是Cloudflare的創(chuàng)始人兼首席執(zhí)行官M(fèi)atthew Prince���。它包括HTML代碼,其中包含一個(gè)初始鏈接和一個(gè)復(fù)雜的重定向鏈����,有四層之深。該鏈?zhǔn)加谟脩酎c(diǎn)擊“Review Documents”(查閱文檔)�,然后將用戶轉(zhuǎn)到一個(gè)由Amazon廣告服務(wù)器bs【.】serving-sys【.】com支持的Sizmek運(yùn)行的可追蹤分析鏈接。然后���,該鏈接進(jìn)一步將用戶重定向到一個(gè)托管在na2signing【.】web【.】app域上的Google Firebase應(yīng)用程序����。na2signing【.】web【.】app HTML隨后將用戶重定向到一個(gè)WordPress網(wǎng)站�����,但該網(wǎng)站運(yùn)行的是另一重定向器eaglelodgealaska【.】com�。經(jīng)過最后這次重定向后���,用戶轉(zhuǎn)到了一個(gè)由攻擊者控制的docusigning【.】kirklandellis【.】net網(wǎng)站��。
運(yùn)動(dòng)時(shí)間表
2023-03-14T12:05:28Z First Observed SVB DocuSign Campaign Launched
2023-03-14T15:25:26Z Last Observed SVB DocuSign Campaign Launched
簡(jiǎn)要了解HTML文件Google Firebase應(yīng)用程序(na2signing【.】web【.】app)
攻擊中包含的HTML文件將用戶轉(zhuǎn)到一個(gè)具有遞歸重定向能力的WordPress實(shí)例。截至本文撰寫之時(shí)�,我們還不確定這次特定的WordPress安裝是否已經(jīng)破壞,或者是否安裝了一個(gè)插件來打開這個(gè)重定向位置��。
入侵指標(biāo)
建議
1.Cloudflare Email Security客戶可以在儀表板上使用以下搜索詞來確定自己是否收到了此活動(dòng):
SH_6a73a08e46058f0ff78784f63927446d875e7e045ef46a3cb7fc00eb8840f6f0
客戶還可以通過我們的威脅指標(biāo)API跟蹤與此活動(dòng)相關(guān)的IOC���。任何更新的IOC將持續(xù)推送到相關(guān)的API端點(diǎn)���。
2.確保您為入站消息適當(dāng)?shù)貓?zhí)行了DMARC策略。對(duì)于入站消息的任何DMARC故障�,Cloudflare建議至少使用【p=quarantine】��。SVB的DMARC記錄【v=DMARC1;p=reject;pct=100】明確表示�,拒絕任何冒充SVB品牌且不是從SVB指定的驗(yàn)證發(fā)件人列表中發(fā)出的消息��。Cloudflare Email Security客戶將根據(jù)SVB分布的DMARC記錄自動(dòng)完成執(zhí)行�。對(duì)于其他域��,或者為了在所有入站消息中應(yīng)用更廣泛的基于DMARC的策略���,Cloudflare建議在其Cloudflare Area 1儀表板內(nèi)對(duì)所有入站郵件堅(jiān)持使用“增強(qiáng)型發(fā)件人驗(yàn)證”策略。
3.Cloudflare Gateway客戶會(huì)自動(dòng)獲得保護(hù)�,免受這些惡意URL和域的影響?���?蛻艨梢詸z查這些特定IOC的日志,確定其組織是否有任何傳往這些網(wǎng)站的流量�����。
4.請(qǐng)與您的網(wǎng)絡(luò)釣魚意識(shí)與培訓(xùn)提供商合作����,為您的終端用戶部署SVB主題的網(wǎng)絡(luò)釣魚模擬(如果他們還未部署)。
5.鼓勵(lì)您的終端用戶對(duì)任何與ACH(自動(dòng)清算所)或SWIFT(環(huán)球銀行間金融電信協(xié)會(huì))相關(guān)的消息保持警惕��。ACH和SWIFT是金融機(jī)構(gòu)使用的實(shí)體間電子資金轉(zhuǎn)移系統(tǒng)。由于這些系統(tǒng)規(guī)模龐大��、使用普遍����,威脅行為者經(jīng)常利用ACH和SWIFT網(wǎng)絡(luò)釣魚來將付款轉(zhuǎn)給他們自己。雖然過去幾天中�,我們沒有發(fā)現(xiàn)任何利用SVB品牌的大規(guī)模ACH活動(dòng),但這并不意味著沒有這樣的計(jì)劃或者眼下不會(huì)發(fā)生��。我們?cè)陬愃频母犊钇墼p活動(dòng)中發(fā)現(xiàn)了一些需要注意的主題行�,請(qǐng)務(wù)必保持警惕,示例如下:
“我們變更了我們的銀行信息”
“更新后的銀行賬戶信息”
“您需要立即采取行動(dòng)”
“請(qǐng)注意:銀行賬戶詳情變更”
“請(qǐng)注意:銀行賬戶詳情變更”
“金融機(jī)構(gòu)變更通知”
6.請(qǐng)對(duì)您電子郵件中可能彈出的相像或近似的域名���,以及與SVB相關(guān)的web流量保持警惕�。Cloudflare客戶在其電子郵件和web流量中內(nèi)置了新域名控制���,將阻止來自這些新域名的異?;顒?dòng)��。
7.確保任何面向公眾的web應(yīng)用程序始終安裝了最新版本的補(bǔ)丁�,并在您的應(yīng)用程序前運(yùn)行現(xiàn)代web應(yīng)用程序防火墻服務(wù)。上述活動(dòng)利用了WordPress的優(yōu)勢(shì)�����,但威脅行為者經(jīng)常在釣魚網(wǎng)站上使用WordPress�。如果使用Cloudflare WAF,在您知道第三方CVE之前�,就已自動(dòng)為您提供防護(hù)。擁有一個(gè)有效的WAF至關(guān)重要�,旨在防止威脅行為者接管您的公共web資產(chǎn),并將其用于任何網(wǎng)絡(luò)釣魚活動(dòng)(不論是以SVB為主題還是其他方式)���。
先人一步
Cloudforce One(Cloudflare的威脅運(yùn)營團(tuán)隊(duì))主動(dòng)監(jiān)測(cè)即將發(fā)生�����、正在形成階段的新活動(dòng)����,并發(fā)布建議和檢測(cè)模型更新�,確保我們的客戶得到妥善保護(hù)。雖然這一特定活動(dòng)主要關(guān)注的是SVB�����,但所用策略與我們?nèi)蚓W(wǎng)絡(luò)每天發(fā)現(xiàn)的其他類似活動(dòng)并無二致�,我們可以自動(dòng)阻止這些活動(dòng)����,讓它們無法侵害我們的客戶����。
要阻止這些攻擊,在多個(gè)通信渠道中融合強(qiáng)大的技術(shù)控制���,同時(shí)擁有一支訓(xùn)練有素�、警惕性高����、了解數(shù)字通信的危險(xiǎn)的員工隊(duì)伍至關(guān)重要。
立即登錄�,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
